CISO-Einsichten: Warum Sie Maschinenidentitäten in Ihrer IAM-Strategie nicht ignorieren können

In diesem Blog werden die wichtigsten Erkenntnisse für CIOs und CISOs aus dem 2021 State of Machine Identity Management Report vorgestellt.

Unabhängig von der Größe Ihres Unternehmens und Ihrer Position im Unternehmen - CISO, Architekt, Ingenieur oder Entwickler - hat sich Ihre Arbeitsweise zweifellos verändert. In einem Jahr, das von Umwälzungen geprägt war, wurden wir alle in die Fernarbeit gedrängt, was unsere Teams dazu zwang, die "Spaziergang-Kriech-Lauf"-Ansätze für die digitale Transformation zu umgehen und einen Gang höher zu schalten, ob wir darauf vorbereitet waren oder nicht.

Das bedeutet mehr Geräte, mehr Konnektivität und letztlich auch mehr Herausforderungen für CIOs und CISOs.

In einem kürzlich erschienenen Beitrag von Smarter with Gartner betonen die Analysten: "Da die Anzahl der Geräte zunimmt - und weiter zunimmt - wird die Einführung einer unternehmensweiten Strategie für die Verwaltung von Maschinenidentitäten, Zertifikaten und Geheimnissen das Unternehmen in die Lage versetzen, die digitale Transformation besser abzusichern."

Was genau sind also Maschinenidentitäten?

Identitäts- und Zugriffsmanagement (IAM) ist ein wichtiger Bestandteil der Unternehmenssicherheit. So viel wissen wir. In den letzten zehn Jahren haben sich die IAM-Strategien von Unternehmen jedoch fast ausschließlich auf menschliche Identitäten konzentriert - die Anmeldeinformationen, die Ihre Mitarbeiter verwenden, um Zugang zu Geräten und Anwendungen zu erhalten, die sie täglich nutzen.

Es gibt nur ein Problem: Menschliche Identitäten sind nur ein Rädchen im Getriebe der IAM-Maschine.

Heutzutage ist Ihre digitale Belegschaft teils Mensch, teils Maschine. Tatsächlich übersteigt die Anzahl der Maschinen, wie Container, Dienste, mobile und IoT Geräte, bei weitem die Anzahl der Menschen in einem typischen Unternehmen. Diese Maschinen sind von entscheidender Bedeutung für den Geschäftsbetrieb - sie betreiben Websites und Apps, verbinden Benutzer mit Produkten und treffen mit RPA und KI-gesteuerten Bots sogar Entscheidungen in Sekundenbruchteilen.

Genau wie Menschen benötigt jede dieser Maschinen eine Identität (d. h. kryptografische Schlüssel, Zertifikate und Geheimnisse), und jede Identität muss verwaltet werden. Hier kommt das Maschinenidentitätsmanagement ins Spiel.

Wir haben den allerersten State of Machine Identity Management Report mit einem Ziel ins Leben gerufen: das Bewusstsein der Führungskräfte für die Bedeutung der Verwaltung von Maschinenidentitäten im digitalen Geschäft zu schärfen.

Unabhängig davon, ob Sie ein CISO sind, der aktiv eine Strategie für das Management von Maschinenidentitäten verfolgt, oder ob Sie mit dem Konzept kaum vertraut sind, zeigen die folgenden Kernaussagen, warum Maschinenidentitäten wichtig sind und wie sie sich auf Ihre Initiativen zur digitalen Transformation auswirken.

Erkenntnis Nr. 1: Cloud- und Zero-Trust-Strategien führen die Charts an

Zunächst die gute Nachricht: Im Zuge der Umstellung von Unternehmen auf Cloud-First- und Zero-Trust-Strategien nutzen Teams maschinelle Identitäten, um Wachstum und eine sichere digitale Transformation zu ermöglichen. Da das Geschäft immer digitaler wird, sichern maschinelle Identitäten jede Sekunde Tausende von Verbindungen und Transaktionen und ermöglichen es uns, uns in einem noch nie dagewesenen Umfang und Tempo zu bewegen.

Laut der Studie sind die wichtigsten Trends, die den Einsatz von Public-Key-Infrastrukturen (PKI) und Maschinenidentitäten vorantreiben, Cloud-basierte Dienste, Null-Vertrauens-Strategien und Remote-Arbeitskräfte. Da sich dieser Trend fortsetzt, wird das Volumen der Maschinenidentitäten erheblich zunehmen.

Erkenntnis Nr. 2: Zertifikatsausfälle sind weit verbreitet

Das bringt uns zu den schlechten Nachrichten. Da die Zahl der Rechneridentitäten explodiert, wird es sehr viel schwieriger, sie zu verwalten. Die kürzere Lebensdauer von SSL / TLS Zertifikaten hat die Arbeitsbelastung für PKI- und Sicherheitsteams im Wesentlichen verdoppelt und das Risiko von Ausfällen dadurch erhöht.

