ΑρχικήsecurityΟι 3 στους 4 οργανισμούς είναι ακόμη ευάλωτοι στην heartbleed

Οι 3 στους 4 οργανισμούς είναι ακόμη ευάλωτοι στην heartbleed

password- heartbleed

Ένα χρόνο μετά τη δημοσιοποίηση της heartbleed ευπάθειας, το 74 τοις εκατό των Global 2000 οργανισμών εξακολουθούν να είναι ευάλωτοι στην OpenSSL, σύμφωνα με μια νέα έκθεση από την Venafi.
Σε αντίθεση με μια μέση ευπάθεια λογισμικού, η heartbleed δεν μπορεί να επιδιορθώνεται μόνο με patching. Οι οργανισμοί επίσης χρειάζεται να ανακαλέσουν παλιές πιστοποιήσεις SSL, να εκδώσουν νέες, και να δημιουργήσουν νέα κλειδιά.

Από την έκθεση:
Η Venafi εντόπισε 580.000 hosts, οι οποίοι ανήκουν σε παγκόσμιους οργανισμούς, που δεν έχουν πλήρως αποκατασταθεί. Αυτοί οι εν μέρει αποκατεστημένοι hosts έχουν επιδιορθωθεί κατά της Heartbleed ευπάθεια. Ωστόσο, οι οργανισμοί αυτοί έχουν πραγματοποιήσει «τεμπέλικη» αποκατάσταση, αποτυγχάνοντας να αντικαταστήσουν το παλιό κλειδί, ή παραλείποντας να ανακαλέσουν το παλιό πιστοποιητικό.

Γιατί αυτές οι οργανώσεις έχουν κάνει μια τόσο ανεπαρκή δουλειά για την εξάλειψη των απειλών Heartbleed;
«Είναι ένας συνδυασμός τριών παραγόντων: πρώτον του να μη γνωρίζουν τα σωστά βήματα που πρέπει να ακολουθήσουν, δεύτερον, να μην ξέρουν πού να βρουν όλα τα απαραίτητα κλειδιά και τα πιστοποιητικά, και τρίτον , να μην έχουν τη γνώση ή τα συστήματα που έχουν την ικανότητα να αντικαταστήσουν τα κλειδιά και τα πιστοποιητικά γρήγορα και σε μεγάλες ποσότητες,” δήλωσε ο Kevin BOCEK, αντιπρόεδρος της στρατηγικής ασφάλειας και απειλών της Venafi.

“Πρόσφατα, κυκλοφόρησε έρευνα του Ινστιτούτου Ponemon που δείχνει ότι, το 54% των οργανισμών δεν γνωρίζει πόσα κλειδιά και τι πιστοποιητικά έχουν στην κατοχή τους και που αυτά χρησιμοποιούνται.”

Όπως επισημαίνει η Venafi διατυπώνοντας στην έκθεση, οι επιθέσεις Heartbleed δεν είναι μόνο θεωρητικές. Τον Αύγουστο του 2014, πρώτη είδηση ήταν η παραβίαση των Community Health Systems κατά την οποία εκτέθηκαν προσωπικές πληροφορίες 4,5 εκατομμυρίων ασθενών. Το κινεζικό APT 18 group παραβίασε τον πάροχο υγειονομικής περίθαλψης εκμεταλλευόμενο τα λάθη ασφαλείας του CHS. Ένα από αυτά τα λάθη ήταν μια ατελής Heartbleed αποκατάσταση.

“Σε γενικές γραμμές, οι οργανισμοί πρέπει να κάνουν καλύτερη δουλειά για να είναι σε θέση να αλλάζουν κλειδιά και πιστοποιητικά”, λέει ο BOCEK. Όντας δυναμικοί, οι οργανισμοί θα πρέπει και να είναι σε θέση να ανταποκρίνονται σε παραβιάσεις γρηγορότερα στο μέλλον. Ένα πράγμα είναι σίγουρο: θα πρέπει να χρησιμοποιούν περισσότερες κρυπτογραφήσεις, περισσότερα κλειδιά και πιστοποιητικά από εδώ και πέρα”.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS