Докато SSL и TLS сертификатите остават неразделна част от сигурността на уебсайта, цялостният одит на сигурността обхваща много повече в днешния пейзаж на заплахите. С постоянно появяващите се нови уязвимости, одитите трябва да проверяват обхвата на контролите, за да осигурят стабилна защита.
Сигурност на транспортния слой (TLS) сега защитава по-голямата част от уеб трафика, който преди беше защитен от SSL. Въпреки че името на SSL продължава, самият протокол е заменен, за да се справи с присъщите слабости. TLS 1.3 предоставя важни подобрения като подобрена скорост и криптиране. Все пак сертификатите представляват само един аспект, валидиран от одиторите.
Строгият одит на сигурността изследва множество системни слоеве, включително:
-
Правила на защитната стена
-
Политики за пароли
-
Нива на софтуерни корекции
-
Изпитване за проникване
-
Мониторинг на журнала на събитията
-
Контрол на служителите
Одиторите изследват всички аспекти на сигурността чрез интервюта, сканиране, регистриране и опити за проникване. Гледната точка за цялото предприятие идентифицира пропуски, уязвими за компромис.
Например, остарял сървър или приложение може да даде възможност на атакуващ да проникне по-дълбоко в мрежата, ескалирайки достъпа. По същия начин получените пароли могат да предоставят достъп в различни системи. Холистичните одити предотвратяват такива сценарии, като внушават защита в дълбочина.
SSL.com предоставя ключов компонент на тази многопластова защита чрез нашите сертификати за самоличност и сървър. Ние обаче признаваме, че сертификатите сами по себе си не представляват истинска сигурност. Това изисква координирани контроли за блокиране на заплахи, като същевременно позволява операции. Редовните цялостни одити демонстрират ангажимента на организацията към истинска сигурност и намаляване на риска.
Налагане на HTTPS с HSTS
Одиторите ще проверяват за заглавки на HTTP Strict Transport Security (HSTS), които налагат HTTPS в браузърите чрез:
-
Автоматично пренасочване на HTTP заявки към HTTPS.
-
Спиране на SSL stripping атаки
-
Предотвратяване на проблеми със смесено съдържание
HSTS подпомага прилагането на SSL и смекчава често срещаните атаки.
Настройки за сигурност на бисквитките
Одиторите проверяват настройките на бисквитките, за да се предпазят от атаки като XSS:
-
Сигурен флаг – Гарантира, че бисквитките се предават само през HTTPS.
-
HttpOnly Флаг – Спира достъпа до бисквитките от JavaScript.
-
Същият сайт – Предотвратява изпращането на бисквитки в междусайтови заявки.
Неправилните конфигурации на бисквитките оставят уебсайтовете отворени за кражби и манипулации.
SSL /TLS Централна роля в одитите
Одитите на сигурността цялостно оценяват системи, политики и процедури за идентифициране на уязвимости преди експлоатация.
SSL конфигурацията е важен фокус предвид заплахи като:
-
Ексфилтрация на данни – Остарелите протоколи могат да позволят прихващане на пароли, съобщения, кредитни карти, здравни досиета и др.
-
Инжектиран зловреден софтуер – Нешифрованите връзки позволяват атаки тип „човек по средата“ за инжектиране на зловреден софтуер.
-
Имитиране на домейн – Невалидните сертификати улесняват фишинг и увреждане на марката.
Одиторите напълно валидират пълното внедряване на SSL във всички услуги. Това включва:
-
Шифров пакет, използващ ECDHE обмен на ключове и AES-256 криптиране.
-
Валидност на сертификата, ключове, подписи, отмяна.
-
Latest TLS само протоколи. Без смесено съдържание.
-
Сканира за уязвимости на всички слушащи портове.
Коригирайте всички проблеми, за да подобрите сигурността и да предотвратите грешки или нарушения на съответствието.
SSL /TLS Контролен списък за одит
Прегледът на тези критерии е от решаващо значение при подготовката за одит:
-
Latest TLS само протоколи – деактивирайте SSLv2, SSLv3, TLS 1.0, TLS 1.1.
-
Без смесено съдържание – Елиминирайте всякакви HTTP ресурси на HTTPS страници.
-
Валидни сертификати – Подновете 30+ дни преди изтичане, проверете подписите и анулиране.
-
Зададени защитени бисквитки – флагове HttpOnly и Secure активирани правилно.
-
Опис на сертификати – Подробен централизиран списък на всички сертификати.
-
Валидиране на пълна верига – Включете всички необходими междинни продукти.
-
Управление на корекции – Инсталирайте съответните актуализации за сигурност, особено SSL библиотеки.
-
Мониторинг на уязвимости – Активно сканиране за слаби шифрови пакети или протоколи.
Ремедиация Essentials
След като получите констатации от одита, бързо приоритизирайте и адресирайте уязвимостите:
-
Незабавно коригирайте констатациите с висок и среден риск.
-
Разработете план за методично разрешаване на констатациите по ниво на приоритет.
-
Внедряване на надстройки на политики, процедури и технологии.
-
Повторете теста, за да потвърдите пълната резолюция.
-
Актуализирайте програмите за обучение въз основа на наученото.
-
Поддържайте постоянна комуникация между екипите по време на отстраняването.
-
Използвайте рамки за съответствие, за да сравните подобренията.
