该工具可分析SSL/TLS配置,并验证其是否符合NIST最新的抗量子加密标准,同时检查对PCI DSS、HIPAA及其他NIST加密要求的合规性。工具通过Web界面和API双渠道提供,旨在帮助组织评估其应对量子时代威胁的准备情况。其设计目标是简化各类规模组织的后量子密码学(PQC)就绪检查,并可通过API集成到CI/CD流水线实现自动化扫描。
ImmuniWeb的SSL安全测试已执行超过1.73亿次扫描,仅过去24小时内就完成了5.6万次测试。2025年第二季度数据显示,仅10.63% 的受测系统符合NIST标准,凸显出在后量子安全加密准备方面的普遍缺口。尽管72.32%的系统获得SSL/TLS安全“A级”评分,但高评分并不等同于合规:仅60.81% 满足PCI DSS要求。
量子威胁已非理论:“先窃取后解密”攻击兴起
Gartner将后量子密码学(PQC)列为2025年顶级战略技术趋势,并敦促组织立即启动PQC迁移,指出供应商准备不足和组织缺乏PQC知识是主要障碍。
“先窃取后解密(Harvest Now, Decrypt Later)”攻击是一种新型威胁:网络犯罪分子收集当前技术无法解密的高敏感加密数据,等待量子计算足够强大后破解。Forrester今年早些时候支持Gartner的担忧,估计现有加密将在10年内变得脆弱,并强调这一过程可能更快发生。
据Cloudflare数据,目前仅38%的TLS流量支持某种形式的抗量子加密,且地区差异显著(部分欧洲国家 adoption率较高)。多国政府机构,包括欧盟委员会、英国国家网络安全中心和美国国土安全部,已发布框架,敦促立即规划PQC迁移。
专家警告:组织严重低估量子攻击风险
ImmuniWeb首席架构师兼CEO Ilia Kolochenko博士表示:“全球许多大型组织仍严重低估量子攻击风险。首先,‘先窃取后解密’攻击已被有组织犯罪和国家黑客部署,您的数据可能已面临近期被破解的风险。其次,尽管强大的量子计算机短期内不会被网络威胁者轻易获取,但许多供应商和组织对PQC快速迁移完全准备不足。更糟的是,部分设备和业务关键系统根本不支持PQC,必须更换。”
他还指出ImmuniWeb的大规模测试数据:“基于对超过1亿台SSL/TLS服务器的统计,全球数百万服务器仍依赖已弃用超过十年的SSLv3协议。这表明PQC迁移可能需要更长时间,因此立即开始规划和实施PQC迁移至关重要。”
“我们很高兴为各类组织提供简单高效的解决方案,通过免费在线SSL/TLS测试工具可靠验证其PQC就绪状态。该工具可通过用户友好的Web界面或API访问,支持DevSecOps和CI/CD自动化。”Kolochenko补充道。
此外,ImmuniWeb近期新增功能,可检查网站对AI机器人的防护能力,包括检测反机器人系统、防火墙和“robots.txt ”配置,帮助组织防范AI公司的未授权数据抓取和数据收集机器人。
发表评论
您还未登录,请先登录。
登录