تلاش برای حفظ زیرساخت های کلید عمومی و گواهینامه های دیجیتالی در هسته امنیت سایبری در حال پیشرفت است
برای دهه ها ، سنگ بنای امنیت فناوری اطلاعات زیرساخت های کلید عمومی یا PKI ، سیستمی است که به شما امکان رمزگذاری و امضای داده ها را می دهد ، صدور گواهینامه های دیجیتالی که هویت کاربران را تأیید می کند.
اگر به نظر می رسد که درک آن بسیار پیچیده است ، به آدرس وب سایت Avast Blog نگاهی بیندازید: https://blog.avast.com/. ببینید چگونه با HTTPS شروع می شود؟ S در HTTPS مخفف "safe" است. مرورگر وب شما گواهی امنیتی را برای https://blog.avast.com/ بررسی کرد و تأیید کرد که آن توسط یک مجوز معتبر صادر شده است. این عمل PKI است.
از آنجا که حریم خصوصی به عنوان یک اولویت و چالش برای امنیت سایبری مورد توجه قرار می گیرد ، درک این استاندارد اساسی اساسی مهم است.
از آنجا که در سطح زیرساخت ها عملکرد دارد ، PKI آنچنان که باید توسط مدیریت ارشد شرکت ها ، و حتی کمتر عمومی شناخته شده نیست. با این حال ، شما می توانید مطمئن باشید که مجرمان سایبری تفاوت های ظریف در مورد PKI را درک می کنند ، زیرا آنها همچنان از آنها برای تهاجم به حریم خصوصی و سرقت داده ها استفاده می کنند.
در اینجا نتیجه نهایی است: PKI بهترین چیزی است که ما بدست آورده ایم. با سرعت بخشیدن به تحول دیجیتال ، رهبران تجارت و حتی مصرف کنندگان مجبورند خود را با PKI آشنا کرده و در حفظ آن شرکت کنند. خبر خوب این است که جامعه جهانی امنیت سایبر می داند که PKI نه تنها حفظ بلکه تقویت آن نیز بسیار مهم است.
در اینجا موارد اساسی وجود دارد كه همه شركت ها و مصرف كنندگان آگاه باید در مورد تلاش های مداوم برای پیشبرد PKI – برای حمل و نقل طولانی بدانند.
اصول اولیه PKI
PKI می چرخد. ایجاد ، توزیع و مدیریت گواهی های دیجیتال. برای وب سایت ها ، این کار را با توزیع گواهینامه های دیجیتال – اسناد الکترونیکی – که توسط شرکت های معروف به مقامات گواهی یا CA انجام می شود ، انجام می دهد. وظیفه CA برای بررسی دقیق صحت وب سایت ها و سپس کمک به صاحبان وب سایت است تا اطلاعاتی را که مصرف کنندگان در فرم های صفحه وب خود تایپ می کنند ، رمزگذاری کنند.
دو کلید رمزنگاری مختلف – یک کلید عمومی و یک کلید خصوصی – صادر می شوند. کلید عمومی برای هر کاربر که با وب سایت معتبر ارتباط برقرار می کند در دسترس است. کلید خصوصی یک کلید منحصر به فرد است که هنگام ایجاد اتصال ایجاد می شود و مخفی نگه داشته می شود. کاربر برای رمزگذاری و رمزگشایی تبادل اطلاعات با وب سایت از کلید عمومی استفاده می کند ، در حالی که سرور وب از یک کلید خصوصی استفاده می کند. این باعث می شود داده ها از سرقت و یا دستکاری در آن محافظت نشوند.
بنابراین PKI به دو عملکرد مهم کمک می کند: این یک روش برای تأیید هویت در طی فرآیند انتقال داده است ، و همچنین نگه داشتن رمزگذاری داده ها هنگام انتقال بین نقاط پایانی.
PKI شروع کرد. به عنوان ابزاری که در درجه اول برای اعتبارسنجی صحت وب سایت ها و محافظت از داده ها استفاده می شود ، به ویژه در معاملات مالی آنلاین. به جلو ، یک اجماع قوی وجود دارد که PKI به وضوح باید برای هر نوع هویت دیجیتالی اعمال شود ، خواه برای شخصی که به یک وب سایت ، ماشین با یک دستگاه دیگر و یا یک برنامه کاربردی دیگر متصل می شود. این یک هدف والا است ، اما همچنین اعتقاد بر این است که راهی برای کاهش فعالیت های مخرب است.
