Einblicke von Chief Security Officer, Chris Hickman, in den Keyfactor-Ponemon Institute Report 2019: Die Auswirkungen von ungesicherten digitalen Identitäten
Die Cybersicherheit steht niemals still. Da sich die Bedrohungen mit jedem Tag weiterentwickeln, können auch die ausgefeiltesten Präventivmaßnahmen nicht jeden Angriff verhindern.
Aus diesem Grund verlagern immer mehr Unternehmen ihren Schwerpunkt von der Prävention und dem Schutz auf eine effektive Reaktion auf Bedrohungen.
Die Public-Key-Infrastruktur (PKI) ist ein Eckpfeiler in jeder Cybersicherheitsstrategie eines Unternehmens. Schlüssel und digitale Zertifikate sind praktisch überall vorhanden und bieten kryptografischen Schutz für fast alle hardware und software , die wir täglich nutzen.
Doch trotz der Verlagerung hin zu einer effektiven Reaktion wird PKI nicht die gleiche Aufmerksamkeit zuteil wie anderen Cybersicherheitstools im Unternehmen. Dennoch gilt das gleiche Prinzip, und die jüngste Flut von Vorfällen im Zusammenhang mit Kryptowährungen zeigt, dass die meisten Unternehmen nicht in der Lage sind, effektiv zu reagieren, wenn etwas schief läuft.
Warum Sie es sich nicht leisten können, Krypto-Agilität zu ignorieren
Wie das Sprichwort sagt, "Dinge passieren" - und wenn dies der Fall ist, wird oft getestet, wie gut wir vorbereitet sind.
Als Cybersicherheits- und IT-Führungskräfte planen wir in der Regel für jeden Sicherheitsvorfall, der unser Unternehmen bedrohen könnte, aber haben Sie auch einen Plan, um auf kryptobezogene Ereignisse zu reagieren?
Eine aktuelle Studie des Ponemon Institute über die Auswirkungen ungesicherter digitaler Identitäten zeigt, dass Unternehmen im Durchschnitt fast 140.000 Schlüssel und Zertifikate in ihrer Umgebung haben, aber mehr als 60 % der Befragten sind besorgt über ihre Fähigkeit, diese sicher zu halten.
Was passiert also, wenn die Schlüssel und Zertifikate, denen Sie heute vertrauen, morgen zu Ihrem größten Risiko werden?
Werfen wir einen Blick auf einige der kryptobezogenen Vorfälle, die Ihr Unternehmen bedrohen können.
1. Kompromittierung der Zertifizierungsstelle (CA)
Zertifikaten wird auf zwei Arten vertraut - ausdrücklich und allgegenwärtig.
- Explizites Vertrauen bedeutet, dass ein Gerät einem bestimmten Zertifikat oder der Zertifizierungsstelle, von der es ausgestellt wurde, vertrauen soll.
- Ubiquitäres Vertrauen bedeutet, dass eine Zertifizierungsstelle von einem Browser, einer Anwendung oder einem Betriebssystem (z. B. Google Chrome oder Windows OS) als vertrauenswürdig eingestuft wird und das Zertifikat in einem "Vertrauensspeicher" gespeichert ist.
Doch was passiert, wenn einer Zertifizierungsstelle (CA) nicht mehr vertraut werden kann? Vielleicht wurde in die CA eingebrochen oder sie hat es versäumt, die kryptografischen Standards einzuhalten.
Unabhängig davon, wie es passiert ist, hat Ihre vertrauenswürdige Quelle für Schlüssel und Zertifikate versagt, und jetzt müssen Sie die Scherben aufsammeln.
Wenn es zu Sicherheitsverletzungen kommt - der Ponemon-Bericht zeigt, dass Unternehmen in den letzten 24 Monaten zweimal von Sicherheitsverletzungen betroffen waren - sind die Auswirkungen enorm. Demselben Bericht zufolge belaufen sich die durchschnittlichen Kosten für die Wiederherstellung nach solchen Vorfällen auf 13,2 Millionen US-Dollar.
Selbst bei GoDaddy, Apple und Google kann man sich nicht darauf verlassen, dass Ihre Zertifikate sicher sind und dem Industriestandard entsprechen - sie haben kürzlich fast 1 Million Browser-vertrauenswürdige Zertifikate falsch ausgestellt, die nicht den aktuellen Standards entsprachen.
Trotz des minimalen Risikos waren die Kosten für die Unternehmen, diese Zertifikate zu finden und zu ersetzen, beträchtlich.
2. Krypto-Bibliotheks-Fehler
Die Entdeckung eines Fehlers in einer Krypto-Bibliothek kann auch dazu führen, dass neue Schlüssel generiert und Zertifikate neu ausgestellt werden müssen, je nachdem, welche Technologie bei der Korrektur oder dem Ersatz verwendet wird.
