大多数代码签署流程不安全,研究表明
Mingis关于Tech:由于区块链炒花,2019年的“愚蠢”的“粗野”?
WWDC:12个企业用户的大公告
电子邮件仍然是最佳安全漏洞,调查显示
挑战者银行在不确定性中在英国闭嘴
Google,Hyperlowger启动在线身份管理工具
BT首席敦促PM果断地对宽带行动
执行面试:乔治益安,工业负责人,飞利浦色调
邮局修复了造成地平线的会计错误的技术问题
Alexa将Apple App Store赢取为语音控制接管
美国法官驳回国防部巨型云合同挑战
Windows推动你升级吗?不要被欺负。有一个中间道路。
蚂蚁如何解决RPA的陷阱
Microsoft将团队移动应用程序升级到Woo Frontline Workers
G套房基础和商业客户的谷歌UPS价格
为什么Apple禁用Safari的不跟踪功能
浏览器在哪里站在闪存的即将发生的消亡中?
我们认为我们了解Apple的10月30日iPad Pro推出
NCSC通过DMARC报告呼出Microsoft
澳大利亚对云的需求继续飙升
2019年合作:团队,松懈和什么即将来临
开放银行可以为英国中小企业和公民提供180亿英镑
Visa现代B2B全球通过开源区块支付
State从Stealth出现,将服务网带入企业
CIO,你做错了
亚马逊推出患者数据挖掘服务以协助文档
政府旨在使4级和5级资格更受欢迎
NHSX首席取代了NHS Digital的高级数字诊所
Whittard泄漏了茶的使用
Win10 1803大错误Bash KB 4462933加入早期版本,一周迟到了
Android 10的手势两个致命的缺陷
是时候安装了7月大部分窗户和办公室补丁了
2 android q功能我们仍然没有看到行动
为什么可穿戴设备,健康记录和临床试验需要块状注射
邮局后台错误让亚波蹄峰额外有数千英镑
竞争监督员推出互联网公司的研究
Mozilla用站点隔离,洛铬淬火消防器防御
使用Windows 7生命结束以更新桌面生产力
我们已经达到了'智能手机'吗?/ Tech(谈话)
英国武装部队寻求数字招聘平台提供商
APAC引导全球物联网支出
保护Magecart集团的Warzone防弹主机
MS发布KB 4476976,一个测试Win10 1809累积更新,到Insider预览环。Bravo!
Mozilla要添加密码管理器,黑客警报到Firefox 70
瑞典人需要在床下保持一周的现金
微软的'全铬'边浏览器带来了什么
Microsoft Orphans Windows 10 1809,准备将1803名用户直接跳至1903
像素的石板现实人似乎缺失
ProtonMail启动独立IOS VPN应用程序
Visa卡漏洞使接触式限制旁路
您的位置:首页 >行业动态 >

大多数代码签署流程不安全,研究表明

2021-09-01 08:44:11 [来源]:

虽然一半的企业担心网络犯罪分子正在使用签名证书作为攻击方法,但很少有实际执行可能挫败他们的安全策略,这是一项机器识别保护提供商Venafi的研究。

根据美国,加拿大和欧洲的320名安全专业人士的投票,仅在全球范围内全球始终持续实施明确的安全进程,只有28%的组织始终如一地强制执行定义的安全进程,但该P降至欧洲14%。

每个组织都依赖于签名证书,确保并确保组织使用的每块软件的真实性。

“当签名钥匙和作为机器身份的证书落入攻击者的手中时,他们可以造成巨大的损害,”安全战略和威胁情报atvenafi副总裁Kevin Bocek说。

“安全码签名流程使应用程序,更新和开源软件能够安全运行,但如果它们没有受到保护,则攻击者可以将它们转化为强大的网络武器,”他说,添加代码签名证书是STUXNET的关键原因Shadowhammer非常成功。

在Shadowhammer的情况下,硬件制造商华硕将恶意软件被伪装为合法软件更新的代码签名,感染了一百万台计算机。

“现实是,每个组织现在都在软件开发业务中,从银行到零售商向制造商,”Bocek表示,调查表明,69%的民意调查期望他们在明年增长的代码增长。

“如果您正在构建代码,部署集装箱或在云中运行,则需要认真对待您的代码签名流程的安全性以保护您的业务,”他说。Venafi研究发现虽然安全专业人士了解风险代码签名,他们没有采取适当的步骤来保护他们的组织免受攻击。具体而言,35%的私人密钥在其组织中使用的私钥没有明确的所有者。

代码签名进程用于确保并确保各种软件产品的软件更新的真实性,包括固件,操作系统,移动应用程序和应用程序容器图像。

但是,超过2500万百万只有性的签署证书,网络罪犯正在滥用这些证明。例如,安全研究人员最近发现通过签名上传有效的代码证书来发现防病毒工具中的恶意软件。

“安全团队和开发人员以完全不同的方式查看代码签名安全性。由于其安全团队的方法和要求,开发人员主要担心减速,“Bocek说。

“这种断开常常产生混乱的情况,允许攻击者窃取钥匙和证书。为了保护自己及其客户,组织需要清楚地了解正在使用代码签名的位置,控制允许如何以及何时允许代码签名,以及代码签名和开发构建系统之间的集成。

“这种综合方法是唯一能够大大降低风险的唯一方法,同时提供开发人员和企业今天需要的速度和创新。”

2019年3月,一个学术研究暴露于脚跟网上的繁荣市场,用于验证机器通信的机器标识的SCHECURE套接字层/传输层安全(SSL / TLS)证书。

由Venafi赞助的六个月学士学位由基于VEICES-Cyber​​seecurity Research Groupat Theandrew Groughia Stational Adsionsity的Theandrew青年政策研究学院进行的研究人员进行。

研究审查了暗网络上的SSL / TLS证书的可用性及其在网络犯罪经济中的作用,发现这些证书的繁荣市场遍布旋转,并伴随着广泛的套润。

这些服务一起向网络犯罪分子Toofof网站提供机器标识的服务,窃听加密的流量,绩效员工的流量,expertman-in-indleattacks和窃取敏感数据,因为机器身份形成了所有在线信任和数字之间的通信的基础Actors,从应用到移动设备。

“这项研究的一个非常有趣的方面是看着包装包装的TLS证书 - 例如网页设计服务 - 让攻击者立即获得高水平的在线信誉和信任,”安全研究员和报告作者David Maimon,Associate基于证据网络安全研究组的教授和总监。

“发现延长验证证书以及在没有任何验证信息的情况下创建非常可靠的外壳公司所需的所有文档以及没有任何验证信息,它令人惊讶的是。”

研究人员发现,五个Tor Network MarketsoBserved提供了SSL / TLS证书的稳定供应,以及一系列相关的服务和产品。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。