zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Slechts 28 procent bedrijven beveiligt code signing machine-identiteiten

Code signing processen worden gebruikt om de authenticiteit van software-updates te beveiligen

19 juni 2019 - Venafi heeft de resultaten bekendgemaakt van een onderzoek naar het beveiligen van machine-identiteiten in Canada, Europa en de Verenigde Staten. Daaruit blijkt dat maar 28 procent een procedure heeft voor het consistent beveiligen van ‘code signing’ certificaten.

Dat zijn digitale handtekeningen voor het ondertekenen van vertrouwde software en andere code. Verder blijkt dat securityprofessionals de risico’s gerelateerd aan code signing begrijpen, maar desondanks onvoldoende actie ondernemen om hun organisaties te beschermen tegen cyberaanvallen met gestolen of nagemaakte code signing certificaten.



Belangrijke onderzoeksresultaten:  
 
  • 50 procent van de respondenten maakt zich zorgen dat cybercriminelen gestolen of nagemaakte code signing certificaten gebruiken voor cyberaanvallen op hun organisatie
  • Wereldwijd gebruiken slechts 28 procent van de ondervraagde organisaties securityprocedures voor het consistent beveiligen van code signing en in Europa zelfs maar veertien procent
  • 35 procent heeft geen duidelijke eigenaren en verantwoordelijken voor de private keys die binnen hun organisatie worden gebruikt voor code signing
  • 69 procent verwacht de komende jaren een toenemend gebruik van code signing
Authenticiteit software-updates garanderen  
Code signing processen worden gebruikt om de authenticiteit van software-updates te beveiligen en te garanderen. Waaronder de firmware van steeds meer slimme producten, operating systemen, mobiele applicaties en container images. Er zijn echter al meer dan 25 miljoen kwaadaardige digitale bestanden ondertekend met code signing certificaten en cybercriminelen misbruiken deze graag in hun aanvallen. Zo is recent ontdekt dat cybercriminelen malware in updates van anti-virus tools verstoppen met geldige code signing certificaten. 

Gevaarlijke cyberwapens  
"Als code signing sleutels en certificaten die voor machine-identiteiten worden gebruikt in handen vallen van cybercriminelen, kunnen ze enorme schade aanrichten", zegt Kevin Bocek, vice president security strategy & threat intelligence bij Venafi. "Code signing certificaten stellen namelijk apps, updates en open source software in staat veilig te functioneren. Als die echter niet worden beschermd zijn het gevaarlijke cyberwapens. Dankzij code signing certificaten waren de Stuxnet en ShadHammer hacks zo succesvol. Tegenwoordig is elke organisatie meer afhankelijk van software en het ontwikkelen daarvan, waaronder alle banken, productiebedrijven en retailers. Elke organisatie die software programmeert, containers gebruikt, of in de cloud draait, moet de risico’s gerelateerd aan code signing processen serieus nemen om de business te beschermen."  

Code signing inzichtelijk maken en beveiligen  
"Securityverantwoordelijken en ontwikkelaars hebben tegengestelde belangen bij het gebruik van code signing," vervolgt Bocek. "Ontwikkelaars maken zich in eerste instantie zorgen over vertragingen door securityprocedures en -eisen. Als gevolg daarvan ontstaan soms chaotische situaties en mogelijkheden voor cybercriminelen om sleutels en certificaten te stelen. Om de eigen organisatie en klanten beter te beschermen moet eerst het gebruik van code signing inzichtelijk worden gemaakt en daarna beveiligd. Inclusief de integraties tussen code signing processen en ontwikkelomgevingen. Alleen met zo’n aanpak is het beveiligingsrisico substantieel te verkleinen, met behoud van de innovatiesnelheid die bedrijven en  ontwikkelaars tegenwoordig nodig hebben."
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Een op de vier bedrijven niet bezig met klimaat en duurzaamheid
 Gen-Z’ers en Millennials zouden van baan veranderen voor bedrijf dat beter aansluit bij waarden
 Duurzaamheidsmanagement steeds belangrijker voor moderne bedrijven
 

Gerelateerde nieuwsitems

 Na invoering AVG nauwelijks meer oog voor privacy en databeveiliging
 Rijksoverheid heeft informatiebeveiliging en IT-beheer nog niet op orde
 Steeds meer gevaarlijke URL's glippen door beveiliging
 'Doe meer dan alleen de deur dicht en leg de sleutel niet onder de mat'
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
Pas op met het snijden in de kosten als ondernemer
reacties
Top tien arbeidsmarktontwikkelingen 2022 (1) 
‘Ben jij een workaholic?’ (1) 
Een op de vier bedrijven niet bezig met klimaat en duurzaamheid (3) 
Eén op zeven Nederlanders staat niet achter aanbod van hun organisatie  (1) 
Drie manieren om te reageren op onterechte kritiek (1) 
Een cyber-survivalgids voor managers: hoe ga je om met cyberaanvallen?  (1) 
Mind your data (1) 
top10