2021 년 XNUMX 월 보안 정리

더 긴 코드 서명 키, "제로 트러스트" 행정 명령, 러시아어 키보드에 의한 보안, CAPTCHAS 종료, Chrome 확장 프로그램 (in)security.

관련 콘텐츠

계속 배우고 싶으세요?

ssl.com의 뉴스 레터를 구독하고 정보를 유지하고 안전하게 보관하십시오.

SSL.com XNUMX월호에 오신 것을 환영합니다. 보안 정리, 디지털 보안 분야에서 지난 한 달을 되돌아봅니다. 지난 30일 동안 가장 중요하다고 판단한 항목을 계속 읽고 온라인에서 안전을 유지하십시오!

코드 서명 인증서에 대한 새로운 최소 RSA 키 크기

31년 2021월 3072일 현재 SSL.com의 코드 서명 및 EV 코드 서명 인증서에는 XNUMX비트의 최소 RSA 키 크기가 필요합니다. 이 날짜 이전에 발급된 인증서는 변경 사항의 영향을 받지 않으며 만료될 때까지 평소와 같이 작동합니다. 우리는 당신을 위해 모든 것을 배치했습니다 블로그 게시물 주제에.

바이든 행정명령에 '제로 트러스트 아키텍처' 요구

에서 행정 명령 조 바이든 미국 대통령은 12월 XNUMX일 서명한 서명식에서 연방 정부에 "제로 트러스트 아키텍처"를 채택할 것을 공식적으로 요구했습니다. 이것은 무엇을 의미 하는가? 기본적으로 이 지침은 모든 사람을 공격에 취약하게 만든 많은 보안 침해의 기반이 되는 사람, 소프트웨어 및 하드웨어에 대한 잘못된 신뢰를 얻으려고 시도합니다. 스콧 섀클포드 보고서 슬레이트, 증가하는 글로벌 위협 랜섬 최소 2,354회를 달성했으며, 지방 정부와 학교에서 의료 제공자에 이르기까지 모든 사람을 대상으로 했습니다. Biden의 명령은 이러한 기관에 더 편집증적인 입장을 취하고 위험이 모든 구석에 있으며 심지어 보호하려는 집에도 있다고 가정하도록 요청합니다. 슬레이트 보고서에서:

컴퓨터 네트워크의 맥락에서 신뢰는 사람이나 다른 컴퓨터가 자신이 누구이고 액세스 권한이 있는지 여부를 거의 또는 전혀 확인하지 않고 액세스를 허용하는 시스템을 나타냅니다. 제로 트러스트는 위협이 네트워크 내부와 외부에 어디에나 존재한다는 사실을 당연시하는 보안 모델입니다. 제로 트러스트는 대신 여러 출처의 정보를 통한 지속적인 검증에 의존합니다. 그렇게 함으로써 이 접근 방식은 데이터 유출의 불가피성을 가정합니다. 침해 방지에만 집중하는 대신 제로 트러스트 보안은 손상을 제한하고 시스템이 탄력적으로 빠르게 복구할 수 있도록 합니다.

모두 매우 합리적이지만 제로 트러스트 모델을 광범위하게 구현하는 데에는 장벽이 있습니다. 새 모델을 레거시 시스템에 구현하는 것은 어려울 수 있으며 가능하더라도 비용이 많이 드는 경우가 많습니다. 이 모델은 또한 널리 사용되는 일부 시스템과 반대되는 방식으로 실행됩니다. 그러나 정부 시스템에만 적용되는 행정 명령은 보안 방향으로 나아가는 단계이며 이러한 시스템을 전반적으로 더 안전하게 만들 것을 약속합니다. 

SSL.com의 요약 : 비밀번호만으로는 더 이상 안전하지 않습니다. 시간 기반 OTP 코드와 같은 기술 외에도 클라이언트 인증서 피싱 및 무차별 대입 공격에 저항하는 인증 요소를 추가하는 좋은 방법입니다. 자세한 내용은 다음을 참조하십시오. 상호로 사용자 및 IoT 장치 인증 TLS.

러시아 해커를 속이는 '하나의 이상한 트릭'

기술의 변덕으로, 보안 정보에 대한 Krebs 러시아어 및 우크라이나어 키보드를 포함하여 특정 가상 키보드가 설치된 컴퓨터에는 많은 맬웨어가 설치되지 않습니다. Twitter 토론과 나중에 블로그 게시물에서 보안 전문가는 대다수의 랜섬웨어 변종에는 맬웨어가 자신을 감염시키지 않도록 하는 안전 장치가 있다고 설명했습니다. 블로그에서:

DarkSide 및 기타 러시아어 계열 돈벌이 프로그램은 범죄 동료가 우크라이나와 러시아를 포함한 동유럽 국가의 컴퓨터에 악성 소프트웨어를 설치하는 것을 오랫동안 금지했습니다. 이 금지령은 조직화된 사이버 범죄의 초창기까지 거슬러 올라가며, 현지 당국의 조사와 간섭을 최소화하기 위한 것입니다.

