英国研究公司Netcraft最近的一份报告显示 80个美国政府网站的传输层安全证书已经过期 在美国政府持续关闭期间引起了不小的轰动, ISACA的成员们应该注意了.
TLS证书保护用户,因为它们验证您访问的站点确实是预期的合法站点,并防止中间人攻击或重定向攻击. 安全证书的维护是安全组织必不可少的一项基本任务.
80个美国政府网站的TLS证书过期可能只是冰山一角. 事实上, 如果政府停摆进一步延长, 我们可能会看到许多其他证书过期,而不是更新,因为休假的政府雇员和他们的高技能承包商仍然不上班. 另外, 如果维护TLS证书等基本功能失效, 公民们想知道,还有哪些保护人民信息的重要任务没有得到重视?
当我还是空军中尉的时候, 我的军士长告诉我,每一种情况都应该是一次学习的经历. 有些是好的榜样,有些是坏的榜样. 在这种情况下, 这是一个不好的例子,ISACA成员应该从中吸取教训,以更好地管理网络风险.
我建议你看看你自己的组织,问一系列问题. 您的组织是否使用TLS证书? 如果不是,为什么?? 如果有,在哪里?? 谁负责维护这些证书?他们如何管理这些证书? 领导如何监控安全证书的状态,以确保没有漏洞? 您的团队是否只使用来自经过身份验证的合法来源的证书? 您的业务连续性和灾难恢复计划是否有维护安全证书的规定? 在疏忽的情况下, 贵组织是否有能力发现失误并制定补救计划,并与关键利益相关者进行沟通?
在教区学校, 我明白了每个人都是罪人, 当涉及到安全证书, 我的证书也过期了. 将近20年前, 我的组织有一个安全证书过期了,我的一个兄弟单位发现了它. 我们立即解决了这个问题,并对我们的流程进行了审查,以找出问题发生的原因. 事实证明,我们没有一个正式的证书管理流程来跟踪我们所有的证书. 解决这个问题又快又容易. 我们鉴定了所有的证书, 将责任分配给管理它们的技术人员, 确保他们接受了培训, 并将更新添加到维护计划中,以便跟踪证书,并且在没有更新的情况下不会过期. 近20年前,一张过期的证书是一次学习经历. 今天,这是一个令人头疼的问题.
注意基本的基本功能是我们在执行安全时所要做的, 审计, 以及控制功能. 在我担任首席信息官期间, 我让我的组织确定了我们所有的基本职能和完成这些职能所需的任务. 然后,我应用了基于作业的成本计算方法,这样我和我的团队就可以清楚地说明每项任务的成本和影响. 你能说这同样适用于你的组织吗?
政府网站的安全证书过期会降低安全性, 增加了风险,我和其他人都很担心. 让我们把它作为学习经验. 检查你自己的组织和, 作为一个“股东”的公民,“不要羞于询问你的政府代表他们是如何保护你的信息的.
