Als Teil des Cybersecurity Awareness Monthzeigt Keyfactor Möglichkeiten auf, wie sich Teams an die wachsende Herausforderung der Verwaltung von Zertifikaten und Maschinenidentitäten in ihren Unternehmen anpassen können.
Bis vor kurzem war die Kryptographie mit öffentlichen Schlüsseln eine Nischenpraxis. Mit dem Aufkommen von Telearbeit, Cloud Computing und IoT sind Umfang und Verbreitung von Zertifikaten jedoch explodiert.
Diese wachsende Schwachstelle wird zu einem beliebten Angriffsvektor für böswillige Akteure. In der Zwischenzeit sind die Unternehmen in die Enge getrieben worden und müssen den Zustand der Zertifikate in ihren Unternehmen bewerten und langfristige Richtlinien für die Sicherung und Verwaltung der Zertifikate einführen.
KeyfactorDer 2022 State of Machine Identity Report ergab, dass Unternehmen durchschnittlich 269.562 öffentliche und private Zertifikate besitzen.
Die Verwaltung der Public-Key-Infrastruktur (PKI) ist eine große Aufgabe, wenn sie zu den Hauptaufgaben Ihres Teams hinzukommt. Um die PKI effizient zu verwalten und zu skalieren, müssen Sicherheitsteams eine Menge Dinge wissen - deshalb haben wir neun Punkte zusammengestellt, die Sie berücksichtigen sollten.
1. Sichtbarkeit ist der Schlüssel, und Ihr Team hat vielleicht nicht den Einblick, den es zu haben glaubt.
Ein Bericht von Keyfactor und Ponemon aus dem Jahr 2021 ergab, dass 50 % der Unternehmen nicht genau wissen, wie viele Schlüssel und Zertifikate sie besitzen. Und im KeyfactorBericht 2022 zum Stand der Maschinenidentitätwar die vollständige Transparenz aller Zertifikate die oberste Priorität für PKI und Zertifikatsmanagement.
Dies ist symptomatisch für eine ausufernde PKI - verschiedene Teams verwenden unterschiedliche Zertifizierungsstellen (im Durchschnitt 21), ohne dass eine zentrale Stelle für die Verfolgung und Verwaltung von Zertifikaten vorhanden ist. Erschwerend kommt hinzu, dass in vielen Unternehmen keine klare Zuständigkeit für die PKI im gesamten Unternehmen festgelegt ist.
Die Implementierung einer Lösung zur Verwaltung des Lebenszyklus von Zertifikaten ist die Antwort. Keyfactor Command ist eine Lösung zur Verwaltung und Automatisierung des Lebenszyklus von Zertifikaten die vor Ort, als Service oder in Kombination mit einer in der Cloud gehosteten privaten PKI (bekannt als PKI-as-a-Service) bereitgestellt werden kann. Wie auch immer Sie sich für die Bereitstellung entscheiden, Sie werden in der Lage sein, vorhandene Zertifikate in Ihrer Umgebung schnell zu erkennen und zu verwalten und dann den PKI-Betrieb zu skalieren, wenn die Geschäftsanforderungen wachsen.
2. Die Verwaltung der PKI ist ein Vollzeitjob.
Viele IT- und Sicherheitsteams haben einfach zu viele andere Prioritäten, um die PKI-Verwaltung in ihre täglichen Aufgaben einzubeziehen. Schließlich stehen andere Aufgaben im Mittelpunkt ihres Aufgabenbereichs. PKI tritt hinter der Wartung von Systemen, der Reaktion auf Vorfälle und der Untersuchung von Warnmeldungen zurück. Laut dem Keyfactordem 2022 State of Machine Identity Report:
- 65 % der Unternehmen sind besorgt über den erhöhten Arbeitsaufwand und das Risiko von Ausfällen, die durch die kürzere Lebensdauer der TLS Zertifikate verursacht werden.
- 50 % gaben an, dass sie nicht genügend IT-Personal für ihre PKI haben.
- 33 % der Unternehmen nannten Zeit- und Budgetmangel als größte Herausforderung bei der Einführung einer unternehmensweiten PKI-Managementstrategie.
