金鑰及數位憑證欠缺管理 資安人員承認信心已失
最近一份由Ponemon研究進行了調查,顯示未來兩年全球5000家企業因金鑰和證書攻擊引發的風險,至少損失5300萬美元,這比2013年按年增長了51%。Web伺服器、網路設備和雲運算服務等基礎設施中部署的金鑰和證書數量增長超過34%,每個企業平均為24000個。約54%的受訪者作為資安人員坩認不知道所有金鑰和證書的位置以及它們正如何被使用。
幾乎所有企業都曾遇針對金鑰和證書的攻擊,涉及企業流動證書的事故被認為帶來最大的影響,造成超過1.26億美元損失。安全研究人員稱企業遭受越來越多的攻擊,主要是中間人攻擊,這些攻擊利用虛假或者受感染的數位憑證來誘使設備洩露資料或憑證。Intel的研究人員指出惡意軟體竊取證書來簽名將是網路罪犯的下一個戰場。這個日益嚴重的問題主要原因之一是金鑰和證書在企業範圍的快速普及。隨著企業採用新的應用程式和技術(例如雲服務和流動系統),他們增加了金鑰和證書的數量,但卻不瞭解這些金鑰和證書所在位置。大多數金鑰管理系統都提供金鑰存儲庫,但除此之外,他們沒有提供其他。