نظرسنجی اخیر توسط ونافی نشان داده است كه سازمانها به همان اندازه مؤثر با نامهای كاربری و رمزهای عبور ، قادر به محافظت از كلیدها و گواهینامهها نیستند. در حالی که 85٪ از متخصصان امنیت سیاست هایی برای تعیین طول رمز عبور برای هویت های انسانی دارند ، تقریباً بیش از نیمی از کلیدهای حاکم بر هویت دستگاه.
حسابرسی ،
کلیدها ،
هویت دستگاه ،
مدیریت،
کلمه عبور ،
خط مشی،
ونافی ،
نظرسنجی اخیر توسط ونافی نشان داده است كه سازمانها به همان اندازه مؤثر با نامهای كاربری و كلمه عبور نمی توانند از کلیدها و گواهینامه ها محافظت کنند.
در این نظرسنجی ، بیش از نیمی (54٪) متخصصان امنیتی اعتراف می کنند که دارای سیاستی مکتوب در مورد طول و تصادفی بودن کلیدها برای شناسه های دستگاه هستند ، اما 85٪ سیاستی دارند که طول رمز عبور را برای هویت های انسانی کنترل می کند. [19659005]
این بررسی همچنین نشان داد كه مردم برای شناسایی خود به ماشین ها ، بیشتر به نام كاربری و رمزهای عبور اعتماد می كنند تا بتوانند به داده ها و خدمات دسترسی پیدا كنند.
علاوه بر این ، سازمان ها بیش از 10 میلیارد دلار در سال جاری نیز برای محافظت از هویت انسانی هزینه کردند ، اما آنها تازه با حفاظت از هویت ماشین شروع می شوند. دلیل این امر این است که مجرمان سایبری قدرت هویت ماشین و عدم محافظت از آنها را می فهمند. طبق نظرسنجی ، آنها آنها را برای بهره برداری هدف قرار می دهند.
بر اساس درصد پاسخ دهندگان كه می گویند سیاست های اساسی در زمینه هویت دستگاه دارند ، بیشتر سازمان ها اهمیت حفاظت از هویت دستگاه خود را درک می كنند. در واقع ، خوشحال کننده است که طبق اطلاعات موجود در این مطالعه ، اکثر سازمان ها سیاست هایی را برای تأمین هویت دستگاه درست مانند آنچه برای هویت های انسانی انجام می دهند ، تدوین کرده اند. این به رغم این واقعیت است که چالش های امنیتی ایجاد شده توسط تکثیر هویت های دستگاه فقط اخیراً باعث ایجاد کشش می شود.
با این وجود ، هنوز تعداد زیادی وجود دارند که سیاست های مکتوب را در دست ندارند – برای برخی از جنبه های امنیتی که در بالا بحث شد. ، نزدیک به نیمی از – و سازمان ها با پیاده سازی و ممیزی سیاست های مربوط به هویت دستگاه کتبی خود مبارزه می کنند ، زیرا آنها هنوز در این دهه یا همان میزان راهنمایی ای که در مورد هویت انسانی داشته اند ندارند. اما انتظار می رود استانداردهای جدیدی از سوی نهادهای نظارتی از همه نوارها با راهنمایی های تجربی بیشتری دنبال شود ، به خصوص اکنون که انتشار چارچوب NIST 1800-16B الگویی برای محافظت از هویت دستگاه TLS فراهم می کند.
یافته های اضافی از مطالعه Venafi عبارتند از:
- کمتر از نیمی (49٪) سازمان ها طول و تصادفی بودن کلیدهای خود را بررسی می کنند ، در حالی که 70٪ این کار را برای رمزهای عبور انجام می دهند.
- فقط 55٪ سیاست کتبی دارند. با بیان اینکه چند بار باید گواهینامه ها و کلیدهای خصوصی تغییر کرد ، در حالی که 79٪ سیاست معادل رمز عبور را دارند.
- فقط 42٪ سازمان ها بطور خودکار چرخش گواهینامه های TLS را اجرا می کنند ، در مقایسه با 79٪ که بطور خودکار چرخش رمزهای عبور را اجرا می کنند. [19659016] تنها 53٪ ممیزی می كنند كه چند بار باید گواهینامه ها و كلیدهای خصوصی تغییر می یابند ، در مقایسه با 73٪ رمزهای عبور.
كوین بوكك ، معاون امنیتی رئیس جمهور ونافی گفت: "هویت ها به عنوان عنصر اصلی در چشم انداز تهدید شناخته می شوند." استراتژی و هوشمند سازی تهدید در بیانیه ای "هویت ماشین نقطه حمله ، بسیار جدید و بسیار مؤثر است ، اما بین کنترل های امنیتی اعمال شده بر روی هویت انسان و افرادی که در شناسنامه های ماشین اعمال می شوند ، شکاف بزرگی وجود دارد."
