Zatímco SSL a TLS certifikáty zůstávají nedílnou součástí zabezpečení webových stránek, komplexní bezpečnostní audit zahrnuje v dnešním prostředí hrozeb mnohem více. Vzhledem k tomu, že se neustále objevují nová zranitelná místa, musí audity prověřit širokou škálu kontrol, aby byla zajištěna robustní ochrana.
Zabezpečení transportní vrstvy (TLS) nyní zajišťuje většinu webového provozu, který byl dříve chráněn protokolem SSL. Ačkoli název SSL přetrvává, samotný protokol byl nahrazen, aby se vyřešily inherentní slabiny. TLS 1.3 přináší důležité pokroky, jako je vyšší rychlost a šifrování. Certifikáty však představují pouze jeden aspekt, který auditoři ověřují.
Přísný bezpečnostní audit prověřuje několik systémových vrstev, včetně:
-
Pravidla brány firewall
-
Zásady hesel
-
Úrovně softwarových oprav
-
Penetrační testování
-
Monitorování protokolu událostí
-
Zaměstnanecké kontroly
Auditoři zkoumají všechny aspekty bezpečnostní pozice prostřednictvím rozhovorů, skenování, protokolování a pokusů o narušení. Celopodniková perspektiva identifikuje mezery náchylné ke kompromisům.
Zastaralý server nebo aplikace by například mohla umožnit útočníkovi proniknout hlouběji do sítě a eskalovat tak přístup. Podobně mohou získaná hesla udělit přístup napříč systémy. Holistické audity takovým scénářům předcházejí tím, že vštěpují hloubkovou obranu.
SSL.com poskytuje klíčovou součást této vrstvené ochrany prostřednictvím našich certifikátů identity a serveru. Uznáváme však, že samotné certifikáty nepředstavují skutečné zabezpečení. To vyžaduje koordinované kontroly pro blokování hrozeb a zároveň povolení operací. Pravidelné komplexní audity prokazují závazek organizace ke skutečnému zabezpečení a snižování rizik.
Vynucení HTTPS pomocí HSTS
Auditoři budou kontrolovat hlavičky HTTP Strict Transport Security (HSTS), které vynucují HTTPS v prohlížečích:
-
Automatické přesměrování požadavků HTTP na HTTPS.
-
Zastavení útoků na odstraňování SSL
-
Předcházení problémům se smíšeným obsahem
HSTS posiluje implementaci SSL a zmírňuje běžné útoky.
Nastavení zabezpečení souborů cookie
Auditoři kontrolují nastavení souborů cookie, aby je chránili před útoky, jako je XSS:
-
Bezpečná vlajka – Zajistí, aby se soubory cookie přenášely pouze přes HTTPS.
-
Příznak pouze Http – Zastaví přístup k cookies pomocí JavaScriptu.
-
Stejný web – Zabraňuje odesílání souborů cookie v požadavcích napříč weby.
Nesprávné konfigurace souborů cookie ponechávají webové stránky otevřené krádeži a manipulaci.
SSL /TLS Centrální role v auditech
Bezpečnostní audity komplexně posuzují systémy, zásady a postupy k identifikaci zranitelností před zneužitím.
Konfigurace SSL je důležitá vzhledem k hrozbám, jako jsou:
-
Exfiltrace dat – Zastaralé protokoly mohou umožnit zachycení hesel, zpráv, kreditních karet, zdravotních záznamů atd.
-
Vložený malware – Nešifrovaná připojení umožňují útoky typu man-in-the-middle za účelem zavedení malwaru.
-
Předstírání identity domény – Neplatné certifikáty usnadňují phishing a poškození značky.
Auditoři plně ověřují kompletní implementaci SSL ve všech službách. To zahrnuje:
-
Šifrovací sady využívající výměnu klíčů ECDHE a šifrování AES-256.
-
Platnost certifikátu, klíče, podpisy, zneplatnění.
-
Latest TLS pouze protokoly. Žádný smíšený obsah.
-
Zranitelnost skenuje na všech naslouchacích portech.
Opravte všechny problémy, abyste posílili zabezpečení a předešli selháním nebo porušením předpisů.
SSL /TLS Kontrolní seznam auditu
Při přípravě na audit je zásadní přezkoumání těchto kritérií:
-
Latest TLS pouze protokoly – zakázat SSLv2, SSLv3, TLS 1.0, TLS 1.1.
-
Žádný smíšený obsah – Odstraňte všechny zdroje HTTP na stránkách HTTPS.
-
Platné certifikáty – Obnovte 30+ dní před vypršením platnosti, zkontrolujte podpisy a zneplatnění.
-
Sada zabezpečených souborů cookie – příznaky HttpOnly a Secure jsou správně povoleny.
-
Inventář certifikátů – Podrobný centralizovaný seznam všech certifikátů.
-
Ověření celého řetězce – Zahrňte všechny požadované meziprodukty.
-
Správa oprav – Nainstalujte příslušné aktualizace zabezpečení, zejména knihovny SSL.
-
Sledování zranitelnosti – Aktivně vyhledávejte slabé šifrovací sady nebo protokoly.
Základy nápravy
Po obdržení zjištění auditu rychle stanovte priority a řešte slabá místa:
-
Okamžitě opravte vysoce a středně rizikové nálezy.
-
Vypracujte plán metodického řešení zjištění podle úrovně priority.
-
Implementujte upgrady zásad, postupů a technologií.
-
Opakujte test, abyste ověřili úplné rozlišení.
-
Aktualizujte školicí programy na základě získaných poznatků.
-
Během sanace udržujte neustálou komunikaci napříč týmy.
-
Využijte rámce pro dodržování předpisů k porovnání vylepšení.