您当前的位置:   首页 > 新闻中心
网上购物:当心机器身份管理漏洞
发布时间:2020-06-28 13:56:36   阅读次数:

网上购物:当心机器身份管理漏洞(图1)

互联网欺诈的现状

COVID-19大流行的众多影响之一是人们购物习惯的改变。随着在线购物的大规模转移,互联网欺诈也随之增加,包括试图从敏感的个人信息中骗取消费者,通过使用被窃取的凭据来冒充企业,闯入消费者的设备和网络以获取对敏感数据的访问权以及保留系统和数据赎金。


除了在线上执行安全行为(强密码,避免可疑付款方式等)之外,检查网站信任指标也很重要。多年来,互联网用户被告知“寻找锁”,以了解网站的安全性。在2019年,一些浏览器通过更改显示合法网站的方式扩展了此功能。单击挂锁以查看证书信息和组织详细信息,并忘记那些无法使用TLS(传输层安全性,以前称为安全套接字层,或SSL)加密数据传输的站点。

网上购物:当心机器身份管理漏洞(图2)


随着公司和组织提供更多的在线服务和交易,Internet安全对于确保敏感信息(例如信用卡号)仅传输给合法企业至关重要。这意味着组织必须向其网站添加TLS支持,这需要获取和使用数字证书。


但是,在证书和建立信任方面存在很多混乱。充分的机器身份管理对于赢得客户的信任至关重要。这是您的团队需要知道的。


什么是机器身份管理?

企业每年在身份和访问管理上花费数十亿美元,其中大部分用于保护数字人类身份(用户名和密码)。尽管我们的整个数字经济都依赖于机器之间的安全通信,但在保护机器身份上却没有花多少钱。机器正在推动业务效率,生产力,敏捷性和速度方面的空前提高,但由于需要与其他机器通信,因此它们并不是孤立地工作的。


在机器可以安全通信之前,他们需要某种方法来确定另一台机器是否值得信任。在线时,人们依靠用户名和密码来识别机器并对其进行身份验证。机器也具有数字身份,但是它们不依赖用户名和密码来进行身份验证。相反,它们依赖于用作计算机标识的数字证书和加密密钥。


TLS证书如何使机器身份起作用

在每次通信开始时,计算机都会将这些证书作为数字身份进行检查,以建立信任关系,对其他计算机进行身份验证并启用加密的通信。TLS证书是数字护照,可提供身份验证以保护与浏览器进行网站通信的机密性和完整性。


TLS证书的工作是通过TLS协议启用与用户浏览器的安全会话。没有数字证书就无法建立此安全连接,该证书将公司信息连接到加密密钥。


以下是TLS连接如何工作的高层示意图:

网上购物:当心机器身份管理漏洞(图3)

问题:自签名证书

证书通常从证书颁发机构或CA获得:受信任的公司提供证书,并参与信任链,该信任链允许最终用户浏览器验证证书确实可信。


公司还可以创建自签名证书,而无需前往CA。业界长期以来一直在争论使用自签名证书的好处和风险。要了解这一争论,就需要对证书存在的原因建立起基本的了解。通常的误解是存在用于执行加密的证书。这是不正确的。存在证明身份的证书。加密密钥是一种这样做的方法,一旦在两方之间建立了身份,就可以使用加密在它们之间安全地交换信息。


例如,没有Amazon.com的TLS证书来加密您的数据。它可以证明您是在将敏感数据发送到实际的Amazon.com,而不是冒名顶替者。加密是发生这种情况的手段,但是如果数据要发送到错误的实体,则加密本身毫无意义。


身份是证书存在的原因。作为证明身份的一种方法,自签名证书就像拥有自制护照一样,任何人都不应该信任它。实体A的身份只能通过第三方验证者实体C来证明给实体B,实体A和B都信任该实体。第三方验证者也不能是实体A(“相信我!我就是我自称的身份!”)。


许多企业认为,自签名证书主要在测试环境中有用,但是即使那样,它们也不是一个好主意,因为它们不允许测试真实场景。一方面,他们并未测试使用与之实际具有任何信任关系的证书的能力,并且将跳过重要的测试方案,例如证书吊销列表(CRL)验证,因为它们不适用于自签名证书。最重要的是,这种做法很容易传播到生产系统。


许多企业还认为,可以在内部网站(例如员工门户网站)上使用自签名证书,即使这样做会导致浏览器警告。由于组织知道内部站点是安全的,因此组织通常建议员工仅忽略警告。这会鼓励危险的公共浏览行为:习惯于忽略内部站点上的警告的员工也可能会倾向于忽略公共站点上的警告,从而使它们和组织容易受到恶意软件和其他威胁的攻击。


知道信任谁

重大突破发生在未发现使用自签名证书通过加密隧道进行数据泄漏的情况下,因为它看起来像是常规流量和合法流量。一些恶意软件和银行木马使用自签名证书,诱使用户下载恶意代码。网络犯罪分子还使用自签名证书进行中间人(MITM)攻击,以冒充银行,电子商务和社交媒体网站。


一旦遭到破坏,自签名证书就会带来进一步的风险:已经获得系统访问权限的攻击者可以欺骗受害者的身份。组织也不能撤消自签名证书,而必须替换或轮换它们,这不能快速完成。


攻击者正在利用自签名证书的用途,因此企业应该停止使用它们,除非将它们用于同一台计算机中的组件或服务之间,这意味着“我就是我所宣称的人”是有效的,只需要信任自己即可。


揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:

您还可以得到揽阁信息所提供的优质服务。

揽阁信息是您的信息安全首选专家!


相关阅读

购买咨询电话
021-54410609