Wie Sie feststellen können, ob Ihr Unternehmen eine kritische Vertrauenslücke hat

Wäre es überraschend zu wissen, dass über 74 % der Unternehmen nicht einmal wissen, wie viele Schlüssel und Zertifikate sie besitzen, geschweige denn, wo sie sich befinden oder wann sie ablaufen? Ein aktueller Branchenbericht hat diese augenöffnende Statistik zusammen mit der Tatsache hervorgehoben, dass der massive Umfang an öffentlichen/privaten Schlüsseln und Zertifikaten, die für die Sicherheit von Unternehmen benötigt werden, eine kritische Vertrauenslücke geschaffen hat .

Bevor wir uns damit befassen, wie diese Lücke identifiziert werden kann, ist es wichtig zu verstehen, wie sich die Unternehmensinfrastruktur im Laufe der Zeit verändert hat.

In der traditionellen IT von vor 10 bis 15 Jahren liefen die meisten Ihrer Daten und Anwendungen auf einer speziellen Infrastruktur in Ihrem Rechenzentrum. Diese Server wurden von den IT- und Betriebsteams manuell konfiguriert, damit sie über lange Zeiträume laufen. Dieser statische Ansatz wurde auch für das Sicherheitsteam übernommen, das sich hauptsächlich auf die Konfiguration des inneren Perimeters konzentrierte. Der Perimeter enthielt Schutzmechanismen, die definierten, was in das Unternehmen gelangte und welche Verbindungen außerhalb des Perimeters erlaubt waren.

Die Public-Key-Infrastruktur (PKI) in dieser Umgebung konzentrierte sich in erster Linie auf SSL/TLS Zertifikate, die zur Sicherung von Internet-Assets (z. B. Web-Transaktionen, Websites) verwendet wurden. Diese PKI- oder Web-PKI-Vorgänge der ersten Generation waren vom Umfang her begrenzt und erforderten nur einen minimalen Overhead. Die Sicherheitsbehörden mussten möglicherweise nur 100 Zertifikate oder weniger verwalten, so dass sie mit der Verwaltung dieser Zertifikate in einer Tabellenkalkulation auskamen.

Als das Unternehmensnetzwerk jedoch wuchs, musste eine private PKI zur Verwaltung von Kommunikation und Daten eingerichtet werden. Dazu mussten sie die Zertifizierungsstelle (CA) software konfigurieren und mit der Ausstellung von Zertifikaten für Wi-Fi, VPN und Geräteauthentifizierung beginnen. Die meisten dieser Zertifikate wurden durch die automatische Registrierung automatisiert. Dies mag zwar zur Sicherung der internen Ressourcen beigetragen haben, aber das neue Zeitalter der Unterbrechungen hat die Verwaltung der privaten PKI extrem komplex gemacht.

Das Internet ist zur neuen Betriebsplattform geworden, und traditionelle Sicherheitsmodelle vor Ort sind allein nicht mehr wirksam. Dies sollte niemanden überraschen, aber es ist wichtig zu verstehen, welche Faktoren diese Störung in Unternehmensnetzwerken verursachen.

All diese Störungen haben die Unternehmen dazu gezwungen, eine Multi-Cloud-Strategie für die Infrastruktur zu verfolgen. Mit dieser neuen Strategie hat sich der Schwerpunkt von der Sicherung des Perimeters auf die Sicherung der Daten und Anwendungen selbst verlagert. Wir tun dies durch die Verwendung von öffentlichen/privaten Schlüsseln und Zertifikaten - bekannt als digitale Identitäten.

Die umfangreichen Anwendungsfälle für PKI sind genauso schnell gewachsen wie die digitalen Identitäten, die Sie schützen müssen. Anstatt ein paar hundert Zertifikate zu verwalten, müssen Sicherheitsunternehmen nun Tausende bis Millionen von Zertifikaten verwalten, die in einer Multi-Cloud-Infrastruktur betrieben werden.

Hier sind nur einige Anwendungsfälle für PKI in Multi-Cloud-Infrastrukturen und einige zu berücksichtigende Auswirkungen:

• Verwendung von Containern: DevOps-Teams verwenden hochautomatisierte Container (z. B. Kubernetes, Docker) als Bausteine für die Bereitstellung software in Cloud-Umgebungen. Wenn jedoch Container durch Automatisierung auf- und abgebaut werden, können dann auch Zertifikate sicher und zuverlässig in der gleichen rasanten Geschwindigkeit für Container bereitgestellt werden?
• Umfassender Einsatz von CI/CD: Continuous Delivery (CD)-Pipelines ermöglichen Teams die Verwendung von Continuous Integration (CI)-Tools wie Jenkins zur Erstellung, Prüfung und Bereitstellung ihres Codes. Diese Teams arbeiten in der Regel in Silos außerhalb der traditionellen PKI-Governance durch eine selbstsignierte CA (z. B. HashiCorp Vault). Während die Teams den Code schneller freigeben, ist die Sicherheit nicht über die steigende Anzahl an nicht vertrauenswürdigen und unbekannten Zertifikaten informiert.
• Sichere Code Signing-Operationen: Die Geschwindigkeit und das Ausmaß des Code Signing haben mit einer Vielzahl von Mitarbeitern rund um den Globus ebenfalls zugenommen. Die meisten Unternehmen verfügen über eine Mischung aus Vollzeitentwicklern und Dienstleistern, die Code signieren müssen, ohne die privaten Schlüssel potenziellen Angriffen auszusetzen.
• Skalierung von mobilen Geräten und IoT: Tools für das Mobilitätsmanagement in Unternehmen verwenden auch Zertifikate, um mobile Geräte außerhalb der traditionellen PKI zu sichern. Wenn Sie die explosionsartige Zunahme von IoT Geräten berücksichtigen, die eine Autorisierung und eindeutige Identitäten benötigen, wird das Problem der Skalierung immer größer.
• Zugriff auf ein verteiltes Netzwerk: Früher konnten wir fast allem innerhalb unserer durch den Perimeter geschützten Netzwerkumgebung vertrauen. Jetzt benötigen Router, Switches, Load Balancer und Firewall-Appliances alle eine eindeutige Identität, um vertrauenswürdig zu sein.