Im Oktober 2017 wurde eine Schwachstelle in einer software Bibliothek entdeckt, die von Trusted Platform Modules (TPMs) von Infineon verwendet wird, um private RSA-Schlüssel zu generieren, wodurch Millionen von Sicherheitsgeräten verwundbar wurden. In diesem Fall reichte es nicht aus, einfach Firmware-Updates zu installieren - fast jedes große Unternehmen auf der ganzen Welt musste sich darum bemühen, schwache Verschlüsselungsschlüssel manuell zu widerrufen und zu ersetzen.
3. Veraltete Algorithmen
Kryptographische Algorithmen entwickeln sich weiter. Tatsächlich gibt es kaum einen kryptografischen Algorithmus oder Hashing-Mechanismus, der in den letzten Jahren nicht versagt hat und durch eine stärkere, weniger angreifbare Alternative ersetzt wurde.
Denken Sie nur an die Schlüssel und Hash-Algorithmen, denen wir 2007 vertraut haben, von MD5 und SHA-1 bis zu 1024-Bit-RSA-Schlüsseln. Heute ist keiner mehr akzeptabel.
Experten auf dem Gebiet der Quanteninformatik sagen voraus, dass Quantencomputer innerhalb der nächsten 15 Jahre einsatzfähig sein werden. Dieser Sprung nach vorn wird wahrscheinlich die Schlüsselkomponenten der Kryptographie, wie wir sie kennen, verändern und die Unternehmen zwingen, sich auf neue Strategien, kryptographische Standards und Technologien umzustellen.
Das Auffinden und Ersetzen von Schlüsseln und Zertifikaten auf den betroffenen Systemen ist immer noch ein weitgehend manueller Prozess, der mit enormen Kosten und Risiken für das Unternehmen verbunden ist. Bei der Umstellung von SHA-1 auf SHA-2 meldeten mehrere Organisationen Ausgaben von über 5 Millionen Dollar. Dabei wird davon ausgegangen, dass es auf dem Weg dorthin keine fehlgeschlagenen Audits gibt. In diesem Fall könnten sich die Kosten auf weit über 14 Millionen Dollar belaufen.
4. Missbrauch von Schlüsseln und Zertifikaten
Private Schlüssel sind unerlässlich, um Daten zu entschlüsseln und Zugang zu wichtigen Informationen zu erhalten. In den falschen Händen können sie jedoch dazu verwendet werden, sich als vertrauenswürdige Einheit auszugeben und ungehinderten Zugang zu Ihrem Netzwerk zu erhalten.
Angreifer können es auf vertrauenswürdige Schlüssel abgesehen haben, die von Firewalls, Load Balancern und Servern verwendet werden, und sich so in Ihrem verschlüsselten Datenverkehr verstecken. Da sie nicht wissen, welcher Schlüssel gestohlen wurde, sind IT- und Sicherheitsteams gezwungen, alle Schlüssel und Zertifikate für Hunderte von Systemen neu zu erstellen.
Die Unternehmen schätzen, dass sie in den letzten zwei Jahren durchschnittlich mehr als vier Vorfälle von Missbrauch von Serverzertifikaten und -schlüsseln erlebt haben, die durchschnittlich 13,4 Millionen US-Dollar gekostet haben.
Krypto-Agilität - Der Zeitpunkt zum Start ist jetzt
In der Größenordnung der heutigen Public-Key-Infrastruktur sind manuelle Skripte und Tabellenkalkulationen einfach ineffizient.
Krypto-Agilität bietet die Möglichkeit, Ihre Schlüssel und Zertifikate proaktiv und reaktionsschnell zu verwalten. Wenn Ihr Unternehmen noch nicht kryptoagil ist, ist es jetzt an der Zeit, damit zu beginnen. Kryptografische Agilität ist zwingend erforderlich, da wir uns der Ära der Post-Quantum-Kryptografie nähern.
Die Entwicklung einer effektiven Strategie für die Verwaltung von Schlüsseln und Zertifikaten und Investitionen in die Automatisierung können Ihnen dabei helfen, der Sicherheitskurve einen Schritt voraus zu sein - und die Auswirkungen und Kosten von Vorfällen im Zusammenhang mit Kryptowährungen für Ihr Unternehmen zu reduzieren.
Sie möchten mehr erfahren? Laden Sie dieses eBook herunter und beginnen Sie Ihren Weg zu einer kryptoagilen PKI, oder werfen Sie einen Blick auf unser neuestes Release - Keyfactor Command 6 - das entwickelt wurde, um eine kryptoagile Schlüsselverwaltung für Unternehmen in großem Umfang zu ermöglichen.
