一年前,关于心脏出血的消息传出了这是开源加密标准OpenSSL中的一个漏洞。标题是可怕的,建议令人困惑(修改密码!不,这行不通!),但最终,恐慌平息了。
然而,事实证明,大多数企业并没有做最彻底的“心脏出血”清理工作。据一份报告称,截至本月,大多数全球2000强企业“未能完全补救Heartbleed问题”报告(在一个新窗口中打开)从Venafi实验室。
这并不是说他们忽视了《Heartbleed》;他们只是“没有采取所有必要的步骤”将其从系统中完全清除,Venafi说。
截至2014年8月,全球2000强企业中约有76%的企业易受“心脏出血”的影响,自那以后几乎没有取得进展。截至2015年4月,这一数字仅降至74%,“几乎每4家公司中就有3家存在违约风险,”Venafi说。
问题在于表明网站或系统安全的SSL密钥和证书。“如果可以包含SSL密钥和证书,网站就会被钓鱼攻击欺骗,加密通信也会通过中间人策略被解密,导致客户数据丢失和知识产权盗窃。”
今年8月,全国最大的医院运营商之一社区卫生系统,遭到破坏Venafi说,这是利用“心脏出血”和无保护的密钥进行的。
在“心脏出血”事件之后,专家警告说,所有的SSL密钥和证书都需要更换。但这并没有发生。Venafi说:“组织机构要么放弃了正确地替换密钥和证书,很可能没有掌握这所产生的全部风险敞口,要么不了解如何完成补救。”
Venafi表示,他们发现有58万主机打了针对“心脏出血”的补丁,但没有更换私钥或撤销旧证书。大约92000人(或15%)采取了必要的步骤来清除Heartbleed。
Venafi说,更复杂的是,全球2000强企业平均拥有约24000个密钥和证书,54%的企业甚至不知道所有密钥和证书的位置。
按国家划分,澳大利亚是最脆弱的;那里只有16%的公司得到了全面整改。在全球2000强中,美国约59%的公司处于脆弱状态。
我们能做些什么呢?Venafi建议公司找到所有的密钥和证书,撤销它们,并生成新的密钥和证书,必须进行测试以确保它们有效。