大多数代码签署流程不安全,研究表明
虽然一半的企业担心网络犯罪分子正在使用签名证书作为攻击方法,但很少有实际执行可能挫败他们的安全策略,这是一项机器识别保护提供商Venafi的研究。
根据美国,加拿大和欧洲的320名安全专业人士的投票,仅在全球范围内全球始终持续实施明确的安全进程,只有28%的组织始终如一地强制执行定义的安全进程,但该P降至欧洲14%。
每个组织都依赖于签名证书,确保并确保组织使用的每块软件的真实性。
“当签名钥匙和作为机器身份的证书落入攻击者的手中时,他们可以造成巨大的损害,”安全战略和威胁情报atvenafi副总裁Kevin Bocek说。
“安全码签名流程使应用程序,更新和开源软件能够安全运行,但如果它们没有受到保护,则攻击者可以将它们转化为强大的网络武器,”他说,添加代码签名证书是STUXNET的关键原因Shadowhammer非常成功。
在Shadowhammer的情况下,硬件制造商华硕将恶意软件被伪装为合法软件更新的代码签名,感染了一百万台计算机。
“现实是,每个组织现在都在软件开发业务中,从银行到零售商向制造商,”Bocek表示,调查表明,69%的民意调查期望他们在明年增长的代码增长。
“如果您正在构建代码,部署集装箱或在云中运行,则需要认真对待您的代码签名流程的安全性以保护您的业务,”他说。Venafi研究发现虽然安全专业人士了解风险代码签名,他们没有采取适当的步骤来保护他们的组织免受攻击。具体而言,35%的私人密钥在其组织中使用的私钥没有明确的所有者。
代码签名进程用于确保并确保各种软件产品的软件更新的真实性,包括固件,操作系统,移动应用程序和应用程序容器图像。
但是,超过2500万百万只有性的签署证书,网络罪犯正在滥用这些证明。例如,安全研究人员最近发现通过签名上传有效的代码证书来发现防病毒工具中的恶意软件。
“安全团队和开发人员以完全不同的方式查看代码签名安全性。由于其安全团队的方法和要求,开发人员主要担心减速,“Bocek说。
“这种断开常常产生混乱的情况,允许攻击者窃取钥匙和证书。为了保护自己及其客户,组织需要清楚地了解正在使用代码签名的位置,控制允许如何以及何时允许代码签名,以及代码签名和开发构建系统之间的集成。
“这种综合方法是唯一能够大大降低风险的唯一方法,同时提供开发人员和企业今天需要的速度和创新。”
2019年3月,一个学术研究暴露于脚跟网上的繁荣市场,用于验证机器通信的机器标识的SCHECURE套接字层/传输层安全(SSL / TLS)证书。
由Venafi赞助的六个月学士学位由基于VEICES-Cyberseecurity Research Groupat Theandrew Groughia Stational Adsionsity的Theandrew青年政策研究学院进行的研究人员进行。
研究审查了暗网络上的SSL / TLS证书的可用性及其在网络犯罪经济中的作用,发现这些证书的繁荣市场遍布旋转,并伴随着广泛的套润。
这些服务一起向网络犯罪分子Toofof网站提供机器标识的服务,窃听加密的流量,绩效员工的流量,expertman-in-indleattacks和窃取敏感数据,因为机器身份形成了所有在线信任和数字之间的通信的基础Actors,从应用到移动设备。
“这项研究的一个非常有趣的方面是看着包装包装的TLS证书 - 例如网页设计服务 - 让攻击者立即获得高水平的在线信誉和信任,”安全研究员和报告作者David Maimon,Associate基于证据网络安全研究组的教授和总监。
“发现延长验证证书以及在没有任何验证信息的情况下创建非常可靠的外壳公司所需的所有文档以及没有任何验证信息,它令人惊讶的是。”
研究人员发现,五个Tor Network MarketsoBserved提供了SSL / TLS证书的稳定供应,以及一系列相关的服务和产品。