بوچک نظر خود را در مورد تأثیرگذاری به اشتراک گذاشت. از این "شکاف" بین امنیت برای هویت انسان و ماشین است.
"این یک مشکل است زیرا آینده تجارت دیجیتال به شدت به ماشین ها متکی است. شرکت ها شاهد رشد چشمگیر در استفاده از ظروف ، هوش مصنوعی ، میکروسرویس ها و دستگاه های IoT و همچنین دستگاه های موجود در محیط ابری و مجازی هستند. همه – از CISO تا معماران امنیتی و دست اندرکاران امنیت – باید در اولویت محافظت از هویت دستگاه برای موفقیت آمیز تحول دیجیتالی سازمان های خود قرار بگیرند. "
برای متن ، گزارش ونفی خلاصه ای راجع به "هویت ماشینی" و چگونگی استفاده آنها را نشان می دهد.
هویت دستگاه برای طیف گسترده ای از معاملات مورد نیاز است ، از جمله:
تأمین معاملات وب با HTTPS: گواهینامه های دیجیتالی ، مانند لایه های سوکت ایمن (SSL) یا Transport Layer Security ( TLS) گواهینامه ها ، اتصالات رمزگذاری شده را بین یک مرورگر وب و یک سرور وب فعال می کند.
تضمین دسترسی ممتاز: Shell Secure (SSH) اغلب برای تأمین دسترسی مدیر سیستم به دستگاه برای کارهای معمول استفاده می شود. SSH همچنین برای اطمینان از اتوماسیون ماشین به ماشین از توابع مهم تجارت ، مانند عملیات تحریک خودکار و انتقال معمول پرونده ها استفاده می شود.
امنیت سریع IT و DevOps: تیم های توسعه بر سرعت بخشیدن به نرم افزار متمرکز شده اند. برای انجام این کار ، توسعه دهندگان برای اجرای ریز سرویس های شخصی از ظروف محاسبات ابری و نرم افزار تعریف شده استفاده می کنند. اینها به عنوان ماشینهای جداگانه عمل می کنند و از گواهینامه های SSL / TLS استفاده می کنند که به عنوان هویت دستگاه برای احراز هویت امن و برقراری ارتباط دستگاه به ماشین استفاده می شوند.
برقراری ارتباط در دستگاه های مصرف کننده : گواهینامه های دیجیتال یک عنصر حیاتی امنیت موبایل است زیرا آنها پایه و اساس تأیید اعتبار دستگاه های تلفن همراه را که به شبکه های سازمانی دسترسی دارند فراهم می کند. همچنین ، مجوزهای دستگاه تلفن همراه به طور فزاینده ای مورد استفاده قرار می گیرند تا دسترسی به شبکه های Wi-Fi سازمانی و دسترسی به شرکت از راه دور با استفاده از SSL و IPSEC VPNs امکان پذیر شود. بعلاوه ، دسترسی موبایل به دستگاههای اینترنت اشیاء (IoT) در شبکه های سازمانی به گواهینامه های تأیید اعتبار متکی است.
تأیید کد نرم افزار : معمولاً نرم افزارها با گواهی امضا می شوند تا صحت آن را تأیید کند. کاربران به طور ضمنی به محصول اطمینان دارند وقتی که توسط گواهی امضای کد ناشر قابل امضا هستند.
ونفی این نظرسنجی را مأمور کرد تا آنچه را که می داند "شکاف" بین اجرای کنترل های امنیتی برای هویت های انسانی و افراد مربوط به هویت دستگاه است ، درک کند. این بررسی همچنین کنترل های امنیتی مشابهی را برای هر نوع هویت ارزیابی کرده است.
از جمله نتیجه گیری در گزارش ونفی ، موارد زیر است:
اگرچه به نظر می رسد بسیاری از سازمان ها اهمیت خودکارسازی چرخش هویت های دستگاه را درک می کنند ، اما هنوز اینگونه نیست. جای تعجب است که فقط نیمی از این کارها را نسبت به هویت انسانی انجام می دهند ، همانطور که در نمودار زیر نشان داده شده است. از این گذشته ، اگر سازمانها در تهیه خط مشی های واضح برای تأمین هویت دستگاهها مشکل داشته باشند یا از ابزار لازم برای اجرای سیاستهای حسابرسی مؤثر برخوردار نباشند ، بعید به نظر می رسد که آنها بلوک های لازم برای استقرار برنامه های خودکار را داشته باشند که از اجرای این موارد اطمینان حاصل کنند.
به عنوان مختصر تحقیقات ونفی ناشر: مقایسه کنترل های امنیتی برای هویت ماشین و هویت انسانی. اطلاعات شامل اطلاعات مربوط به 1500 متخصص امنیت IT از ایالات متحده ، ایالات متحده ، فرانسه ، آلمان و استرالیا است.
خوانندگان می توانند مطالب را در اینجا مرور کنند.
برگشت
.
