最近,英国三大零售商因网络攻击而成为头条新闻,虽然新闻周期变化很快,但这一新闻却让我记忆犹新。
不是因为它令人惊讶,而是因为它太熟悉了。不仅因为它离我的主场很近,而且这类事件发生的频率越来越高,发生的地点越来越多,发生的企业也越来越多,从外表上看,它们似乎已经万事俱备。但我们很多人都知道,只要有一个被忽视的漏洞--过期的证书、配置错误的域、不安全的凭据—就会导致一切瓦解。
在我关注事态发展的过程中,最引人注目的不仅仅是袭击事件,还有英国政府和媒体的反应:这应该是一个警钟。他们是对的。这不仅是对相关零售商而言,也是对我们所有试图在增长、客户信任和不断变化的威胁环境之间取得平衡的人而言。
因为当我们在战略层面大谈网络安全时,日常要素(如网站保护)可能会被忽视。然而,它们往往才是真正的风险所在。
威胁是真实的,而且还在增长
不难发现,网络威胁的格局正在迅速发生变化。攻击比以往任何时候都更频繁、更复杂(这要归功于人工智能)、更具破坏性--而且它们正在袭击各个行业的企业。零售、医疗保健、金融、教育—没有一个行业能够幸免。
我们看到的是机会性攻击向战略性攻击的转变。坏人正在利用被忽视的系统,探测未修补的漏洞,并将目标锁定在数字基础设施的薄弱点上。不幸的现实是,企业规模并不重要。接受测试的不仅仅是全球性企业。中型企业甚至小型企业也发现自己正处于攻击范围之内。为什么?它们被视为更容易被攻破的目标,或者与更大的供应链相连。
现在是优先考虑网络安全的时候了
“在这个世界上,以我们为目标的网络犯罪分子不遗余力地追逐利益--每天每时每刻都有人在尝试--企业必须将网络安全视为绝对优先事项。~ 帕特-麦克法登
Pat McFadden 在 2025 年英国网络大会上谈到,企业必须将网络安全视为绝对优先事项。这不仅关系到眼前的后果。这是在呼吁各行各业的大小企业行动起来:网络安全必须成为当务之急,刻不容缓。
这不再是一个避免罚款或让监管机构满意的问题(尽管这也很重要),而是关乎信任。它关系到你的客户、你的声誉,以及最终你的底线。这不是一个 “是否 ”的问题,而是一个 “何时 ”的问题,以及当问题发生时你如何做好准备的问题。
对话正在发生转变。
网络安全不仅是一个 IT 问题,也是一个商业问题。
您的网站安全可能是最薄弱的环节
对于许多企业来说,网站是其数字化形象中最引人注目的部分。它是客户、顾客和合作伙伴的主要接触点之一。它承载着您的品牌,保存着重要的数据,通常还是您提供服务的入口。但它也是一个主要目标。它们面向公众,不断变化,通常依赖于工具、插件和第三方集成网络。这一切在创造商机的同时,也为威胁行为者创造了机会。
但我们最容易忽视的风险之一可能就是过期或管理不善的数字证书。
人们很容易低估数字证书的作用,它们在后台悄无声息地工作--保护数据安全、证明真实性并保证网站顺利运行。但一旦出了问题,情况就不一样了。
过期或配置错误的证书会导致网站瘫痪、服务中断,更有甚者,还会使您遭受欺骗和中间人攻击。在客户眼中,这也是一个明确的信息: 我们的安全没有保障。
您上次检查网站数字证书是什么时候?或者更重要的是,谁在为你检查它们?如果没有适当的监督和管理,您的网站可能会为攻击者敞开大门。
管理证书过去相对简单。你只需签发一个证书,跟踪到期日期并设置提醒。但这种日子已经一去不复返了。到 2029 年,证书的寿命将缩短到 47 天,而数字资产的数量却在不断增长,因此手动跟踪已不再现实。
