بررسی مدیریت گواهینامه های SSL در سازمان ها
گواهینامه های دیجیتالی SSL یكی از ابزارهای اساسی امنیتی برای شركت های بزرگ است. با این Øال تØقیقات جدید نشان Ù…ÛŒ دهند كه تعداد اندكی از سازمان ها برای مدیریت امنیت این گواهینامه ها، Ùرآیندهای موثری را به كار Ù…ÛŒ گیرند.
گواهینامه های دیجیتالی SSL یكی از ابزارهای اساسی امنیتی برای شركت های بزرگ است. با این Øال تØقیقات جدید نشان Ù…ÛŒ دهند كه تعداد اندكی از سازمان ها برای مدیریت امنیت این گواهینامه ها، Ùرآیندهای موثری را به كار Ù…ÛŒ گیرند.
یك مطالعه از مركز تØقیقات آسترمن نشان Ù…ÛŒ دهد كه اكثر سازمان ها از تعداد دقیق مجموعه گواهینامه های SSL شركت اطلاعی ندارند. به همین دلیل 44 درصد از 174 پاسخ متخصین امنیت IT درباره چگونگی بررسی گواهینامه های SSL موجود در شركت آن ها، ذكر كردند كه گواهینامه های آن ها به صورت یادداشت های دستی مدیریت Ù…ÛŒ شوند.
علاوه بر این، 46 درصد اعترا٠كردند كه توانایی تولید گزارش از تعداد گواهینامه هایی كه ظر٠30 روز آینده در Øال انقضاء هستند را ندارند. یك نگرانی مهم Ùˆ خاص در این رابطه آن است كه 72
درصد از این سازمان ها یك Ùرآیند خودكار برای جایگزین كردن گواهینامه های به خطر اÙتاده ندارند.
مساله ریسك گواهینامه های SSL یك موضوع تئوری نیست. چرا كه زیر ساخت های تولیدكنندگان گواهینامه های SSL از جمله Comodo Ùˆ اخیرا DigiNotar مورد Øمله قرار گرÙتند.
Øدود 70 درصد از پاسخ دهندگان نیز ذكر كردند كه سیستم گواهینامه های امنیتی آن ها به دایركتوری شركت متصل نیست.
طول كلید مسئله ای دیگری بود كه در بررسی Osterman به آن پرداخته شد.43 درصد اظهار داشتند كه سازمان آن ها یك سیاست كلی درباره طول كلید رمزگذاری گواهینامه ندارند. این مشكل برای مواردی شبیه پذیرش PCI است كه كلیدهای 2.048 بیتی را درخواست می كند.
منبع:
http://www.netqurd.com
گواهینامه های دیجیتالی SSL یكی از ابزارهای اساسی امنیتی برای شركت های بزرگ است. با این Øال تØقیقات جدید نشان Ù…ÛŒ دهند كه تعداد اندكی از سازمان ها برای مدیریت امنیت این گواهینامه ها، Ùرآیندهای موثری را به كار Ù…ÛŒ گیرند.
گواهینامه های دیجیتالی SSL یكی از ابزارهای اساسی امنیتی برای شركت های بزرگ است. با این Øال تØقیقات جدید نشان Ù…ÛŒ دهند كه تعداد اندكی از سازمان ها برای مدیریت امنیت این گواهینامه ها، Ùرآیندهای موثری را به كار Ù…ÛŒ گیرند.
یك مطالعه از مركز تØقیقات آسترمن نشان Ù…ÛŒ دهد كه اكثر سازمان ها از تعداد دقیق مجموعه گواهینامه های SSL شركت اطلاعی ندارند. به همین دلیل 44 درصد از 174 پاسخ متخصین امنیت IT درباره چگونگی بررسی گواهینامه های SSL موجود در شركت آن ها، ذكر كردند كه گواهینامه های آن ها به صورت یادداشت های دستی مدیریت Ù…ÛŒ شوند.
علاوه بر این، 46 درصد اعترا٠كردند كه توانایی تولید گزارش از تعداد گواهینامه هایی كه ظر٠30 روز آینده در Øال انقضاء هستند را ندارند. یك نگرانی مهم Ùˆ خاص در این رابطه آن است كه 72
درصد از این سازمان ها یك Ùرآیند خودكار برای جایگزین كردن گواهینامه های به خطر اÙتاده ندارند.
مساله ریسك گواهینامه های SSL یك موضوع تئوری نیست. چرا كه زیر ساخت های تولیدكنندگان گواهینامه های SSL از جمله Comodo Ùˆ اخیرا DigiNotar مورد Øمله قرار گرÙتند.
Øدود 70 درصد از پاسخ دهندگان نیز ذكر كردند كه سیستم گواهینامه های امنیتی آن ها به دایركتوری شركت متصل نیست.
طول كلید مسئله ای دیگری بود كه در بررسی Osterman به آن پرداخته شد.43 درصد اظهار داشتند كه سازمان آن ها یك سیاست كلی درباره طول كلید رمزگذاری گواهینامه ندارند. این مشكل برای مواردی شبیه پذیرش PCI است كه كلیدهای 2.048 بیتی را درخواست می كند.
منبع:
http://www.netqurd.com