Míg az SSL és TLS A tanúsítványok továbbra is a webhelybiztonság szerves részét képezik, az átfogó biztonsági audit pedig sokkal többet ölel fel a mai fenyegetettségi környezetben. A folyamatosan megjelenő új sérülékenységek miatt az auditoknak számos ellenőrzést kell megvizsgálniuk a robusztus védelem biztosítása érdekében.
A közlekedési réteg biztonsága (TLS) ma már a legtöbb internetes forgalmat védi, amely korábban SSL-lel védett. Bár az SSL név továbbra is fennáll, magát a protokollt leváltották a benne rejlő hiányosságok kiküszöbölése érdekében. TLS Az 1.3 olyan fontos előrelépéseket kínál, mint a jobb sebesség és a titkosítás. Ennek ellenére a tanúsítványok csak egy olyan szempontot képviselnek, amelyet az auditorok érvényesítenek.
A szigorú biztonsági audit több rendszerréteget vizsgál, beleértve:
-
Tűzfal szabályok
-
Jelszó házirendek
-
Szoftver javítási szintek
-
Behatolásteszt
-
Eseménynapló figyelés
-
Munkavállalói ellenőrzések
Az auditorok a biztonsági helyzet minden aspektusát megvizsgálják interjúk, szkennelések, naplózás és behatolási kísérletek révén. A vállalati szintű perspektíva azonosítja azokat a hiányosságokat, amelyek ki vannak téve a kompromisszumoknak.
Például egy elavult szerver vagy alkalmazás lehetővé teheti a támadó számára, hogy mélyebbre forduljon a hálózatba, növelve ezzel a hozzáférést. Hasonlóképpen, a megszerzett jelszavak hozzáférést biztosíthatnak a rendszerek között. A holisztikus auditok megakadályozzák az ilyen forgatókönyveket azáltal, hogy mélyreható védekezést tesznek lehetővé.
Az SSL.com az identitás- és szervertanúsítványainkon keresztül ennek a réteges védelemnek a kulcsfontosságú elemét biztosítja. Elismerjük azonban, hogy a tanúsítványok önmagukban nem jelentenek valódi biztonságot. Ez összehangolt ellenőrzéseket igényel a fenyegetések blokkolásához, miközben engedélyezi a műveleteket. A rendszeres átfogó auditok bizonyítják a szervezet elkötelezettségét a valódi biztonság és kockázatcsökkentés iránt.
HTTPS kényszerítése HSTS-sel
Az auditorok ellenőrzik a HTTP Strict Transport Security (HSTS) fejléceket, amelyek a HTTPS-t kényszerítik ki a böngészőkben:
-
A HTTP kérések automatikus átirányítása HTTPS-re.
-
Az SSL-csupaszító támadások leállítása
-
Vegyes tartalommal kapcsolatos problémák megelőzése
A HSTS támogatja az SSL megvalósítását, és mérsékli a gyakori támadásokat.
Cookie-biztonsági beállítások
Az auditorok megvizsgálják a cookie-beállításokat, hogy megvédjék magukat az olyan támadásoktól, mint az XSS:
-
Biztonságos zászló – Biztosítja, hogy a cookie-k továbbítása csak HTTPS-en keresztül történjen.
-
HttpOnly Flag – Megakadályozza a cookie-k JavaScript általi elérését.
-
Ugyanaz a webhely – Megakadályozza a cookie-k küldését a webhelyek közötti kérésekben.
A nem megfelelő cookie-konfigurációk nyitva hagyják a webhelyeket lopás és manipuláció előtt.
SSL /TLS Központi szerep az ellenőrzésekben
A biztonsági auditok átfogóan értékelik a rendszereket, irányelveket és eljárásokat, hogy azonosítsák a biztonsági réseket a kihasználás előtt.
Az SSL-konfiguráció nagy hangsúlyt fektet az olyan fenyegetések miatt, mint:
-
Adatok kiszűrése – Az elavult protokollok lehetővé teszik a jelszavak, üzenetek, hitelkártyák, egészségügyi feljegyzések stb. lehallgatását.
-
Befecskendezett rosszindulatú program – A titkosítatlan kapcsolatok lehetővé teszik a köztes támadások számára a rosszindulatú programok bejutását.
-
Domain megszemélyesítése – Az érvénytelen tanúsítványok elősegítik az adathalászatot és a márkakárosodást.
Az auditorok teljes mértékben érvényesítik a teljes SSL megvalósítást az összes szolgáltatásban. Ebbe beletartozik:
-
Rejtjelkészletek ECDHE kulcscserével és AES-256 titkosítással.
-
Tanúsítvány érvényessége, kulcsok, aláírások, visszavonás.
-
Legújabb TLS csak protokollok. Nincs vegyes tartalom.
-
Sebezhetőségi vizsgálat minden figyelő porton.
Javítsa ki a problémákat a biztonság fokozása és a megfelelési hibák vagy jogsértések megelőzése érdekében.
SSL /TLS Ellenőrzőlista
Az alábbi kritériumok áttekintése kulcsfontosságú az auditra való felkészülés során:
-
Legújabb TLS csak protokollok – SSLv2, SSLv3 letiltása, TLS 1.0, TLS 1.1.
-
Nincs vegyes tartalom – Távolítson el minden HTTP-forrást a HTTPS-oldalakon.
-
Érvényes tanúsítványok – Újítsa meg legalább 30 nappal a lejárat előtt, ellenőrizze az aláírásokat és a visszavonást.
-
Biztonságos cookie-k beállítva – a HttpOnly és a Secure flags megfelelően engedélyezve.
-
Tanúsítványleltár – Az összes tanúsítvány részletes központosított listája.
-
Teljes lánc érvényesítés – Tartalmazza az összes szükséges köztes terméket.
-
Javításkezelés – Telepítse a vonatkozó biztonsági frissítéseket, különösen az SSL-könyvtárakat.
-
Sebezhetőség figyelése – Aktívan keressen gyenge titkosítási csomagokat vagy protokollokat.
Kármentesítési alapok
Az ellenőrzési megállapítások kézhezvételekor gyorsan rangsorolja és kezelje a sebezhetőségeket:
-
Azonnal javítsa ki a magas és közepes kockázatú leleteket.
-
Készítsen tervet a megállapítások prioritási szint szerinti módszeres megoldására.
-
Hajtsa végre a szabályzatok, eljárások és technológiák frissítését.
-
Tesztelje újra a teljes felbontás érvényesítéséhez.
-
A képzési programok frissítése a tanultak alapján.
-
Folyamatos kommunikáció a csapatok között a kárelhárítás során.
-
Használja a megfelelőségi keretrendszereket a fejlesztések összehasonlításához.