Die Ergebnisse des Berichts zeigen, dass das Problem weit verbreitet ist und sich weiter verschärft:

• Unternehmen hatten in den letzten zwei Jahren durchschnittlich drei Ausfälle aufgrund von abgelaufenen Zertifikaten; 41 % hatten vier oder mehr Ausfälle
• 59 % der Befragten befürchten ein erhöhtes Risiko von Stromausfällen aufgrund der kürzeren Lebensdauer SSL/TLS
• 40 % der Befragten geben an, dass sie in den nächsten 24 Monaten mit hoher Wahrscheinlichkeit mit Ausfällen zu rechnen haben

In diesem Jahr haben wir bereits gesehen, wie störend und kostspielig solche Situationen sein können. Sowohl Microsoft als auch Google mussten weitreichende Ausfälle aufgrund von falsch verwalteten Schlüsseln und Zertifikaten hinnehmen.

Erkenntnis Nr. 3: Größere Risiken lauern unter der Oberfläche

Ausfälle von Zertifikaten mit großen Auswirkungen mögen zwar für Schlagzeilen sorgen, sind aber in Wirklichkeit nur ein oberflächliches Symptom für ein viel größeres Problem: mangelnde Transparenz und Governance.

Wenn Sicherheitsteams keine Kontrolle über Maschinenidentitäten haben, öffnet dies die Tür für potenzielle Angriffe und Audit-Fehler, die viel kostspieliger sein können als ein Ausfall. Der diesjährige Bericht zeigt das hohe Risiko und die Häufigkeit dieser Vorfälle:

• 53 % der Unternehmen wissen nicht genau, wie viele Schlüssel und Zertifikate sie besitzen
• Fehlgeschlagene Audits und Diebstahl oder Missbrauch von Schlüsseln und Zertifikaten sind die häufigsten Bedrohungen
• 75 % der Befragten geben an, dass fehlgeschlagene Audits ein sehr schwerwiegender Vorfall sind, verglichen mit nur 34 % der Befragten, die ungeplante Ausfälle als sehr schwerwiegenden Vorfall bezeichnen

Erkenntnis Nr. 4: Maschinelle Identitäten sind jetzt eine Top-Priorität im IAM

Was bedeutet das alles? Maschinenidentitäten sind zu einem wichtigen Bestandteil der Sicherheitsstrategie geworden. In einem kürzlich erschienenen Bericht hebt Gartner hervor, dass "eine unternehmensweite Strategie für das Management von Maschinenidentitäten jetzt unerlässlich ist". CISOs und IT-Führungskräfte nehmen dies zur Kenntnis, aber es gibt noch viel zu tun.

In der Studie gaben 40 % der Befragten an, dass sie über eine unternehmensweite Strategie zur Verwaltung von Maschinenidentitäten verfügen. Die meisten Unternehmen haben jedoch entweder keine Strategie (18 %) oder eine begrenzte Strategie, die nur auf bestimmte Anwendungen oder Anwendungsfälle angewendet wird (42 %).

Erkenntnis Nr. 5: Fehlende Fähigkeiten, Werkzeuge und Prozesse behindern Teams

Es wurde schon einmal gesagt, aber es lohnt sich, es zu wiederholen: Die Identität jeder Maschine muss verwaltet und geschützt werden. Die Erkenntnis ist ein Schritt in die richtige Richtung, aber es braucht Menschen, Prozesse und Technologien, um eine effektive unternehmensweite Strategie umzusetzen.

Leider stehen die Unternehmen vor einer Reihe von Herausforderungen, die sie davon abhalten, ihre Pläne in die Tat umzusetzen. Hier sind nur einige der in der Studie ermittelten Hindernisse für den Erfolg:

• 55 % geben an, dass sie nicht genügend Personal für ihre PKI-Bereitstellung haben
• 64 % geben an, dass sie Zertifikate in Tabellenkalkulationen, selbst entwickelten Lösungen oder Tools von CA-Anbietern verfolgen
• 57 % verfügen nicht über einen genauen Bestand an SSH-Passwörtern, -Schlüsseln und -Zertifikaten
• 60 % haben keine formellen Zugangskontrollen und Arbeitsabläufe für Code-Signatur-Schlüssel

Finden Sie heraus, warum die Verwaltung von Maschinenidentitäten die nächste Priorität für Sicherheits- und IAM-Verantwortliche ist. Erhalten Sie Einblicke von mehr als 1.100+ IT- und Sicherheitsexperten im allerersten State of Machine Identity Management Report und teilen Sie ihn mit Ihrem Team.