"گواهینامه ها و کلیدها اعتبار هرگونه هویت دیجیتالی داده شده را تضمین می کنند. کریس هیکمن ، مدیر ارشد امنیت در Keyfactor ، تهیه کننده سیستم های امنیتی هویت دیجیتال ، مشاهده می کند مانند قفل درب جلو خود ، به علاوه راهی برای دانستن اینکه چه کسی در درب است ، و چرا آنها در درب هستند. " "PKI یکی از معدود مکانیسم های امنیتی است که واقعاً مورد آزمایش و جنگ قرار گرفته اند."
آسیب پذیری های گواهی
PKI به مراقبت و تغذیه فعال ، حتی بیشتر از سایر سیستم های امنیتی احتیاج دارد. این یک تعهد بزرگ برای هر سازمان است. تعداد گواهینامه های مورد استفاده همچنان قارچ گیری می کند زیرا سازمان ها اعتماد خود را به خدمات ابری و تأمین کنندگان شخص ثالث افزایش می دهند. نه تنها این ، گواهینامه ها منقضی می شوند – بعضی اوقات به طور سالانه.
با این حال ، تمدید دستی یک روشی گسترده و متناقض است. به عنوان مثال ، یک نظرسنجی تحت حمایت Keyfactor از 596 متخصص IT که توسط انستیتوی Ponemon رأی داده شده بودند ، 74٪ از پاسخ دهندگان گزارش نمونه موارد مربوط به گواهینامه های دیجیتال را که باعث خرابی پیش بینی نشده و قطع خسارت می شود ، کردند. و حدود 73٪ از نظرسنجی ها اظهار داشتند كه می دانند كه عدم تأمين كلمه ها و گواهینامه ها اعتماد به نفس سازمان خود را از بین برد.
جای تعجب نیست كه بازیگران تهدید چشم پوشی كرده اند. به گفته آناند کاشیاپ ، بنیانگذار و مدیر ارشد فناوری Fortanix ، تأمین کننده سیستم های رمزگذاری پیشرفته ، در طی چند سال گذشته حملات مداوم وجود داشته است که شامل گواهی های دیجیتالی مستهجن یا سرقت شده است.
کاشیاپ به من گفت برخی بازیگران تهدید برای بازی با سیستم حتی نیازی به گواهینامه های مسروقه یا سرقت ندارند. درعوض ، آنها با صبر و شکیبایی در انتظار شرکت هایی هستند که با استقرار برنامه های جدید متشکل از میکروسرویس نرم افزاری پیش می روند. یک روش معمول اجرای چنین برنامه هایی از طریق سرورهای متعادل کننده بار است که در طی این مدت محافظت از PKI به طور موقت خاموش می شود. و این زمانی است که بازیگران تهدید عمل می کنند.
"وقتی شرکت ها به این اتفاق عادت می کنند ، مهاجمان این امکان را می دهند که از این موقعیت استفاده کنند تا بتوانند کلیدهای خصوصی را به سرقت برده و یک حمله شخصی به وسط را انجام دهند." می گوید "چنین حملاتی در وسط رو به رشد بوده است ، زیرا برداشت آنها نسبتاً آسان است."
بازیگران تهدید نیز در جستجوی گواهینامه های منقضی شده اند ، چیزی که شرکت ها به طور معمول از آن غافل می شوند. به عنوان مثال ، از طریق یک مجوز منقضی شده ، هکرها توانستند جای پستی را در دیواره های نظارت بر اعتبار و اعتباری Equifax به دست آورند – و طی ماه های 143 میلیون مشتری بیابند. Hickman می گوید: "دو سال به بعد و Equifax هنوز میلیون ها خسارت پرداخت می کند و میلیارد ها دلار برای سرمایه گذاری در ابزارهای امنیتی سرمایه گذاری بیشتری می کند." یک مکان خوب برای شروع مطالعه آنچه گوگل طی چند سال گذشته در جبهه PKI انجام داده است است. غول جستجو در خط مقدم توسعه اجماع پیرامون بهترین شیوه های PKI بوده است ، و همچنین در تقویت موج PKI مشارکت بزرگی در موجی از نوآوری داشته است.
به عنوان مثال ، طی چند سال گذشته ، گوگل مجازاتهای پیوسته را شدت داده است. برای وب سایت هایی که نمی توانند از HTTPS استفاده کنند – با پرچم گذاری از آنها به عنوان غیرقابل اعتماد. Cloudflare ، DigiCert و تعدادی دیگر از شرکتهای فناوری دیگر در ارائه خدمات پشتیبانی هماهنگی لازم را انجام دادند تا ناشران وب سایت بتوانند HTTPS را در آغوش بگیرند. نتیجه این است که درصد وب سایتهایی که از PKI استفاده می کنند از 55 درصد صعود کرده است ، از 42 درصد در سال گذشته.
