Vaikka SSL ja TLS varmenteet ovat edelleen olennainen osa verkkosivustojen turvallisuutta, kattava tietoturvatarkastus kattaa paljon enemmän nykypäivän uhkaympäristössä. Kun uusia haavoittuvuuksia ilmaantuu jatkuvasti, auditoinneissa on tarkastettava laaja valikoima valvontalaitteita vankan suojan varmistamiseksi.
Kuljetuskerroksen turvallisuus (TLS) suojaa nyt suurimman osan verkkoliikenteestä, joka oli aiemmin suojattu SSL:llä. Vaikka SSL-nimi säilyy, itse protokolla on korvattu luontaisten heikkouksien korjaamiseksi. TLS 1.3 tarjoaa tärkeitä edistysaskeleita, kuten parannetun nopeuden ja salauksen. Silti sertifikaatit edustavat vain yhtä puolta, jonka tilintarkastajat vahvistavat.
Tiukka tietoturvatarkastus tutkii useita järjestelmäkerroksia, mukaan lukien:
-
Palomuurisäännöt
-
Salasanakäytännöt
-
Ohjelmiston korjaustiedostotasot
-
Läpäisyn testaus
-
Tapahtumalokin seuranta
-
Työntekijän valvonta
Tarkastajat tutkivat turvallisuusasennon kaikkia puolia haastattelujen, skannausten, kirjaamisen ja tunkeutumisyritysten avulla. Yrityksen laajuinen näkökulma tunnistaa aukkoja, jotka ovat alttiina kompromisseille.
Esimerkiksi vanhentunut palvelin tai sovellus voi antaa hyökkääjälle mahdollisuuden kääntyä syvemmälle verkkoon ja laajentaa pääsyä. Vastaavasti hankitut salasanat voivat antaa pääsyn eri järjestelmiin. Kokonaisvaltaiset auditoinnit estävät tällaiset skenaariot juurruttamalla syvällistä puolustusta.
SSL.com tarjoaa tämän kerrostetun suojauksen keskeisen osan identiteetti- ja palvelinvarmenteidemme kautta. Ymmärrämme kuitenkin, että varmenteet eivät yksin ole todellista turvallisuutta. Tämä edellyttää koordinoitua valvontaa uhkien estämiseksi toimintojen mahdollistamiseksi. Säännölliset kattavat auditoinnit osoittavat organisaation sitoutumisen aitoon turvallisuuteen ja riskien vähentämiseen.
HTTPS:n pakottaminen HSTS:llä
Tarkastajat tarkistavat HTTP Strict Transport Security (HSTS) -otsikot, jotka pakottavat HTTPS:n selaimissa seuraavilla tavoilla:
-
HTTP-pyyntöjen automaattinen uudelleenohjaus HTTPS:ään.
-
SSL-suojaushyökkäysten pysäyttäminen
-
Sekasisältöisten ongelmien estäminen
HSTS tukee SSL-toteutusta ja vähentää yleisiä hyökkäyksiä.
Evästeiden suojausasetukset
Tarkastajat tarkastavat evästeasetukset suojautuakseen hyökkäyksiltä, kuten XSS:
-
Turvallinen lippu – Varmistaa, että evästeet lähetetään vain HTTPS:n kautta.
-
HttpOnly -lippu – Estää JavaScriptin pääsyn evästeisiin.
-
Samasivusto – Estää evästeiden lähettämisen sivustojen välisissä pyynnöissä.
Virheelliset evästeasetukset jättävät verkkosivustot avoimeksi varkauksille ja manipuloinnille.
SSL /TLS Keskeinen rooli tilintarkastuksessa
Tietoturvatarkastukset arvioivat kattavasti järjestelmät, käytännöt ja menettelyt haavoittuvuuksien tunnistamiseksi ennen niiden hyödyntämistä.
SSL-määritykset ovat merkittävässä asemassa, kun otetaan huomioon mm.
-
Tietojen suodatus – Vanhentuneet protokollat voivat sallia salasanojen, viestien, luottokorttien, terveystietojen jne. sieppauksen.
-
Injektoitu haittaohjelma – Salaamattomat yhteydet mahdollistavat välimieshyökkäykset haittaohjelmien lisäämiseksi.
-
Verkkotunnuksen toisena henkilönä esiintyminen – Virheelliset varmenteet helpottavat tietojenkalastelua ja tuotemerkin vahingoittumista.
Tarkastajat vahvistavat täydellisen SSL-toteutuksen kaikissa palveluissa. Tämä sisältää:
-
Salaussarjat, joissa käytetään ECDHE-avaimenvaihtoa ja AES-256-salausta.
-
Varmenteen voimassaolo, avaimet, allekirjoitukset, peruuttaminen.
-
Uusimmat TLS vain protokollat. Ei sekoitettua sisältöä.
-
Haavoittuvuustarkistukset kaikissa kuunteluporteissa.
Korjaa kaikki ongelmat parantaaksesi turvallisuutta ja estääksesi vaatimustenmukaisuuden epäonnistumiset tai rikkomukset.
SSL /TLS Tarkastuksen tarkistuslista
Näiden kriteerien tarkistaminen on erittäin tärkeää auditointiin valmisteltaessa:
-
Uusimmat TLS vain protokollat – Poista SSLv2, SSLv3, TLS 1.0, TLS 1.1.
-
Ei sekoitettua sisältöä – Poista kaikki HTTP-resurssit HTTPS-sivuilta.
-
Kelvolliset varmenteet – Uusi 30+ päivää ennen vanhenemista, tarkista allekirjoitukset ja peruutus.
-
Suojatut evästeet asetettu – HttpOnly ja Suojatut liput on otettu käyttöön oikein.
-
Varmenneluettelo – Yksityiskohtainen keskitetty luettelo kaikista varmenteista.
-
Koko ketjun validointi – Sisällytä kaikki vaaditut välituotteet.
-
Korjausten hallinta – Asenna asianmukaiset tietoturvapäivitykset, erityisesti SSL-kirjastot.
-
Haavoittuvuuden valvonta – Etsi aktiivisesti heikkoja salauspaketteja tai protokollia.
Korjauksen perusasiat
Kun olet saanut tarkastushavainnot, priorisoi ja korjaa haavoittuvuudet nopeasti:
-
Korjaa välittömästi korkean ja keskiriskin havainnot.
-
Laadi suunnitelma havaintojen ratkaisemiseksi prioriteettitasolla järjestelmällisesti.
-
Ota käyttöön päivityksiä käytäntöihin, menettelyihin ja teknologioihin.
-
Testaa uudelleen täydellisen resoluution vahvistamiseksi.
-
Päivitä koulutusohjelmia oppimisen perusteella.
-
Ylläpidä jatkuvaa kommunikaatiota tiimien välillä korjaamisen aikana.
-
Käytä vaatimustenmukaisuuskehyksiä parannusten vertailuun.