Gleichzeitig wird die Lebensdauer von Zertifikaten immer kürzer, um Unternehmen vor der Bedrohung durch kompromittierte oder gestohlene Zertifikate zu schützen. Seit 2020, ist 398 Tage die allgemein akzeptierte Lebensdauer für Zertifikate. Viele Zertifizierungsstellen gehen jedoch dazu über, die Lebensdauer auf 90 Tage zu beschränken.
Diese Lebensdauer wird weiter abnehmen, was bedeutet, dass Zertifikate immer häufiger ablaufen, was das Risiko für Unternehmen ohne ein zuverlässiges System zur Verwaltung der PKI erhöht. Ohne adäquate PKI-Ressourcen wird das "Whack-a-mole"-Spiel mit ablaufenden Zertifikaten immer teurer.
3. Die Verwaltung einer PKI erfordert PKI-spezifisches Fachwissen.
"Gut," denken Sie, "wir bilden einfach ein internes PKI-Team, das sich aus IT- und Sicherheitsanalysten zusammensetzt, die wir bereits beschäftigen.
Viel zu oft schieben Unternehmen PKI auf die Schultern von Mitarbeitern, die nur wenig (oder manchmal gar keine) Erfahrung im Umgang mit PKI haben. Obwohl Ihre IT- und Sicherheitstechniker wahrscheinlich sehr kompetent sind, fangen sie in einer sich ständig verändernden PKI-Landschaft bei Null an.
- Das Ausmaß an Veränderungen und Unsicherheiten im Zusammenhang mit PKI wurde als größte Herausforderung bei der Einführung einer unternehmensweiten PKI-Managementstrategie genannt.
- Der Mangel an qualifiziertem Personal wurde als zweitgrößtes Hindernis für die Einführung einer unternehmensweiten Strategie genannt. [Keyfactor2022 State of Machine Identity Report]
Die Lernkurve ist zu steil, und es steht zu viel auf dem Spiel, um Ihre PKI in die Hände von Personen zu legen, die keine Erfahrung und Kenntnisse im PKI-Bereich haben.
Die richtige PKI beginnt mit dem Design. Es gibt jedoch eine große Anzahl von PKI-Designaspekten, die, wenn sie einmal konfiguriert sind, nicht mehr geändert werden können, ohne dass eine vollständige Neuimplementierung erforderlich ist. Diese starren Aspekte haben erhebliche Auswirkungen auf die langfristige Nutzung Ihrer PKI.
4. Manuelle Prozesse machen es unmöglich, die PKI effizient zu skalieren.
Spezielles PKI-Personal und -Ressourcen werden immer wichtiger. Wenn PKI muss in die Hände von IT- und Sicherheitsexperten mit anderen wichtigen Aufgaben fallen, müssen Unternehmen versuchen, die Komplexität der PKI-Verwaltung so weit wie möglich zu reduzieren.
In jedem Kontext sind manuelle Prozesse der Feind von Modernisierung, Skalierung und Transformation. In einem PKI-Kontext sind manuelle Prozesse in Verbindung mit mangelndem PKI-Fachwissen ein Rezept für ein Desaster.
- Das manuelle Beantragen, Erstellen und Bereitstellen eines neuen Zertifikats ist mühsam, vor allem, wenn die Mitarbeiter mit PKI nicht vertraut sind.
- 42 % der Unternehmen verwenden immer noch Tabellenkalkulationen um Zertifikate zu verfolgen und zu verwalten. Tabellenkalkulationen können Sie jedoch nicht benachrichtigen, wenn ein Zertifikat abläuft oder kurz vor dem Ablauf steht, und sie können auch nicht auf die Fehler hinweisen, die bei der manuellen Dateneingabe entstehen.
- Manuelle Prozesse führen dazu, dass sie von den Teams ad hoc und uneinheitlich genutzt werden. Dieser Mangel an Standardisierung erschwert die Einführung und Skalierung von Best Practices.
