在线信任已经到了极点

全球的IT安全专业人员都相信由密码密钥和数字证书建立的信任系统以及全球数万亿美元的安全性’经济正处于转折点。

For the first time, half of the more than 2,300 IT security professionals 调查ed by The Ponemon Institute now believe the technology behind the trust their business requires to operate is in jeopardy. 100% of organizations 调查ed had responded to multiple attacks on keys and certificates over the last two years.

Research reveals that over the next two years, the risk facing every Global 5000 enterprise from attacks on keys and certificates is at least $53 million USD, an increase of 51 percent from 2013. For four years running, 100 percent of the companies 调查ed said they had responded to multiple attacks on keys and certificates, and vulnerabilities have taken their toll.

“今年的压倒性主题’报告认为,在线信任正处于断裂点。而且’毫不奇怪。来自FireEye,Intel,Kaspersky和Mandiant以及其他许多人的领先研究人员始终认为,滥用密钥和证书是APT和网络犯罪活动的重要组成部分,”Venafi安全策略和威胁情报副总裁Kevin Bocek说。“无论他们是否意识到这一点,每个企业都依靠加密密钥和数字证书来进行操作。没有密钥和证书建立的信任,我们’d回到互联网‘stone age’ –不知道网站,设备或移动应用程序是否可以信任。”

随着风险的增加,密钥和证书的数量也随之增加:在过去两年中,部署在Web服务器,网络设备和云服务等基础架构上的密钥和证书的数量增长了34%以上,每个企业将近24,000。使用更多密钥和证书使它们成为更好的攻击目标。被盗的证书在地下市场上的售价接近1000美元,并且在短短一年内价格翻了一番。英特尔的研究人员认为,黑客的兴趣正在迅速增长。

组织对于如何以及在何处使用密钥和证书比以往更加不确定:现在,有54%的组织承认不知道所有密钥和证书在何处以及它们如何使用。’重新使用。这得出了合乎逻辑的结论:任何企业如何知道’s trusted or not?

安全专家担心类似“加密启示录”的事件:RSA和SHA等标准信任算法遭到破坏并在一夜之间被利用的情况被报告为最令人担忧的威胁。即时交易,支付,移动应用程序和越来越多的物联网都无法被信任。由研究人员在Black Hat 2013上创造出来的,隐含的启示使Heartbleed在范围,复杂性和修复时间方面相形见war。

滥用企业移动证书是一个隐忧:滥用WiFi,VPN和MDM / EMM等应用程序使用的企业移动证书已成为安全专业人员日益关注的问题。作为最令人震惊的威胁,滥用企业移动性证书仅次于类似加密启示录的事件。经评估,涉及企业移动性证书的事件产生的总影响最大,超过1.26亿美元,风险第二大。随着企业中移动设备和应用程序阵列的迅速扩展,它’难怪为什么安全专家如此关注。

“随着对密钥和证书攻击的兴起,’重要的是,企业必须真正了解严重的财务后果。我们不能’t run the world’没有他们创建的信任系统的数字经济,”Ponemon Institute主席兼创始人Larry Ponemon博士说。“对于各地的IT安全专业人员来说,这项研究非常及时–他们需要像这样的唤醒电话,以意识到他们不能再对日益被网络犯罪分子滥用的密钥和证书盲目信任。”survey

分享这个