在荷兰颁发数字证书的欺诈性数字证书颁发机构被摧毁后,许多安全研究人员声称证书颁发机构系统被不可挽回地摧毁了,有必要建立一个新的在线信任系统。赛门铁克公司Symantec认为,这一事件只能说明CA需要改进其安全流程。
赛门铁克信任服务高级总监林世煜告诉eWEEK,SSL(安全套接字层)技术仍然是安全的,因为攻击者没有破坏加密算法。林说,需要改变的是认证机构如何颁发和验证SSL证书的政策和程序。
根据电子前沿基金会,超过650家公司被授权颁发SSL证书。当用户导航到某个网站时,浏览器会依靠该网站的SSL证书来确认用户是在合法网站上,而不是伪造的副本。利用伪造的证书,恶意攻击者可以发起中间人攻击,使他们能够窃听互联网用户并拦截敏感信息。
林说:“SSL作为一种技术是完全可行的,但CA需要执行最低标准”,以保持系统的安全和正常运行。
组织需要投资于基础架构,包括部署最新的恶意软件保护系统、定期进行第三方审核、运行漏洞评估以确保没有可利用的漏洞、实施多层安全保护和持续监控。林说,这样的环境可以尽快发现和制止违规行为。
林说,有这么多的认证机构没有错,但作为认证机构的标准目前太低了。赛门铁克目前正在研究白皮书,该白皮书概述了一些最低要求,其中一些是由赛门铁克信任服务副总裁Fran Rosch在赛门铁克连接博客上概述的。
Rosch写道,其中一些要求包括使用专门设计的增强工具来抵御攻击,使用基于硬件的密码签名系统,将SSL证书系统与公司系统分离,以及实施强密码和访问控制策略。
林说,“任何安全的基础设施都不能幸免于破坏”,但组织应该“投资于基础设施”。
Yedigital Security的Marc Maiffret告诉eWEEK,常见的误解是,组织“更安全”只是因为他们在安全领域。Maiffret说:“事实上,他们和其他人一样面临着同样的安全挑战。”他建议其他组织也可以从DigiNotar事件中吸取教训。
根据Maiffret的说法,大多数组织倾向于考虑下一步购买哪种技术来应对特定的威胁,而不是关注根本原因,例如配置错误或未解决的漏洞。他说,他们在寻找最好的反病毒软件或最好的入侵检测系统,但他们不是在寻找一个网络应用程序来确保它不会受到SQL注入的攻击,或者所有已知的漏洞都已被最新的软件修复。
拥有大量技术意味着拥有更多关于正在发生的事情的数据,但是对于一些组织来说,更多的数据将导致更多的噪音被忽略,而不是更多的安全性。
Maiffret表示,多年来,安全已经“置之不理”,但威胁的数量和攻击的复杂性不断增加,意味着组织必须重视基础知识,定制自己的架构。
Maiffret说,一些公司可能拥有所有正确的技术,但他们可能没有意识到错误的设置并导致不当使用。或者他们在标准配置中使用它,这意味着攻击者确切地知道设置是什么样的,并据此进行攻击。根据Maiffret的说法,如果组织构建网络并以不同于供应商建议的默认设置的方式部署安全性,它们将会造成烦扰,并且更容易受到损害。
Maiffret表示,确保组织安全不是一个技术挑战,而是一个业务流程。
赛门铁克的林先生也表示,认证机构需要监控基础设施,以便立即发现异常情况。林说,更重要的是,即使组织认为问题已经解决,也需要立即披露事件,这样其他人才能对问题保持警惕和警觉。
林说,CA不仅可以专注于其基础设施,还可以使其合作伙伴达到相同的标准。林表示,今年早些时候对Comodo的攻击实际上是针对经销商的,因此必须遵循同样严格的标准,例如第三方审核、强身份验证和访问策略。林表示,赛门铁克要求所有合作伙伴都达到同样的标准,否则有被遣散的风险。