所面临的挑战不仅仅是保持证书的有效性。而是要知道它们都在哪里、谁拥有它们、它们接触了哪些系统,以及当其中一个证书失效时会发生什么。这种可见性不会偶然发生。它需要领导者的用心、工具和理解 “小问题 ”被遗漏的风险。
听起来可能并不令人兴奋,但数字证书管理现在已成为关键任务。它是加强或削弱数字防御的最快方法之一。
是时候停止、审计和自动化了
如果你不清楚企业拥有多少数字证书,或者不清楚谁在管理这些证书,那么你并不孤单。对于许多企业来说,证书分散在各个团队、部门和系统中,几乎没有中央监管。这就是风险所在。
第一步很简单,但却经常被忽视:停下来,总结一下。对证书情况进行全面审计。了解哪些已经到位,哪些即将过期,哪些是多余的,哪里存在漏洞。如果没有这种可视性,就不可能主动管理证书,更不用说在出错时快速做出反应了。
因此,自动化是关键。用于证书生命周期管理的自动化工具可以简化整个证书管理流程;它们可以处理发现、签发、续期和撤销,这有助于防止服务中断,并使您的团队能够主动处理即将到期的证书或潜在问题。通过降低人为错误的风险,自动化提高了证书管理的可靠性和安全性。此外,它还能让 IT 人员专注于更具战略性的工作,如改进安全协议,而不是被大量繁重的手动证书管理工作所困扰。
自动化不仅能提高效率,还能确保所有证书得到持续管理和更新,从而加强整体安全态势。
但这不仅仅是一项 IT 内务管理工作。而是要将证书管理整合到更广泛的网络安全和业务连续性战略中。这意味着要与安全策略、灾难恢复计划和合规义务保持一致。
如果数字信任是您业务的基础--在当今的形势下,它应该是--那么您如何管理证书就不再是后台工作的细节。它是企业核心复原力的一部分。
有了强大的证书管理,您就能确保数字通信的安全,这对于维护与客户和合作伙伴之间的信任至关重要。通过将灵活性和弹性融入证书管理实践,您可以更好地应对现代威胁环境的复杂性。
灵活使用 SAN 许可
对于不断发展壮大的企业或管理更复杂基础架构的企业来说,主题替代名称 (SAN) 许可是保持灵活性的明智之举。换句话说,SAN 许可带来了灵活性。而灵活性正是大多数 IT 团队目前所需要的:更少的接触点、更低的风险和更多的时间来关注全局。
SAN 许可允许一个证书保护多个域名或子域(该模式的目的就是为您提供灵活性)。您无需为每个域名或子域名购买单独的证书,而是可以使用一个具有 SAN 许可的证书来保护所有域名或子域名。
下面介绍证书管理和 SAN Licensing 如何齐头并进:
- 你不想要的: 频繁更新证书 + 更改 SAN 列表 = 复杂 + 昂贵 + 容易出错。
- SAN 许可证如何提供灵活性: 频繁的证书更新 + 静态 SAN 列表 + 自动化 = 顺畅高效。
如果您正在重新评估您的证书策略,那么 SAN Licensing 是否能帮助您更灵活地使用证书,这一点值得探讨。
按钮: 立即与我们联系,了解 SAN 许可证是否适合您的企业
网络安全人人共享
网络威胁的速度并没有放缓,而且不只针对大型企业。从家喻户晓的零售商到中型企业和初创企业,所要传达的信息都是一样的:现在是采取行动的时候了。
这与恐慌无关。而是要做好准备。要仔细检查数字基础设施中较安静的部分(如网站),确保它们不会悄无声息地给您带来风险。
无论是进行证书审计、自动续费,还是改用更灵活的解决方案,这些步骤可能不会成为头条新闻,但它们可能是一切照旧与发生安全事故之间的分水岭。
GlobalSign 可帮助您了解您的业务需求,了解适合您的基础设施的最佳解决方案。立即与当地办事处取得联系。
