您现在的位置是: 首页 > 新闻频道 > 财经 >

未能更好地管理密钥和证书将公司置于风险之中

  • 2020-02-13 11:24:22

加密是首席信息安全官保护组织数据、软件和网络连接的重要工具。但是,如果对IT专业人员的调查是准确的,那么无法管理加密所依赖的密钥和数字证书将使北美公司面临“重大风险”。

这是今天发布的一份报告的结论,该报告对加拿大和美国的603名IT和信息安全专业人士进行了调查。

波耐蒙研究所的调查发现:

这里有一种方法可以衡量问题的严重程度:在过去两年中,由于密钥管理不足,响应调查的平均组织经历了5.8次审计失败。证书颁发机构(CA)的折衷或流氓CA使攻击者能够进行中间人和钓鱼攻击紧随其后,服务器证书和密钥滥用几乎并列。

报告认为,这不仅仅是一个企业软件问题。新的物联网设备和行业指令的出现,要求更强大的加密和设备身份识别。因此,大多数组织中的密钥和数字证书的数量已经达到了数万甚至数十万。

百分之六十四的受访者同意,密码匙和数码证书的管理正在降低他们的业务流程的整体效率。

许多公司因为证书管理不善而陷入尴尬境地。最近的一个是Microsoft,它的团队协作平台由于SSL证书过期而离线了两个小时。

这是Keyfactor就所谓的“非托管数字身份”所做的第二份年度报告。

波耐蒙研究所(Ponemon Institute)的创始人拉里•波耐蒙(Larry Ponemon)表示:“我们的2019年报告在许多方面敲响了警钟——这是第一份调查数字证书和密钥在创建组织内外信任方面所起作用的报告。”“在很多方面,我很乐观地认为,随着越来越多的高管投入所需的资源,以缩小PKI的‘标准做法’和‘最佳做法’之间的差距,我们今年会看到进展。”今年的报告显示,虽然在一些领域取得了进展,但差距实际上在扩大。”

关键因素CSO克里斯·希克曼(Chris Hickman)表示,这份报告加强了密码学在安全方面的重要性。

在许多情况下,PKI仍然是一种手动功能,在IT和安全团队之间划分所有权。不断增长的连通性造成了一种暴露流行病。如果没有一个明确的内部或外包的PKI项目所有者和流程来填补关键的信任缺口,中断和违规的风险将继续上升。”

Top