公钥基础设施和内部威胁–不仅仅是您应该担心的黑客!

众所周知,数字证书是将个人(或组织或网络服务)的身份与一对加密密钥(一个公共密钥和一个私有密钥)联系在一起的凭证。如果某人使用私钥在文档上签名,则该文档的接收者可以使用公钥来验证其身份,该公钥可从 证书颁发机构 (CA)。

数字证书用于传输加密的文档,因此,黑客,政府资助的网络犯罪分子和其他想要窃取您的秘密的不良行为者自然会很感兴趣。尽管有许多报告称针对网络攻击者的事件 数字证书 发起中间人攻击或扩散恶意软件,实际上它们并不像您想像的那样普遍。与一个有组织的黑客组织相比,您的组织更可能因心怀不满的员工遭受与证书相关的安全漏洞。

假设案例研究

考虑这种情况。该公司的首席执行官使用数字证书来发送和接收加密的文档和电子邮件。他的钥匙安装在笔记本电脑上。有时,CEO会遇到笔记本电脑的问题,并将其带到IT部门寻求支持。不满的技术支持人员会利用机会并输出毫无戒心的CEO的钥匙。现在,他可以使用公司高管的数字签名来伪造已签名的文档(也许宣布自己升职),而无需任何人注意。或者,更有可能的是,他可以使用被盗的密钥访问CEO的电子邮件以查找机密信息。这是恶意内部人员访问敏感业务数据的较受欢迎的渠道之一,这些业务数据在暗网上大量出售。

CEO可以做些什么来保护存储在他的机器上的密钥不落入不正确的人手中?在这种特定情况下,将证书及其相应的密钥存储在智能卡或电子令牌上肯定会有所帮助。对于智能卡或电子令牌,私钥不可在设备外部导出。而且,如果我们的首席执行官使用的计算机不止一台,将证书存储在智能卡或令牌上,则无需再创建其证书和密钥的多个副本,从而又可以最大程度地降低暴露和泄露风险。

不只是TLS证书

内部欺诈的另一种常见形式是当有人决定破坏代码签名证书时。代码签名有助于验证应用程序是否来自特定来源。毫无疑问,当您尝试从Web下载某些内容时,您已经看到了浏览器发出的警告消息。它可能会警告您不要使用“未知发行商”,并告诉您下载未验证内容的危险。代码签名消除了这些警告,但是,如果组织内的某个人掌握了这些代码签名证书并决定将其用于恶意目的(或者再次在黑暗的网络上出售它们!),您的用户可能仍认为他们正在下载受信任的内容,而实际上代码可能已被更改或调整。为避免这种情况,每个组织都需要制定安全策略来管理证书的使用,分发,存储和共享方式。如果不控制和跟踪谁可以访问证书,就无法避免内部人员可能损害公司诚信的情况。

是否存在解决与PKI相关的内部威胁的永久解决方案?

就在这里。 AppViewX为密钥提供了行业领先的保护,以防止发生这些情况。

我们的平台可以充当中央安全密钥托管机构,以增强整个私钥的可见性。在存储之前,使用AES-256位密钥对私钥进行加密,并且将主加密密钥存储在另一个安全保险库中。为了提高安全性,您可以利用诸如Thales和Gemalto之类的网络HSM的功能来加密私钥并将主密钥存储在HSM中,或将整个私钥内容存储在HSM中。您还可以选择在HSM上生成私钥和CSR。

AppViewX平台还带有内置的Hashicorp保险库,用于保护您的加密密钥。您还可以利用任何第三方密码库(例如Cyber​​Ark Enterprise Password Vault)来安全地访问设备。如果您的保管库设置为定期自动旋转密码,则我们的平台可以从保管库检索当前的活动设备凭证,以安全地管理和自动化该设备的各种功能,而不必不断更新和解决与凭证相关的问题。

一旦在AppViewX中安全设置了设备凭据,就可以使用我们的低代码自动化工作流程来协调跨设备的证书注册和配置。您可以按需从设备中发现,推送,续订和删除证书,也可以根据方便计划以后再安排它们。当您启动具有所有必要属性(例如CSR参数,目标设备及其SSL配置文件)的证书供应工作流时,我们的平台会将CSR提交到相应的CA,检索已颁发的证书,将其推送到目标设备并将其自动绑定到在遵循业务工作流程的同时无需全部使用SSL配置文件。这些自动化工作流也可以从您的DevOps工具中触发。

了解有关AppViewX安全密钥管理的更多信息 这里。要么 注册 进行演示或尝试我们的解决方案。

穆拉里达兰·帕拉尼萨米

关于作者

穆拉里达兰·帕拉尼萨米

首席解决方案官

作为首席解决方案官,Murali负责AppViewX的总体产品愿景,开发和技术指导。

阅读更多来自该作者的内容

想要更多精彩的内容?

订阅我们的博客可在收件箱中获取技术提示,行业新闻和思想领导文章!

最受欢迎

| 5分钟阅读

最佳的PKI滑模–以及如何克服它们

| 5分钟阅读

为什么加密对医疗保健行业至关重要

| 2分钟阅读

使用AppViewX进行网络发现

| 4分钟阅读

确保证书基础结构安全的5个步骤

相关文章

| 4分钟阅读

密钥管理和NIST建议

| 7分钟阅读

2021年值得关注的十大网络安全趋势

| 4分钟阅读

批量创建和部署PKI证书

在证书流氓之前进行控制!

30分钟现场演示。

阅读更多→