SSL СЕРТІФИКАТ
1. Шифрує обмін даних користувача з сайтом
2. Захищає дані від підміни
3. Ідентифікує певні дані власника сайта
Що підтверджує DV SSL сертифікат:
- OID 2.23.140.1.2.1
- З'єднання зашифровано
- Домен адмініструється
- Замок в браузері
- Власника веб-ресурсу не перевірено та не підтверджено
- Адміністратор домена може отримати сертифікат для сайта, отримувач сертифіката не ідентифікується.
Домен сайта підтверджено, власник ресурса може керувати налаштуваннями домену або має доступ до адміністративної електроної пошти доменного імені.
Що підтверджує OV SSL сертифікат:
- OID 2.23.140.1.2.2
- З'єднання зашифровано
- Домен адмініструється
- Замок в браузері
- Домен та вебресурс належить діючий юридичній особі
- При перегляді даних про сертифікат доступна інформація про компанію
- Адміністратор сертифіката ідентифікується
Достатній рівень безпеки. Достовірність та підтвердження інформації гарантує сертифікаційний центр CA
Справжність організації (власника сайта) підтверджено центром CA, що надав сертифікат. Записи загальнодоступного аудита не доступні
Що підтверджуєт EV SSL сертифікат:
- OID 2.23.140.1.1
- DigiCert OID 2.16.840.1.114412.2.1
- З'єднання зашифровано
- Домен керується
- Замок в браузері
- Домен належить діючий юридичній особі
- Інформація про компанію відображається із зеленим підсвічуванням в адресній стрічці браузера перед URL
- Адміністратор сертифіката ідентифікується та приймає зобов'язання по використанню сертифіката
- У браузері відображається назва компанії
Найвищий рівень безпеки гарантовано центром сертифікації, що надав сертифікат Extended Validation
Достовірність організації (власника сайта) підтверджено сертифікаційним центром CA та третьою стороною, Записи загальногодоступного аудита доступні
Рекомендації з вибору SSL сертифіката за рівнем підтвердження
Підробити* | Безпека, надійність * | |
|---|---|---|
DV SSL |
Легко | Низька |
| OV SSL |
Дуже складно | Висока |
| EV SSL |
Майже неможливо | Дуже висока |
* Зробити схожий сайт та отримати на нього сертифікат
**Ймовірність того, що сайт належить саме тій організації яку вказано власником ресурсу
Как должно измениться ваше мышление о тестировании безопасности после COVID-19
По мере того как государства движутся к постепенному снятию ограничений и разрешению людям вернуться к работе, службы безопасности снова должны быть готовы к новому набору проблем. Многие аспекты бизнеса уже не вернутся к прежнему состоянию. Сотрудники, возвращающиеся на работу, могут потенциально принести с собой зараженные или неправильно настроенные устройства. Или они, возможно, выработали привычку использовать облачные платформы и инструменты, которые не были должным образом проверены или одобрены ИТ-отделом. Команды безопасности должны начать готовиться сейчас к тому, как тестирование безопасности будет отличаться, когда люди начнут возвращаться в офис, а бизнес набирает обороты.
Специалистам по безопасности необходимо изменить свои методы тестирования безопасности, учитывая как новый ландшафт сегодняшних угроз, так и будущие проблемы, которые возникают, когда сотрудники начинают возвращаться в офис. Даже после того, как пандемия утихнет, удаленная работа станет более обычным явлением, чем раньше. В результате руководители по информационной безопасности должны сейчас составлять планы обеспечения непрерывности бизнеса, предполагающие, что у них будет гибридная среда с большим количеством полностью или частично удаленных сотрудников, и соответственно включать соответствующие стратегии безопасности.
Чтобы справиться с новым ландшафтом угроз сегодня, директора по информационным технологиям должны убедиться, что у своих сотрудников есть надлежащие технологии и конфигурации безопасности на всех своих личных устройствах и домашних беспроводных сетях, а также на устройствах, принадлежащих компании. Они должны убедиться, что всем сотрудникам выданы чистые ноутбуки, прежде чем настраивать новые VPN или виртуальные рабочие столы. В противном случае, если сотрудник загружает VPN на ноутбук, который, например, уже был скомпрометирован вредоносным ПО, а затем позже возвращается в офис и подключает его к корпоративной сети, он потенциально может распространить вредоносное ПО по всей сети. Директора по информационной безопасности должны разработать четкие политики и процедуры, которые касаются не только того, что разрешено при работе из дома, но и того, что будет разрешено, когда сотрудники вернутся в офис. Использование определенных веб-приложений, например,могло быть разрешено во время пандемии, но не может быть разрешено после того, как сотрудники вернутся в офис.
Поскольку во время пандемии сотрудники работают из дома, директора по информационным технологиям также должны следить за типом трафика, поступающего в корпоративную сеть - как с доверенных устройств, так и с того, что может проникнуть в него. Важно помнить об этом, разрешая сотруднику работать из дома организация фактически разрешила доступ не только с компьютера сотрудника, но и потенциально с любых подключенных к Интернету устройств в доме, таких как интеллектуальные колонки и другие устройства IoT, которые могут использоваться в качестве векторов атак и точек доступа для компании. сеть.
Тренинги по вопросам безопасности сейчас важны как никогда и должны проводиться на постоянной основе. Сотрудники, которые работают из дома, должны будут больше осознавать, как их привычки личной безопасности могут привести к риску для компании, и они должны понимать, что они не могут просто полагаться на технологии для обеспечения своей безопасности - их действия имеют значение. Просвещение о важности защиты паролем, хранение рабочих устройств на отдельных каналах от личных, отказ от перехода по подозрительным ссылкам и использование уникальных учетных данных для разных систем - все это критически важно. Обучите сотрудников тому, как определять распространенные тактики, используемые фишерами и мошенниками, и научите их, что в случае сомнений поднимите трубку и позвоните кому-нибудь напрямую, а не общайтесь по электронной почте.Обязательно разверните многофакторную аутентификацию, чтобы обеспечить дополнительную безопасность.