大多数代码签署流程不安全,研究显示
发布时间:2022-01-11 08:51:38 所属栏目:要闻 来源:互联网
导读:虽然一半的企业担心网络犯罪分子正在使用签名证书作为攻击方法,但很少有实际执行可能挫败他们的安全策略,这是一项机器识别保护提供商Venafi的研究。 根据美国,加拿大和欧洲的320名安全专业人士的投票,仅在全球范围内全球始终持续实施明确的安全进程,只
|
虽然一半的企业担心网络犯罪分子正在使用签名证书作为攻击方法,但很少有实际执行可能挫败他们的安全策略,这是一项机器识别保护提供商Venafi的研究。 根据美国,加拿大和欧洲的320名安全专业人士的投票,仅在全球范围内全球始终持续实施明确的安全进程,只有28%的组织始终如一地强制执行定义的安全进程,但该P降至欧洲14%。 每个组织都依赖于签名证书,确保并确保组织使用的每块软件的真实性。 “当签名钥匙和作为机器身份的证书落入攻击者的手中时,他们可以造成巨大的损害,”安全战略和威胁情报atvenafi副总裁Kevin Bocek说。“安全码签名流程使应用程序,更新和开源软件能够安全运行,但如果它们没有受到保护,则攻击者可以将它们转化为强大的网络武器,”他说,添加代码签名证书是STUXNET的关键原因Shadowhammer非常成功。  在Shadowhammer的情况下,硬件制造商华硕将恶意软件被伪装为合法软件更新的代码签名,感染了一百万台计算机。“现实是,每个组织现在都在软件开发业务中,从银行到零售商向制造商,”Bocek表示,调查表明,69%的民意调查期望他们在明年增长的代码增长。 “如果您正在构建代码,部署集装箱或在云中运行,则需要认真对待您的代码签名流程的安全性以保护您的业务,”他说。Venafi研究发现虽然安全专业人士了解风险代码签名,他们没有采取适当的步骤来保护他们的组织免受攻击。具体而言,35%的私人密钥在其组织中使用的私钥没有明确的所有者。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号