Heartbleed漏洞的出現再一次提醒了我們所持續面臨的安全威脅。Heartbleed漏洞允許網路上任何人讀取由存在漏洞的OpenSSL軟體版本所保護的系統記憶體。這會危及用於識別服務提供者身分的金鑰以及用於加密流量、使用者名稱、使用者密碼和實際內容的金鑰。攻擊者可以利用這項漏洞竊聽通訊,直接從使用者及其所使用的服務中竊取資料,或者冒充使用者身分。
這項漏洞已經在製作軟體中存在了兩年多時間,被領先的安全專家稱作一場災難。目前的解決方案是找出受影響的系統,採取修補措施,並更新SSL憑證。還需要通知使用者修改密碼,並追蹤已經暴露資訊的濫用情況。
即便現在已經修補了這一漏洞,也無法保證類似的漏洞不會再次出現,或者仍然隱藏在軟體內尚未發現。擁有類似影響的此類漏洞在未來可能在其他的SSL程式庫或應用程式產品內出現。
這引發了如下問題:安全通訊端層(SSL)是否足以保護機密資料和線上交易安全?企業如何透過網路服務來管理未來的資料洩露風險並讓客戶相信他們的資料沒有遭到竊聽?是否已經可以採取某些措施來規避此類事件的風險?
如果想防止敏感性資料的暴露風險(即便是在SSL加密遭到破壞的情況下),企業需要一種強大的資料保護解決方案,例如端對端加密(E2EE)解決方案,來保護密碼和敏感的交易資料。E2EE可確保敏感性資料保持加密狀況,甚至在脆弱的網路或應用程式伺服器的記憶體內。該解決方案可提供針對Heartbleed同類漏洞的保護,防止軟體開發人員或DBA等內部人員無意或故意洩露敏感性資料。實際上,新加坡金融管理局(MAS)和香港金融管理局(HKMA)已經強制要求金融機構採用E2EE來保護密碼和電子銀行網站的關鍵交易資料。
與很多金融機構一樣,公司組織也應該在SSL保護之外採用同樣的最佳實務方法,加密並透過通訊管道傳送加密的密碼和敏感性資料。透過使用用於資料加密的加密庫和金鑰資料,在資料提交至伺服器之前,在入口點(使用者桌上型電腦/智慧型手機)完成加密保護。資料可在到達網路伺服器甚至應用程式伺服器的全程保持加密狀態。資料可能在應用程式伺服器解密,但是就密碼而言,它們將保持加密狀態,並在硬體安全模組(HSM)內進行驗證。HSM是一種滿足FIPS標準、使用防篡改硬體的密碼設備。因此,密碼可從輸入點到對照點全程保持加密狀態。除了對抗Heartbleed類型的漏洞外,這樣還能確保內部網路中沒有人可以在傳輸和儲存過程中取得密碼,從而防禦內部詐騙行為。
整體而言,有效的密碼保護需要組合使用分層的安全解決方案和適當的流程。公司組織不能僅依靠SSL保護,而應該在應用層上實作E2EE解決方案,保護他們的機密資訊免遭下一次網路伺服器漏洞的影響。
如果存在有關Heartbleed以及如何對抗該漏洞的疑問,請造訪www.i-sprint.com或聯絡i-Sprint安訊奔,電子郵件:[email protected]。
安訊奔擁有自己的安全產品品牌、智慧財產權和專利,可以超越全球金融服務的監管要求。為了把握快速成長的身分識別、憑證和存取管理(ICAM)市場,安訊奔具有前瞻性地透過其身分保護、雲端保護、行動保護和資料保護方面的產品組合提供創新型產品功能。
安訊奔世界領先的安全解決方案包括針對便利(單一登入)、安全存取網路銀行應用的E2EE驗證和資料保護解決方案。安訊奔的解決方案能滿足眾多國家監管機構的網路銀行安全指引;可因應多數網路銀行和行動銀行解決方案的安全挑戰。安訊奔可提供銀行級多重強認證(生物特徵識別、多因素驗證等)和權杖管理平台,以一個公用的安全平台為基礎,確保多應用交付環境(網路、行動和雲端)的安全。
聯絡方式:i-Sprint行銷部Petrina Soh,+65-6244-3900 [email protected]網站:www.i-sprint.com