- Wenn Schwachstellen aufgedeckt werden, ist ein schneller Austausch von Zertifikaten unerlässlich, doch manuelle Prozesse machen es unmöglich, mit der erforderlichen Geschwindigkeit zu reagieren. Dies gilt insbesondere im Falle einer Kompromittierung einer Zertifizierungsstelle, die eine Massenausstellung neuer Zertifikate erfordert.
Automatisierung ist die Antwort. Mit einer zentralisierten PKI-Verwaltungsplattform müssen Sie sich nicht mehr um Ihre Zertifikate kümmern. Von kontinuierlicher Überwachung und automatisierten Warnmeldungen über API-Integrationen bis hin zur Möglichkeit für Endbenutzer, ihre eigenen Zertifikatsprozesse durchzuführen - die Automatisierung von PKI-Prozessen ist der Schlüssel zur Skalierung.
5. Eine ordnungsgemäße PKI-Verwaltung ist für moderne betriebliche Anforderungen von entscheidender Bedeutung.
Fernarbeit, IoT, DevOps - die traditionelle Netzwerkgrenze ist nicht mehr das, was sie einmal war. Teammitglieder benötigen einen sicheren Zugang zu den Systemen und Anwendungen, die ihre Arbeitsabläufe ermöglichen. In Bezug auf Remote-Arbeit und IoT liegt die Herausforderung bei der Sicherung von Geräten in einer ganzen Reihe neuer Bedingungen und Faktoren, die außerhalb Ihrer Kontrolle liegen. Wenn jemand aus der Ferne arbeitet, kann es sein, dass die Geräte und Netzwerke, über die er auf Ihre Server zugreift, in puncto Sicherheit nicht auf dem neuesten Stand sind. Bei IoT muss das Gerät eine Verbindung zu einem Server herstellen, um den Besitz zu bestätigen, unabhängig davon, wo es aktiviert wird.
Bei DevOps geht es vor allem um Skalierung und Geschwindigkeit. Die oben beschriebenen manuellen PKI-Prozesse stellen eine große Herausforderung für die DevOps-Dynamik und die Umsetzung von CI/CD dar. Eine optimierte, effiziente PKI kann die Entwicklungszyklen beschleunigen und gleichzeitig die Qualität verbessern - ohne Abstriche bei der Sicherheit.
6. Krypto-Agilität ist mehr als ein Nice-to-have.
Ganz gleich, wie gut Ihre Sicherheitsvorkehrungen heute sind, sie werden sich mit der Zeit verschlechtern. Es tauchen immer wieder neue Technologien und Bedrohungen auf. Mit der Zeit wird jede Sicherheitsimplementierung fallen, und keine einzelne Verschlüsselungsmethode ist unbesiegbar.
Geschäftsagilität bedeutet die Fähigkeit, sich schnell und mit minimalen Unterbrechungen anzupassen. Im Zusammenhang mit PKI bedeutet Krypto-Agilität, dass Ihr Unternehmen seine PKI-Prozesse weiterentwickeln kann, ohne die gesamte IT- oder Sicherheitsinfrastruktur zu unterbrechen. Krypto-Agilität ermöglicht es Unternehmen, Schwachstellen zu erkennen, bevor sie durch einen Bruch, einen Verstoß oder eine Konformitätsstrafe aufgedeckt werden.
Agilität und Anpassungsfähigkeit schaffen Nachhaltigkeit-eine langlebige PKI-Architektur, die mit Ihrem Unternehmen mitwächst, mit den zunehmenden Compliance-Vorschriften Schritt hält und sogar zu Innovationsinitiativen beiträgt.
7. Eine gute PKI beginnt mit dem Entwurf.
Die explosionsartige Zunahme der Anwendungsfälle und des Umfangs von PKI erfordert eine neue Reihe von Best Practices. Wenn diese Praktiken von Anfang an implementiert werden, können sie die Integrität Ihrer PKI bewahren und Sie vor einer störenden Neueinrichtung zu einem späteren Zeitpunkt bewahren.
Bei PKI kann man sich nicht alles selbst ausdenken. Sie brauchen einen detaillierten Fahrplan, bevor Sie den ersten Schritt tun.
- Wie wird PKI in Ihrer Organisation eingesetzt, und wie wird sie in Zukunft eingesetzt werden müssen?
