SSL과 TLS 인증서는 웹 사이트 보안의 필수 구성 요소로 남아 있지만, 포괄적인 보안 감사는 오늘날의 위협 환경에서 훨씬 더 많은 것을 포괄합니다. 새로운 취약점이 지속적으로 등장함에 따라 감사에서는 강력한 보호를 보장하기 위해 광범위한 제어 기능을 검사해야 합니다.
전송 계층 보안 (TLS)는 이제 이전에 SSL로 보호되었던 대부분의 웹 트래픽을 보호합니다. SSL 이름은 그대로 유지되지만 고유한 약점을 해결하기 위해 프로토콜 자체가 대체되었습니다. TLS 1.3은 향상된 속도 및 암호화와 같은 중요한 발전을 제공합니다. 그러나 인증서는 감사자가 검증하는 한 가지 측면만을 나타냅니다.
엄격한 보안 감사는 다음을 포함한 여러 시스템 계층을 검사합니다.
-
방화벽 규칙
-
비밀번호 정책
-
소프트웨어 패치 수준
-
침투 테스트
-
이벤트 로그 모니터링
-
직원 통제
감사자는 인터뷰, 스캔, 로깅 및 침입 시도를 통해 보안 상태의 모든 측면을 조사합니다. 전사적 관점을 통해 손상되기 쉬운 격차를 식별합니다.
예를 들어, 오래된 서버나 애플리케이션을 사용하면 공격자가 네트워크에 더 깊이 침투하여 액세스 권한을 확대할 수 있습니다. 마찬가지로, 획득한 비밀번호는 시스템 전반에 걸쳐 액세스 권한을 부여할 수 있습니다. 전체적인 감사는 심층 방어를 강화하여 이러한 시나리오를 방지합니다.
SSL.com은 ID 및 서버 인증서를 통해 이러한 계층화된 보호의 핵심 구성 요소를 제공합니다. 그러나 우리는 인증서만으로는 진정한 보안을 구성할 수 없다는 것을 알고 있습니다. 이를 위해서는 운영을 활성화하는 동시에 위협을 차단하기 위한 조정된 제어가 필요합니다. 정기적인 종합 감사는 진정한 보안 및 위험 감소에 대한 조직의 의지를 보여줍니다.
HSTS로 HTTPS 시행
감사자는 다음을 통해 브라우저에서 HTTPS를 시행하는 HSTS(HTTP Strict Transport Security) 헤더를 확인합니다.
-
HTTP 요청을 HTTPS로 자동 리디렉션합니다.
-
SSL 스트리핑 공격 중지
-
혼합 콘텐츠 문제 방지
HSTS는 SSL 구현을 강화하고 일반적인 공격을 완화합니다.
쿠키 보안 설정
감사자는 XSS와 같은 공격으로부터 보호하기 위해 쿠키 설정을 검사합니다.
-
보안 플래그 – 쿠키가 HTTPS를 통해서만 전송되도록 보장합니다.
-
HttpOnly 플래그 – JavaScript가 쿠키에 액세스하는 것을 중지합니다.
-
같은 사이트 – 교차 사이트 요청에서 쿠키 전송을 방지합니다.
부적절한 쿠키 구성으로 인해 웹사이트가 도난 및 조작될 위험이 있습니다.
SSL /TLS 감사의 중심 역할
보안 감사는 시스템, 정책 및 절차를 종합적으로 평가하여 악용되기 전에 취약점을 식별합니다.
SSL 구성은 다음과 같은 위협에 중점을 두고 있습니다.
-
데이터 유출 – 오래된 프로토콜을 사용하면 비밀번호, 메시지, 신용카드, 건강 기록 등을 가로챌 수 있습니다.
-
주입된 악성코드 – 암호화되지 않은 연결을 사용하면 중간자 공격을 통해 악성 코드를 주입할 수 있습니다.
-
도메인 가장 – 유효하지 않은 인증서는 피싱 및 브랜드 훼손을 촉진합니다.
감사자는 모든 서비스에 걸쳐 완전한 SSL 구현을 완벽하게 검증합니다. 여기에는 다음이 포함됩니다.
-
ECDHE 키 교환 및 AES-256 암호화를 사용하는 암호화 제품군입니다.
-
인증서 유효성, 키, 서명, 해지.
-
최근 소식 TLS 프로토콜만. 혼합된 콘텐츠가 없습니다.
-
모든 수신 포트에 대한 취약점을 검색합니다.
문제를 해결하여 보안을 강화하고 규정 준수 실패 또는 위반을 방지하세요.
SSL /TLS 감사 체크리스트
감사를 준비할 때 이러한 기준을 검토하는 것이 중요합니다.
-
최근 소식 TLS 프로토콜만 – SSLv2, SSLv3 비활성화 TLS 1.0, TLS 1.1.
-
혼합 콘텐츠 없음 – HTTPS 페이지에서 모든 HTTP 리소스를 제거합니다.
-
유효한 인증서 - 만료 30일 이상 전에 갱신하고 서명 및 해지를 확인하세요.
-
보안 쿠키 세트 - HttpOnly 및 보안 플래그가 올바르게 활성화되었습니다.
-
인증서 인벤토리 – 모든 인증서의 상세한 중앙 집중식 목록입니다.
-
전체 체인 검증 – 필요한 모든 중간체를 포함합니다.
-
패치 관리 – 관련 보안 업데이트, 특히 SSL 라이브러리를 설치합니다.
-
취약성 모니터링 – 취약한 암호화 제품군이나 프로토콜을 적극적으로 검색합니다.
교정 필수사항
감사 결과를 받으면 신속하게 취약점의 우선순위를 지정하고 해결합니다.
-
고위험 및 중간 위험 결과를 즉시 수정합니다.
-
우선순위 수준에 따라 결과를 체계적으로 해결하기 위한 계획을 개발합니다.
-
정책, 절차 및 기술에 대한 업그레이드를 구현합니다.
-
완전한 해결을 확인하려면 다시 테스트하십시오.
-
학습 내용을 바탕으로 교육 프로그램을 업데이트합니다.
-
교정 중에 팀 간에 지속적인 의사소통을 유지합니다.
-
규정 준수 프레임워크를 활용하여 개선 사항을 벤치마킹합니다.