Mai 2022 Cybersecurity Roundup

Mange nyhetsverdige cybersikkerhetshendelser har skjedd fra starten til slutten av mai. Men før vi diskuterer disse, vil vi åpne opp dette nyhetsbrevet med to nye viktige policyendringer gjort av Certificate Authority/Browser (CA/B) Forum for SSL og kodesigneringssertifikater.  

Organisasjonsenhet (OU) snart avviklet i offentlig SSL/TLS sertifikater

I henhold til valgresultatene SC47V2, sertifiseringsinstansen/nettleserforumet (CA/B) har stemt for å avvikle feltet Organisasjonsenhet (OU) for offentlig SSL/TLS sertifikater, med frist satt til 1. september 2022.  CA/B-forumet har fastslått at organisasjonsenheten kan tolkes svært forskjellig i hver virksomhet, og utgjør derfor problemer for en sertifiseringsinstans når det gjelder å autentisere den ved bruk av eksterne ressurser. Fjerning av OU-feltet forhindrer at usikker informasjon blir inkludert i SSL/TLS sertifikat og forbedrer valideringsprosessen. Vi i SSL.com ønsker å sikre at overgangen til denne nye regelen vil være smidig for kundene våre. I løpet av de neste månedene vil vi sende ut påminnelser og oppdateringer om fristen 1. september. 

Nye krav til nøkkellagring for OV- og IV-kodesigneringssertifikater

Fra og med 1. juni 2023, i samsvar med CA/nettleserforumet nye krav til nøkkellagring for å øke sikkerheten for kodesigneringssertifikater, vil SSL.coms organisasjonsvalidering (OV) og individuell validering (IV) kodesigneringssertifikater kun utstedes enten på Federal Information Processing Standard 140-2 (FIPS 140-2) USB-tokens eller gjennom vår eSigner skykodesigneringstjeneste.

eSigner gir sikker skykodesignering uten behov for ekstra maskinvare.

Lær mer om eSigner

Stor nedetid for podcaster forårsaket av at Spotify ikke klarte å fornye SSL-sertifikatet

Og nå, til noen nyhetsklipp som involverer digitale sertifikater. For det første skapte Spotify overskrifter da en podcast-plattform den eier opplevde en betydelig nedetid. På grunn av et utløpt SSL-sertifikat kunne ikke Megaphones podcastlyttere få tilgang til mange av programmene deres på åtte timer.  I en uttalelse bekreftet Spotify-talsperson Erin Styles årsaken til hendelsen: «Megaphone opplevde et plattformbrudd på grunn av et problem relatert til SSL-sertifikatet vårt. Under strømbruddet kunne ikke klienter få tilgang til Megaphone CMS og podcastlyttere kunne ikke laste ned podcastepisoder fra utgivere som er vert for Megaphone.»  Megaphone kjøpte et toårig SSL-sertifikat i mai 2020, og i desember samme år ble selskapet kjøpt av Spotify. Dette eierskiftet kunne ha bidratt til en forglemmelse av sikkerhetsstyringen til Megaphones nettside.  En podcaster bemerket at feilen kan ha forårsaket podcast-showutgivere tusenvis av nedlastinger fordi de ikke kunne laste opp innholdet på åtte timer.  Dette er ikke første gang et stort selskap har glemt å fornye SSL-sertifikatet sitt. I april 2015 Instagramsitt utløpte SSL-sertifikat resulterte i at brukerne fikk sikkerhetsadvarsler. Hvis vi kombinerer kostnadene ved at kundene blir berørt og de alvorlige sikkerhetsrisikoene som følger med et utløpt sertifikat, står bedrifter til å tape mye på denne enkle feilen. I følge Maria Korolov fra CSO, "det gjennomsnittlige globale selskapet med 5,000 brukere bruker rundt 15 millioner dollar for å komme seg etter tap av virksomhet på grunn av et sertifikatbrudd – og står overfor ytterligere 25 millioner dollar i potensiell innvirkning på samsvar."  
SSL.coms Takeaway: Casen til Megaphone demonstrerer utfordringen som store organisasjoner står overfor når det gjelder å effektivt kunne administrere fornyelsene av SSL-sertifikater på egenhånd. Store selskaper driver med mye drift og IT-ledelse er rett og slett ikke deres sterke side. Dette er grunnen til at vi har inngått samarbeid med Venafi – en global leder når det kommer til automatisert administrasjon av digitale sertifikater. Med SSL.com Adaptable Driver for Venafi er det nå enklere enn noen gang for bedrifter å automatisere sertifikatlevering, følge med på utløp og tilbakekall, beskytte klienttilgang og enkelt administrere krypteringstjenester. Gå over til vår Artikkel for å lese de fullstendige integreringsfunksjonene til vår tilpasningsdyktige driver, samt hvordan du laster den ned. I tillegg, fordi et av hovedmålene våre er å fremme utbredt nettstedsikkerhet, tilbyr vi også det populære Automated Certificate Management Environment (ACME) for SSL/TLS Sertifikatautomatisering. Som en godt dokumentert, åpen standard med mange tilgjengelige klientimplementeringer, er ACME bredt tatt i bruk som en automatiseringsløsning for bedriftssertifikater. Vi er glade for å si at våre kunder drar nytte av denne protokollen for enkelt å automatisere SSL/TLS utstedelse og fornyelse av nettstedsertifikater og beskytte nettsidene deres i tide. Ta deg tid til å lese alle fordelene med SSL.com ACME.

