csos må ta en rekke tiltak så snart som mulig for å beskytte sine organisasjoner mot OpenSSL sårbarhet som har rystet tech industrien, sier ekspertene

[Leverandører og administratorer rykke ut for å lappe OpenSSL sårbarhet]

Feilen, kalt Heartbleed, gjør det mulig for en angriper å lese en webserver minne, som vanligvis omfatter den private nøkkelen at protokollen bruker til å kryptere trafikken mellom server og en nettleser.

sårbarhet, introdusert i OpenSSL i 2011, påvirker alle versjoner av open-source implementering av Secure Socket Layer (SSL) og Transport Layer Security (TLS) protokoller. OpenSSL er mye brukt i webservere, som for eksempel den populære open-source Apache, og i skytjenester.

"csos bør anta at de har blitt kompromittert," W. Hord Tipton, administrerende direktør ved International Information Systems Security Certification Consortium, eller (ISC) 2, sa.

Blant de første oppgavene overfor sivilsamfunnsorganisasjoner er å identifisere og prioritere berørte systemene i organisasjonen, patching de anses mest kritiske umiddelbart, sier eksperter. Of course, disse systemene er åpne for publikum Internett har størst risiko.

Heldigvis OpenSSL Project, forvaltere av protokollen, har gitt ut en oppdatering, så sikkerhets proffene kan komme i gang umiddelbart i distribusjon reparasjonen .

Neste skritt vil være å endre SSL-sertifikater brukes av servere, siden det er ingen måte å vite om de har blitt kompromittert. En angriper utnytte feilen kan gjøre det uten å etterlate spor.

"Hvis en angriper har den private nøkkelen for SSL, kan de dekryptere en form for kommunikasjon som kan ha blitt arkivert i det siste og eventuelle fremtidige kommunikasjon ved hjelp Samme offentlig /privat sertifikat, "sier Michael Coates, produktdirektør for Shape Sikkerhet og leder av Åpen Web Application Security Project (OWASP).

Når sertifikater har blitt endret, er neste skritt å ha folk som bruker de berørte systemene endre passord.

"Det er definitivt fornuftig å vurdere risiko holdning til organisasjonen og bestemme om du vil tvinge et passord rotasjon for din brukerbase," Coates sa.

csos bør også øke overvåking for kontoen overtakelse, svindel og misbruk av systemer. "Vi er definitivt på en økt tilstand (sikkerhet)," Coates sa.

For å redusere skade fra fremtidige protokollrelaterte sårbarheter, eksperter anbefaler bruk av perfekt frem hemmelighold, en eiendom for nøkkel-avtale protokoller mellom en nettleser og server. PFS hindrer en kompromittert privat nøkkel blir brukt til å dekryptere pass kommunikasjon.

I tillegg til de berørte systemene i organisasjonen, CSOer også nødt til å vurdere risikoen fra nettsteder som ansatte tilgang til hverdags som en del av jobbene sine. Det første trinnet er å opprette en katalog av disse områdene og ta kontakt operatørene for å finne ut hvor de står i patching OpenSSL feil.

I noen tilfeller, sivilsamfunnsorganisasjoner kunne finne det nødvendig å ha ansatte ikke bruker de berørte områder før de er lappet.

"For de mest sensitive systemene, bør csos vurdere å ha deres personell og ledere ta en ett- eller to-dagers pause, hvis de vet når de aktuelle områdene vil bli lappet, nye digitale sertifikater re-utgitt, og nye godkjenningslegitimasjon satt på plass, "sa Joram Borenstein, visepresident for markedsføring ved NICE Actimize, som spesialiserer seg på sikkerhet for finansnæringen.

csos bør også vurdere sine serviceavtaler med nettsteder og software-as-a-tjenesteleverandører.

[Hva du trenger å vite om Heartbleed og OpenSSL]

"De bør være i stand til å utnytte sikkerhetskrav innenfor disse kontraktene å presse for en raskere behandlingstid, "Lucas Zaichkowsky, enterprise forsvar arkitekt for dataetterforskning leverandør AccessData, sa. "Hvis det er funnet at viktige kontrakter mangler sikkerhetskrav, gjør det et poeng å få dem lagt nå mens det er en følelse av at det haster å støtte initiativet." Anmeldelser