ماه گذشته گوگل چیزی به نام سرویس مدیریت کلید خارجی Google را اعلام کرد ، روشی جدید برای شرکت ها برای کنترل مستقیم کلیدهای رمزنگاری تولید شده. به عنوان بخشی از سرویس های در حال گسترش ابر که آنها به آنها اعتماد کرده اند. Fortanix در حال ارائه فناوری رمزگذاری پیشرفته است که زیر سرویس جدید Google است.
و شرکت هایی مانند Keyfactor ، Venafi ، Cyberreason ، CyberArk و Duo ، یک شرکت تابعه سیسکو ، در میان بسیاری دیگر ، در حال توسعه فن آوری های جدیدی برای تجهیز شرکت ها برای اجرای هرچه بهتر و مدیریت PKI و سیستم های گره خورده با PKI هستند.
تعداد گواهینامه های دیجیتال و کلیدهای خصوصی مربوطه که شرکتها باید مدیریت کنند طی سالهای اخیر منفجر شده است. " وی گفت: "فشار به سمت خدمات خرد و نیاز به رمزگذاری همه چیز در حالت استراحت یا در حال حرکت وجود دارد. هر سرویس ، کاربر یا دستگاهی که در یک شبکه شرکت ارتباط برقرار می کند ، نیاز به گواهی دیجیتال دارد. مدیریت این کلیدها و گواهینامه ها در مقیاس ، به طریقی ایمن ، در شرایط کنونی از اهمیت حاد برخوردار شده است. "
تقویت PKI
پرداختن به مواجهه با PKI ، تنها یکی از بسیاری از چالش های امنیتی مادی است که شرکتها با آن روبرو هستند – اما ممکن است فقط اولویت باشید PKI در شبکه های ترکیبی نوظهور کاملاً بافته شده است که شروع به کار با یک صفح clean پاک ، برای بسیاری از سازمان ها بسیار مهم خواهد بود.
PKI همچنین به طور مستقیم بر همه ما تأثیر می گذارد. مصرف کنندگان باید از خطرات ناشی از PKI که امروزه با آنها روبرو هستند ، محتاط باشند – و برای جلوگیری از آنها قدم بردارند. گواهینامه های به خطر افتاد خطر ابتلا به کلاهبرداری و سرقت داده ها را ایجاد می کنند.
مهندسی اجتماعی برای حمایت از فعالیت های مخرب فقط پیشرفته تر خواهد شد ، این بدان معنی است که کاهش ردپای دیجیتالی فرد و مقاومت در برابر اصرار برای کلیک بر روی چیزی روی ضربه می تواند مهمتر از همیشه باشد.
یک بار مشترک
توسعه دهنده نرم افزار ، تولید کننده دستگاه و ارائه دهنده خدمات دیجیتالی در یک دنیای عالی ، بار امنیت کاربران نهایی را به اشتراک می گذارد. با این وجود واقعیت این است که بسیاری از شرکت ها اولویت خود را برای مقیاس گذاری عملیاتی متمرکز می کنند و از مشکلات قانونی و نظارتی در مرحله دوم جلوگیری می کنند و اعتماد مصرف کننده را به عنوان یک دور از ذهن همچنان حفظ می کنند. این توضیح می دهد که چرا حتی شرکتهایی که به خوبی حمایت می شوند مانند سرمایه یک ، ماریوت و Equifax همچنان به نقض فاجعه بار ادامه می دهند.
این بدان معناست که یک بخش خوب از بار امنیتی برای آینده قابل پیش بینی در اختیار فرد قرار خواهد گرفت. Kashyap می گوید: "مصرف کنندگان می توانند علائم بصری را بررسی کنند و از مراجعه به سایتهایی که گواهینامه مناسبی ندارند یا گواهی منقضی شده دارند جلوگیری کنند." "آنها باید در هنگام تهیه اطلاعات شخصی ، گذرواژهها یا اطلاعات پرداخت ، در مورد صحت و سقم یک سایت بسیار دقیق باشند."
PKI ، اگرچه ناقص است ، به عنوان بخشی از زیرساخت های حفظ حریم خصوصی و امنیتی که تجارت دیجیتال را زنده می کند ، باقی مانده است. این برای شرکت های بزرگ بسیار مهم است که در تقویت PKI گام بردارد تا در برابر حریم خصوصی و امنیت در معرض خطر مقاومت کند. من مراقب خواهم بود.