SSL.com tilbyr et bredt utvalg av SSL /TLS serversertifikater for HTTPS-nettsteder.

SAMMENLIGN SSL /TLS SERTIFIKATER

Tor-skjult nettsted oppdaget å tilby billige og tilpassbare malware-pakker

Eternity Project, et nettsted som er skjult i Tor, har blitt avslørt for å selge skadevarepakker, inkludert tyvere, ormer, gruvearbeidere og løsepenger for en årlig rate så lav som $260. Den praktiske tilgangen til skadelig programvare levert av Eternity er en bekymringssak da den faller sammen med de økende tilfellene av phishing, DDoS og løsepenge-angrep de siste årene.  I april i fjor, Resikkerhet oppdaget en ny phishing-as-a-service kalt Frappo som ble brukt til å produsere svært utspekulerte phishing-sider for store nettbanknettsteder, e-handelssider og kjente detaljhandelsmerker. Utviklerne av Frappo har gått så langt at de har gitt teknisk støtte og oppdateringer, med deres siste mål for Uber og 20 finansinstitusjoner.  Jeff Burt fra Registeret forklarer hvordan den lett tilgjengelige skadevare som selges av Eternity multipliserer risikoen som bedrifter og organisasjoner står overfor: «Med malware-as-a-service har programmereren ulike muligheter til å tjene penger på arbeidet sitt. De kan selv bruke skadelig programvare for å hente inn dårlige gevinster; ta med kontanter ved å lease eller selge koden; og ta betalt for støtte og relaterte tjenester. Samtidig kan skurker som ikke har ferdigheter eller tid til å utvikle sin egen ondsinnede kode ganske enkelt kjøpe den fra noen andre.»
SSL.coms Takeaway: Malware-baserte angrep koster selskaper over hele verden milliarder av dollar hvert år, og å betale nettkriminelle frarådes i økende grad fordi bevis viser at det ikke er noen garanti for at de vil være tro mot ordene deres når de først er betalt. Ondsinnede aktører blir dristigere og mindre redde for å målrette mot store organisasjoner og bedrifter. Mer enn noen gang bør du forbedre cybersikkerhetsforsvaret ditt. Hvis du er en utvikler/utgiver eller en bedriftseier og du ønsker å beskytte programvareressursene dine mot malware-baserte angrep, kan du se på funksjonene i vår EV-kodesigneringssertifikater som sterkt forhindrer tukling av applikasjoner og programmer. Hvis du ønsker å forsvare e-postkontoene dine mot phishing-angrep og forhindre uautorisert tilgang til dine kritiske systemer, kan du også ta en titt på vår Personlig Pro-e-post og ClientAuth-sertifikat.