- Was sind die besten Richtlinien und Verfahren für die Verwaltung von Zertifikaten über ihren gesamten Lebenszyklus in Ihrem Unternehmen?
- Welche Kontrollen werden Sie einführen, um diese Strategien und Verfahren zu unterstützen?
- Wie werden Sie Änderungen an Ihrem Plan und Ihrer PKI erfassen, erklären und dokumentieren?
Die Einrichtung Ihrer PKI mit einem guten Design ist nur der Anfang. Eine PKI erfordert ein hohes Maß an Pflege und Wartung, um funktionsfähig zu bleiben. Dies ist ein Risiko für Sicherheitsteams, die sich auf die Implementierung einer PKI konzentrieren, aber nicht auf deren dauerhaften Betrieb.
8. Prüfung, Prüfung, Prüfung.
Wenn Sie Ihre PKI intern verwalten, müssen Sie regelmäßige Audits in Ihre PKI-Praxis einbauen. Ein Audit sollte die Überprüfung und das Testen aller in Ihren Zertifikatsrichtlinien und Erklärungen zur Zertifikatspraxis (CP/CPS), der Geschäftskontinuität und den Notfallwiederherstellungsplänen für alle PKI-Komponenten aufgeführten Punkte umfassen. Wenn ein legitimer Änderungsbedarf besteht, sollten Sie eine Änderungskontrolle einleiten, um alle Dokumente zu aktualisieren. Betrachten Sie diese Dokumente als lebendige, atmende Dokumente, die sich weiterentwickeln, um das beabsichtigte Sicherheitsniveau der PKI aufrechtzuerhalten.
Unternehmen, die ihre eigenen internen Audits planen und durchführen, können regelmäßig und einfach Probleme erkennen, Fragen externer Prüfer beantworten und den Nachweis für das erforderliche Maß an Sicherheit erbringen. PKI-Eigentümer sollten auch ihre unternehmenseigenen PKI-Kontrollen überwachen und mit aktuellen und neuen Standards vergleichen, z. B. mit dem CA/Browser Forum, WebTrust und den Aufsichtsbehörden der Branche. Dies hilft der Organisation, Trends voraus zu sein, die sonst zu PKI-Mängeln führen könnten. Eine weitere bewährte Praxis ist die Durchführung eines jährlichen PKI-Gesundheitschecks, um alles aufzudecken, was die Organisation möglicherweise nicht bedacht hat.
9. Sie können die PKI lösen und Ihrem Sicherheitsteam die Arbeit abnehmen.
Die Ressourcen, die für den Entwurf, die Implementierung, die Wartung und die interne Weiterentwicklung von PKI erforderlich sind, sind mit hohen Kosten und einer hohen technischen Hürde verbunden, insbesondere in Anbetracht des derzeitigen Arbeitskräftemangel im Bereich der Cybersicherheit.
Wie können Sie also die PKI-Implementierung richtig angehen, die weit verbreitete Flut von Zertifikaten, die durch Ihr Unternehmen strömt, bewältigen und die PKI durch Transparenz, Nachvollziehbarkeit und Automatisierung angesichts einer sich schnell verändernden Landschaft skalieren?
Ein Partner mit umfassender PKI-Expertise kann Ihnen eine schlüsselfertige Lösung für die Implementierung und den Betrieb Ihrer eigenen internen PKI anbieten - oder er kann das gesamte PKI-Management als Rundum-Service anbieten.
Benötigen Sie Hilfe bei der Verbesserung Ihrer Cybersicherheitsmaßnahmen?
Die Risiken einer unzureichenden PKI-Verwaltung werden immer größer, aber die Komplexität muss nicht sein. Keyfactor hilft Unternehmen (auch solchen mit unterdotierten Teams), alle digitalen Schlüssel und Zertifikate für Multi-Cloud-Unternehmen, DevOps und eingebettete IoT Sicherheit zu sichern. Klicken Sie hier, um mehr darüber zu erfahren, was wir anbietenund wie unsere Cloud PKI-as-a-Service jeder Organisation Zugang zu einem Elite-Team von Cybersecurity-Experten bietet.
