Venafi发布了一项报告关于金融机构实践DevOps加密安全问题。在DevOps环境中,研发和测试协作产生的相关问题,会扩散到生产系统和应用程序中,因此放大了安全问题。对于早期实践DevOps的金融机构的来说,是特有的问题。 & X+ b) f9 X X, R* Q2 ]2 v& [
- j- r+ V! s; H/ v9 h
研究指出,许多金融机构的系统都有相当强大的密码安全策略,然而,在DevOps模式中,如此重要的措施却无法执行。此外,金融机构一旦使用DevOps,涉及到应用和更新方面的运行会使得漏洞更易出现,而这些漏洞原本是可以预防的。 2 A! k! U7 E2 q2 F) F. ?& E4 X+ Y( X4 @
|; d) T$ D4 u. w
“在当今高度竞争的市场,金融机构使用DevOps模式提供了新功能且改善了用户体验。”Venafi首席安全策略师Kevin Bocek说,“然而,DevOps在安全、数据隐私和遵从性方面缺乏竞争优势。很明显,从手机银行到高速交易等方方面面,许多金融机构仍在执着于保护机器ID。尽管DevOps团队表明他们已经意识到TLS/SSL密钥和证书用普通方法建立ID会产生风险,但这种认识并没有被转换成实际意义上的保护。” 4 n0 V+ D1 f+ z. E
# w. i2 Y. X u) r- c+ |' Y
调研数据 # {* u6 i8 `* ^6 M. M8 T
+ P4 N/ S r$ r# }& N
$ v8 o" v; }& O. E( e
, H" U9 Q$ E1 X8 T$ o
" {4 K0 W6 V8 m: C
6 p# }6 C7 V/ \9 L
& m: ]% {4 H8 v' N7 g: u# C# T4 A
3 C8 _4 x' W$ t4 Z
( X: i+ F, T$ X0 A3 Q
v5 H. B$ A1 l0 t0 ^5 F
+ P' I! G2 q2 J4 o* l8 G
" z7 y, A% ~3 t
Venafi的情报分析师Tim Bedard说“正如我们所看到的快速攻击(SWIFT attacks),金融机构对网络罪犯而言是一个很有吸引力的目标,如果DevOps团队提供给金融机构的密钥和证书都没有得到充足的保护,那么网络罪犯就能够利用SSL/TLS加密密钥和证书创建自己的加密通道。或者攻击者可以盗用SSH密钥内的网络,来提升自己的访问权限,在不被发现的情况下, 安装恶意软件或将企业的敏感数据大量泄漏。”
* b( \7 C V8 d- f( z0 t. ?
" D- A1 ~( L9 a
原文作者:Christian Hargrave、Assignment Editor # y. D2 W0 q' v
| 
窥视卡
雷达卡
发表于 2018-11-15 11:17:50
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