| 本站:VPS评测参考推荐/专注分享VPS主机优惠信息!若您是商家可以在本站进行投稿,查看详情!此外我们还提供软文收录、PayPal代付、广告赞助等服务,查看详情! |
| 我们发布的部分优惠活动文章可能存在时效性,购买时建议在本站搜索商家名称可查看相关文章充分了解该商家!若非中文页面可使用Edge浏览器同步翻译!PayPal代付/收录合作 |
Venafi的最新调查发现,93%的受访者表示他们拥有超过10,000个SSL数字证书,而74%的首席信息官表示他们最近经历了与证书相关的宕机。
虽然听起来像科幻电影,但身份是真实存在的。实际上,如果你像大多数组织一样,在他们的网站上有SSL/TLS证书,这意味着你的组织也有计算机id(或者可能有许多计算机id)。
根据我们在专门从事组织认证保护的网络安全公司Venafi的朋友所做的一项研究,世界各地的CIO越来越关注与这些组织的认证相关的安全风险。但是到底什么是组织认证呢?它与SSL/TLS证书有什么关系?您可以做些什么来保护您的组织免受这些风险的影响?
维纳菲全球首席信息官研究的主要发现:
维纳菲赞助了科尔曼·巴夏礼进行的一项市场研究,以更好地了解首席信息官如何看待与组织认证相关的风险。简而言之,组织认证就是在数字世界中识别您的企业的身份。企业、组织和政府都使用这些组织认证来在各种平台上安全地进行认证和通信。使用的最常见的计算机标识类型是SSL/TLS证书及其相应的密钥。
考虑到组织身份验证与SSL/TLS证书和密钥密切相关,很容易理解为什么这次调查会引起我们的注意。
以下是参与者调查反馈中应注意的五大发现:
1) 75%的首席信息官担心与TLS组织认证相关的风险。
维纳菲的研究表明,大多数首席信息官都担心计算机身份带来的或与之相关的安全风险。当被问及是否担心SSL/TLS证书和密钥的广泛使用带来的安全风险时,四分之三的受访者表示是。另有1%的人表示,他们不确定是否应该关注。
近三分之二(65%)的受访者表示,他们主要担心使用过期或损坏的证书会增加风险。近年来,TLS证书和密钥的使用激增,这是这种担忧的部分原因。
该条形图揭示了Venafi调查参与者表示的与TLS证书的广泛使用(和增长)相关的最大安全风险。
然而,好消息是,这意味着IT和网络安全团队的负责人越来越意识到需要保护这些组织的身份认证。
2) 91%的首席信息官表示,他们在IT基础设施中拥有完全可见的TLS证书。
能见度很好,但是你实际看到几次呢?实际调查网络和IT基础设施的每个角落是不切实际的。但这是自动监控TLS证书的证书管理工具中非常重要的一部分。
证书中断清楚地表明组织缺乏对IT基础设施中存在的证书和密钥的了解。考虑到政府和企业普遍遇到的证书中断的情况,我们担心这些CIO中的一些人并没有他们想象的那么了解。(或者说,至少,他们没有想象中的那么显眼。)
3) 79%的首席信息官知道他们有多少有效的TLS证书和密钥。
根据研究报告,超过四分之三的受访者知道他们的IT基础架构中有多少有效的证书和密钥。实际上,93%的受访者(十分之九)估计他们至少有10,000个有效的TLS证书,其中40%的人认为他们使用了超过50,000个证书。
维纳菲表明了他对CIO认为他的组织使用的有效TLS证书的看法。
同样,考虑到常见的证书中断,如果79%的首席信息官真的知道他们组织中的每一个证书,我会感到非常惊讶——这似乎异常高。几个月前,我们分享了KeyFactor和Ponemon Institute的研究,结果显示74%的组织不知道他们使用了多少数字证书。
现在,这并不是说我认为首席信息官是故意作弊。或许,科尔曼·巴夏礼调查了一群拥有非凡知识和网络意识的首席信息官。但我认为最有可能的情况是,受访者高估了自己的证书使用意识(或者低估了自己真实的计算机身份数量)。
4) 74%的首席信息官表示,他们的企业在过去两年中经历过与证书相关的停机。
在这项研究中,首席信息官似乎没有任何困难,承认他们的组织近年来经历的证书中断。其中近四分之三的人说,这两年停电了。60%的受访者表示中断发生在去年,而34%的受访者表示发生在最近六个月内。
如前所述,证书中断通常是由于证书管理不善造成的。这就像允许TLS证书过期一样简单,或者它不太可能是由公共信任的证书颁发机构(CA)吊销的证书引起的。还有第三种可能的原因——CA被破坏,不被浏览器信任——但是,虽然这在过去发生过,但幸运的是,这种情况更少见。
不管什么原因,最重要的是证书相关的中断对企业是不利的。
中断可能导致从显示错误消息(难看的“不安全”警告)到终止服务的一切事情。但更糟糕的是,这些中断可能最终导致收入损失,并在客户眼中建立对您组织的信任。
5)尽管有所顾虑,首席信息官们意识到组织认证将继续存在。
组织认证对于数字通信和技术的许多方面都是必不可少的。从网站和API到移动和物联网设备,TLS证书和密钥随处可见。这种趋势不仅会继续,还会增长。事实上,绝大多数受访者(高达97%)估计,他们所在组织的TLS证书数量明年将增长20%以上!
许多企业似乎对当前的组织认证管理能力过于自信。所以,既然组织认证在可预见的未来仍将存在,而且随着他们将使用的证书和密钥数量的增加,那就意味着他们真的需要放下骄傲,从客观的角度来看待他们目前的功能。
本次调查的最大收获是,它强调了自动化证书生命周期如此重要的原因。虽然较小的企业和组织可能能够摆脱手动证书管理,但大型组织和企业几乎不可能做到这一点。为什么?因为小型企业更有可能在其基础结构中拥有可管理数量的活动证书。
另一方面,在任何给定时间,企业的网络和其他IT基础设施中可能有数千个活动证书。对于这种情况下的手动证书管理,您基本上必须有多个全职员工,他们的唯一职责是每天管理TLS证书和密钥。
如果只花费大量的时间和人力、财力来手动管理许多证书,那将是荒谬的。我相信你会同意,你的员工可以用更有价值(更有成效)的方式度过他们的时间。因此,自动执行证书生命周期可以帮助您保护计算机的身份和整个组织的安全。
本文由本站刊发,转载请注明:研究发现,75%的首席信息官担心与TLS证书(ssltls安全评估报告)相关的安全风险 https://本站.com/83746.html
推荐站内搜索:电信服务器租用、网址域名注册信息查询、中文域名注册查询、网络服务器租用、便宜的虚拟主机、域名信息、云服务器bbs备案、域名信息、icp备案查询系统、
