Venafi发布了一项报告关于金融机构实践DevOps加密安全问题。在DevOps环境中,研发和测试协作产生的相关问题,会扩散到生产系统和应用程序中,因此放大了安全问题。对于早期实践DevOps的金融机构的来说,是特有的问题。
0 O. Y3 F$ g2 a$ d9 A
1 a: V% Y# g* z" J6 J
研究指出,许多金融机构的系统都有相当强大的密码安全策略,然而,在DevOps模式中,如此重要的措施却无法执行。此外,金融机构一旦使用DevOps,涉及到应用和更新方面的运行会使得漏洞更易出现,而这些漏洞原本是可以预防的。
* a V; ? ]" `# H+ [- `1 b
+ V, T' D4 m0 U$ o9 Z
“在当今高度竞争的市场,金融机构使用DevOps模式提供了新功能且改善了用户体验。”Venafi首席安全策略师Kevin Bocek说,“然而,DevOps在安全、数据隐私和遵从性方面缺乏竞争优势。很明显,从手机银行到高速交易等方方面面,许多金融机构仍在执着于保护机器ID。尽管DevOps团队表明他们已经意识到TLS/SSL密钥和证书用普通方法建立ID会产生风险,但这种认识并没有被转换成实际意义上的保护。”
6 D3 \% T% z$ Y0 ^, e. i
. o" B d7 L- M. B, K
调研数据
5 ^# z6 t& v* d
+ [& A4 {5 N- r) E7 I1 h7 X4 y# N
! D( J2 v T5 S) L) S8 P3 S
" [! }' C" C) P w0 i
( Y8 [/ }0 Z. p6 O, `
. m# a/ b' N+ e( }
5 Q7 [/ b6 @) [% l E6 a* N1 Z
, c2 p0 |0 t: z; Z, L8 X
, } s6 D9 v Z" z1 u: t/ s
( |" i# ? ?+ e( a4 U9 q
) O8 K3 N- E5 J
- y; \. m* |0 L! f& ~
Venafi的情报分析师Tim Bedard说“正如我们所看到的快速攻击(SWIFT attacks),金融机构对网络罪犯而言是一个很有吸引力的目标,如果DevOps团队提供给金融机构的密钥和证书都没有得到充足的保护,那么网络罪犯就能够利用SSL/TLS加密密钥和证书创建自己的加密通道。或者攻击者可以盗用SSH密钥内的网络,来提升自己的访问权限,在不被发现的情况下, 安装恶意软件或将企业的敏感数据大量泄漏。”
* h9 [/ y6 P# |+ }$ O( k$ R
) }- ?% u8 c" P% L; T# x0 H
原文作者:Christian Hargrave、Assignment Editor 9 C/ K7 e3 `" c/ E
| 
窥视卡
雷达卡
发表于 2018-11-15 11:17:50
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