Brukere kan signere kode med eSigners skybaserte utvidede valideringskodesignering evne. Klikk nedenfor for mer informasjon.

FINN UT MER

Singapore erstatter papirbaserte fødsels- og dødsattester med digitalt kodede elektroniske dokumenter 

Fra og med 29. mai sluttet Singapore å utstede fysiske fødsels- og dødsattester for sine innbyggere til fordel for digitale kopier av disse dokumentene. Dette innebar også et nettskifte når det gjelder registrering av fødsler og dødsfall. Singaporeanere måtte tidligere registrere en fødselsattest på sykehuset eller hos Immigration and Checkpoints Authority (ICA).   I følge Singapores ICA er denne endringen en del av regjeringens mandat til å digitalisere offentlige tjenester. Nå som fødsels- og dødsattester kan registreres, lastes ned og lagres på stasjonære datamaskiner eller mobiltelefoner, finner Singapores innbyggere det mer praktisk å håndtere prosessen.      Fra 30. mai kl. 6 Singaporean Standard Time kunne ICA utgi 219 digitale fødselsattester som var det dobbelte av det daglige gjennomsnittet for fysiske fødselsattester. Hvis denne trenden fortsetter, forventes de digitale attester som kan behandles hvert år å gå utover det siste femårige årlige gjennomsnittet for fysiske fødselsattester som var 39,100 XNUMX.   Denne store endringen blir sett på som en strategi for å gi bedre validerings- og autentiseringsprosesser for disse viktige dokumentene. I følge ICA, "Offentlige etater og private enheter, som bransjeforeninger og finansinstitusjoner, kan bruke QR-koder inkludert på alle digitale sertifikater for å bekrefte deres autentisitet. QR-koden vil bli knyttet til et ICA-system hvor detaljer om det digitale sertifikatet kan verifiseres mot ICAs database.» Digitalisering av fødsels- og dødsattester er en nyskapende politikk fra Singapores side. Bortsett fra å være mer effektive enn manuelle prosesser, er digital registrering og lagring tryggere og mer kostnadseffektiv. Sammenlignet med papirbaserte dokumenter kan ikke digitale dokumenter bli skadet av brann og andre farer og krever ikke mye fysisk plass for å vedlikeholdes. Den tilbyr også sterkere validerings- og autentiseringsfunksjoner fordi QR-koder plassert på fødsels- og dødsattester er digitale koder som mer effektivt beskytter disse mot tukling i motsetning til håndskrevne signaturer.
SSL.coms Takeaway: QR-kodesystemet som brukes av Singapore for sine nye digitale fødsels- og dødsattester tilbyr lignende fordeler som våre digitale sertifikater for dokumentsignering. Ved å bruke industristandard datakryptering, SSL.coms dokumentsigneringssertifikater kan digitalt signere elektroniske dokumenter for å bevise hvem som er eier av dokumentene og sikre at disse ikke er endret siden de ble signert. Våre dokumentsigneringssertifikater tilfredsstiller US Federal ESIGN Act og lovene i mange andre nasjoner, noe som gjør dem juridisk akseptable verdensomspennende. I tillegg kan våre dokumentsigneringssertifikater registreres i vår eSigner skysigneringstjeneste som lar våre brukere sikkert signere dokumentene sine fra alle Internett-tilkoblede dutkast. Den digitale revolusjonen implementert av Singapore for sine offentlige registre validerer den langsiktige visjonen til SSL.com når det gjelder å gå inn for digitalbaserte transaksjoner, datalagring og administrasjon av kritiske eiendeler. Gå over til vår PKI og digitale sertifikater for regjeringen artikkel for å lære mer om hvordan vi hjelper offentlige institusjoner med å styrke cybersikkerheten.

Sjekk ut SSL.com  Bedriftsidentitetssertifikater som tilbyr dokumentsignering, e-postsikkerhet og klientautentisering.

LÆR MER OM DOKUMENTSIGNERING

Abonner på SSL.coms nyhetsbrev

Ikke gå glipp av nye artikler og oppdateringer fra SSL.com

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.