분명히 러시아 당국은 동포가 불만을 제기하지 않는 한 러시아 국민에 대한 사이버 범죄 조사를 시작하는 것을 꺼립니다. 따라서 이러한 안전 장치는 열을 차단하는 실용적인 방법입니다.

SSL.com의 테이크 아웃 : 시스템에 러시아어 가상 키보드를 설치하는 것이 보안 만병 통치약입니까? 전혀 아니지만 아프지 않을 것입니다.

Cloudflare는 보안 문자를 없애고 싶어합니다.

지난 달에는 컴퓨터도 기계가 아님을 증명하라고 요구하는 컴퓨터에 지친 사람들에게 희소식이 있었습니다. 강렬한 제목에서 Cloudflare 블로그 게시물, Thibault Meunier는 다음과 같이 선언합니다. 이제 이 광기를 끝낼 시간입니다.” 게시물은 Cloudflare가 유비쿼터스 성가신 보안 문자를 SSL.com이 배포하는 Yubikey FIPS 키와 같은 하드웨어 보안 키와 관련된 새로운 방법으로 대체하기를 원한다고 설명합니다. EV 코드 서명문서 서명 인증서에.

사용자 관점에서 개인의 암호화 증명은 다음과 같이 작동합니다.

  1. 사용자는 다음과 같이 개인의 암호 증명으로 보호되는 웹사이트에 액세스합니다. cloudflarechallenge.com.
  2. Cloudflare는 도전 과제를 제공합니다.
  3. 사용자가 인간입니다(베타)를 클릭하고 보안 장치를 입력하라는 메시지가 표시됩니다.
  4. 사용자가 하드웨어 보안 키를 사용하기로 결정했습니다.
  5. 사용자는 장치를 컴퓨터에 연결하거나 무선 서명을 위해 휴대폰에 탭합니다(NFC 사용).
  6. 암호화 증명이 Cloudflare로 전송되어 사용자가 인증 시 사용할 수 있습니다. 사용자 존재 테스트.

"500년" 대신 이 흐름을 완료하는 데 XNUMX초가 걸립니다. 더 중요한 것은 증명이 사용자의 장치에 고유하게 연결되어 있지 않기 때문에 이 문제는 사용자의 개인 정보를 보호한다는 것입니다.

SSL.com의 테이크 아웃 : "Cryptographic Attestation of Personalhood"에 소름 끼치는 고리가 있더라도 보안 문자도 싫어합니다.

수천 개의 Chrome 확장 프로그램이 보안 헤더를 변조하고 있습니다.

A 새로운 연구 많은 Chrome 확장 프로그램이 웹사이트 보안 헤더를 변조하여 사용자를 위험에 빠뜨리는 것으로 나타났습니다. 같이 Catalin Cimpanu 보고서 for 기록, Chrome 웹 스토어에서 모두 찾을 수 있는 확장 프로그램이 모두 악의적으로 수행하는 것은 아닙니다. 

가장 일반적으로 비활성화된 보안 헤더는 사이트 소유자가 브라우저 내에서 페이지가 로드할 수 있는 웹 리소스를 제어할 수 있도록 개발된 보안 헤더와 XSS 및 데이터 주입 공격으로부터 웹사이트와 브라우저를 보호할 수 있는 일반적인 방어 기능인 CSP였습니다.

연구팀에 따르면 분석한 대부분의 경우 Chrome 확장 프로그램은 CSP 및 기타 보안 헤더를 비활성화하여 "방문한 웹 페이지에 무해해 보이는 추가 기능을 도입"했으며 본질적으로 악의적인 것으로 보이지는 않았습니다.

그러나 확장 프로그램이 온라인에서 사용자 경험을 풍부하게 하기를 원하더라도 독일 학자들은 보안 헤더를 변조함으로써 사용자를 브라우저와 웹에서 실행되는 다른 스크립트 및 사이트의 공격에 노출시키는 것이라고 주장했습니다.

SSL.com의 테이크아웃: 우리는 사용자에게 추가 기능을 제공하려는 개발자의 욕구를 이해하지만 이와 같은 웹 사이트의 보안 기능을 변조하는 것은 최소한의 조언은 좋지 않다고 생각합니다.

 

우리는 귀하의 피드백을 환영합니다

설문조사에 참여하여 최근 구매에 대한 의견을 알려주세요.