Diese Anwendungsfälle verdeutlichen neue Komplexitäten bei der Verwaltung des Lebenszyklus digitaler Identitäten im großen Maßstab. Falsch verwaltete private/öffentliche Schlüssel und Zertifikate stören weiterhin den Betrieb und untergraben das Vertrauen in vielen Unternehmen, was zu einer kritischen Vertrauenslücke führt

Die Quintessenz: Die kritische Vertrauenslücke muss identifiziert, erkannt und geschlossen werden, um die Sicherheit des Unternehmens zu gewährleisten.

Diese Anwendungsfälle sind eine gute Nachricht für diejenigen, die PKI in ihrem Unternehmen in größerem Umfang einsetzen wollen. Eine schlechte Nachricht ist es jedoch, wenn ihre PKI nicht für diesen Umfang und diese Komplexität ausgelegt ist.

Hier sind einige der wichtigsten Indikatoren aus unserem jüngsten Branchenbericht, die eine kritische Vertrauenslücke aufzeigen:

• Betriebliche Ausfälle: In den letzten zwei Jahren kam es bei 87 % der Befragten zu ungeplanten Ausfällen aufgrund abgelaufener Zertifikate, bei 55 % waren es vier oder mehr. Wenn man bedenkt, dass nach Schätzungen von Gartner eine Stunde Netzwerkausfallzeit 300.000 US-Dollar ausmacht, ist es nicht schwer zu erkennen, wie kostspielig sich Betriebsausfälle auf das Unternehmen auswirken.
• Fehlgeschlagene Audits: Neben den Betriebsausfällen gaben die Befragten auch zu, dass sie in den letzten zwei Jahren durchschnittlich sechs fehlgeschlagene Audits erlebt haben, die ein ernstes Sicherheitsrisiko darstellten.
• Personalmangel: PKI-Kenntnisse sind rar gesät, und die Vermittlung von Talenten innerhalb des Unternehmens stellt für die meisten eine Herausforderung dar. Dies führt zu einem Mangel an Kontrolle über die internen Prozesse, die für die Ausstellung, Bereitstellung und Verwaltung digitaler Identitäten während ihres gesamten Lebenszyklus erforderlich sind. Nur 38 % der Befragten waren der Meinung, dass sie über eine akzeptable PKI-Abdeckung im Unternehmen verfügen.
• Mangelnde Transparenz/Kontrolle: Wie wir bereits erwähnt haben, kennen 74 % der Unternehmen nicht die genaue Anzahl der Schlüssel und Zertifikate, die in ihrem Unternehmen über eine Mischung aus Multi-Cloud-, mobilen und IoT -Plattformen verteilt sind. Darüber hinaus gaben über 76 % der Befragten an, dass das Versagen bei der Sicherung dieser Schlüssel und Zertifikate das Vertrauen in ihr Unternehmen untergräbt.

Ohne eine ordnungsgemäße Bewertung der derzeitigen Verwaltung von Schlüsseln und digitalen Zertifikaten in Ihrem Unternehmen wird die kritische Vertrauenslücke nur noch größer werden, wenn die Anzahl der digitalen Identitäten, von denen Ihr Unternehmen abhängig ist, weiter wächst.

Hier finden Sie einige hilfreiche Möglichkeiten, um die kritische Vertrauenslücke zu schließen.

• Überdenken Sie Ihre PKI: Die Realität der PKI-Anwendungsfälle kann überwältigend sein, und es ist unbedingt erforderlich, dass Sie eine langfristige Strategie für die Verwaltung Ihrer PKI haben. Führen Sie ein Audit durch, um herauszufinden, wer in Ihrer Organisation für die PKI zuständig ist und wie er sie neben seinen anderen Aufgaben verwaltet. Verfolgen Sie, wie viele digitale Identitäten Ihre Organisation Woche für Woche ausgibt, um zu sehen, wo die maximale Kapazität einen Breakpoint erreichen könnte.
• Wechseln Sie von reaktiv zu proaktiv: Laut Gartner*"werden Sicherheitsverantwortliche, die das Management von X.509-Zertifikaten erfolgreich in eine überzeugende Geschäftsstrategie einbinden, wie z. B. digitales Geschäft und Vertrauensbildung, den Programmerfolg um 60 % steigern, während es heute weniger als 10 % sind." Sie müssen die Diskussion von der Betrachtung sicherer Identitäten als lästiges Übel zu einer Kernkomponente für die Sicherung Ihres digitalen Geschäfts ausbauen.
• Planen Sie vorausschauend für Krypto-Agilität: Die meisten Unternehmen haben sich auf die Fortschritte im Quantencomputing eingestellt und wissen, wie sich diese auf die Verschlüsselungspraktiken auswirken werden. Allerdings sind fast 50 % der Befragten besorgt, dass der Aufstieg des Quantencomputers erhebliche Änderungen an den PKI- und Zertifikatsverwaltungspraktiken erfordern wird. Um für die Zukunft des Quantencomputers gerüstet zu sein, muss jetzt gehandelt werden und nicht erst, wenn es soweit ist.

*"Technology Insight for X.509 Certificate Management", David Mahdi, David Collinson, Oktober 2019