Im Zeitalter der Fernarbeit und des Internets der DingeIoT) predigen Sicherheitsunternehmen unermüdlich über digitales Vertrauen - denn es ist ein nie endender Kampf! TUm diesen Kampf zu gewinnen, müssen Sie mit Ihrer PKI eins werden und Ihr Unternehmen ins Gleichgewicht bringen.
Leider kann die dunkle Seite von PKI Ihr Sicherheitsprogramm korrumpieren und die Rebellion - äh, Ihr Unternehmen - anfällig für Angriffe machen.
Zum Glück haben wir einen neuen Leitfaden entwickelt (mehr über das eBook erfahren Sie weiter unten!), der die dunkle Seite von PKI aufdeckt und Sie auf Ihrem Weg zum PKI-Jedi begleitet.
PKI-Sichtbarkeit und -Kontrolle
TLS sind für die Datenverschlüsselung und sichere Verbindungen unerlässlich, aber schon ein einziges abgelaufenes oder falsch konfiguriertes Zertifikat kann zu Systemausfällen führen und wichtige Dienste unterbrechen.
Als zum Beispiel das System der Bank of England CHAPS-System der Bank England 91 Minuten lang wegen eines abgelaufenen Zertifikats offline war. Oder als der Starlink von SpaceX - eine Konstellation von Satelliten in der Erdumlaufbahn - ausfiel, weil ein einziges Bodenstationszertifikat abliefund damit Millionen von Menschen auf der ganzen Welt ohne Verbindung blieben.
Denken Sie daran, dass diese Ausfälle in Spitzenunternehmen mit qualifizierten technischen Teams auftraten, so dass kleinere Unternehmen wahrscheinlich Ausfallzeiten haben, die länger als eine Stunde dauern. In der Tat, Keyfactor's 2024 PKI & Digitales Vertrauen zeigt, dass Zertifikatsausfälle im Durchschnitt 5 Stunden Ausfallzeit verursachen - selbst wenn die Ursache schnell erkannt wird.
Abgesehen von den Ausfallzeiten können Zertifikatsausfälle, die durch kompromittierte Zertifikate verursacht werden, zu weitaus schlimmeren Ergebnissen führen. Um diese Risiken einzudämmen, haben Google und Apple vorgeschlagen, die Gültigkeit von Zertifikaten auf 90 und 45 Tagevorgeschlagen. Diese Vorschläge sind zwar vielversprechend, aber sie werden erst 2025 bzw. 2027 zur Abstimmung stehen. Selbst dann ist das Ergebnis noch ungewiss, so dass es unklug ist, sich in Bezug auf Ihre Sicherheit ausschließlich auf die Zeitvorgaben zu verlassen.
Wenn Sie die Sicherheit Ihrer Zertifikate kontrollieren möchten, lautet die erste Regel: Lassen Sie manuelle Prozesse wie Tabellenkalkulationen und benutzerdefinierte Skripte weg. Sie lassen sich nicht skalieren, wenn sich Ihre Zertifikate vermehren, sodass Ausfälle unvermeidlich sind.
Stattdessen:
- Zentralisieren Sie Ihren Zertifikatsbestand über Server, Clients, Code-Signierung und Vertrauenswurzeln hinweg.
- Verfolgen Sie Ablaufdaten, Standorte und Besitzverhältnisse für alle CAs, Netzwerkendpunkte, Cloud-Dienste, CT-Protokolle und Zertifikatspeicher.
- Verwenden Sie Tools wie Keyfactor Command um die Suche nach Zertifikaten und die Verwaltung des Lebenszyklus zu automatisieren.
Optimierte Sicherheit für alle Teams
Abtrünnige Zertifikate sind eine ernsthafte Sicherheitsbedrohung - wie ein verkleideter Sith-Lord, der eines Tages die Kontrolle über die Republik übernehmen will.
Auch gefälschte Zertifikate sind eine stille Bedrohung, die zu kostspieligen Ausfällen führen kann. Tatsächlich haben 42 % der Unternehmen die Beseitigung gefälschter Zertifikate zur obersten Priorität erklärt.
Diese gefälschten Zertifikate entstehen in der Regel, wenn:
- Die Mitarbeiter eilen durch den Prozess der Zertifikatserstellung, ohne die richtigen Verfahren zu befolgen.
- Anwendungseigentümer umgehen Sicherheitsprotokolle, um sich selbst Zertifikate zu beschaffen (selbstsignierte Zertifikate)
- Sicherheitsteams haben keinen Einblick oder Kontrolle darüber, wie Zertifikate von Servern und Anwendungen verwendet werden.
- Ein kompromittiertes Zertifikat wird verwendet, um mehrere Unterdomänen zu sichern (Wildcard-Zertifikate)
Um Ihr Unternehmen vor gefälschten Zertifikaten zu schützen, sollten Sie Folgendes tun:
- Arbeiten Sie mit Anwendungs- und Betriebsteams zusammen, um deren Bedürfnisse zu verstehen und ihnen richtlinienkonforme Zertifikate zur Verfügung zu stellen.
- Schränken Sie die Verwendung von selbstsignierten Zertifikaten und Wildcard-Zertifikaten in Ihrem Unternehmen ein.
- Konsolidieren Sie PKI- und CA-Tools, um Kosten und Komplexität zu reduzieren.
- Erleichtern Sie den Teams den Erwerb richtlinienkonformer Zertifikate
- Implementieren Sie eine PKI-Lösung wie Keyfactor Command , um Cloud- und Container-basierte Bereitstellungen zu unterstützen.
Sicherstellung der Code-Signierung
Die software ist eine der größten Bedrohungen für das digitale Vertrauen, wobei der Missbrauch von Code-Signaturen der häufigste Angriffsvektor ist. In den letzten Jahren gab es zahlreiche Angriffe, bei denen Angreifer in Signierumgebungen eingedrungen sind und den Code direkt infiziert haben, so dass Malware an den Verteidigungsmaßnahmen vorbeigeschleust wurde. Dies liegt zum Teil daran, dass IT-Teams Code-Signatur-Schlüssel auf Workstations (53 %) und Build-Servern (52 %) speichern, anstatt sichere HSMs zu verwenden.
Ein Beispiel für Code-Signing-Angriffsvektoren in Aktion ist CVE-2023-51634wo eine unsachgemäße HTTPS-Zertifikatsvalidierung auf NETGEAR RAX30-Routern es Angreifern ermöglichte, heruntergeladene Daten zu kompromittieren.
Ein weiteres Beispiel für einen Code-Signing-Angriff war, als AnyDesk's Code-Signierungsschlüssel gestohlen wurdengestohlen wurden, was zu einem 48-stündigen Wartungsfenster führte und die Benutzer zwang, ihre software zu aktualisieren, um unbefugten Zugriff zu verhindern.
Zur Eindämmung von Code-Signing-Angriffen wurde das CA/B Forum nun vor, dass die privaten Schlüssel von Codesignatur-Zertifikaten in HSMs gespeichert werden müssen.
Aber das ist nicht genug. Um Ihr Unternehmen noch besser vor Code-Signing-Angriffen zu schützen:
- Durchsetzung des Prinzips der geringsten Privilegien durch Zugangskontrollen für Schlüssel und Signaturen.
- Automatisieren und integrieren Sie sicheres Signieren in bestehende Arbeitsabläufe mit Tools wie SignServer.
- Erstellen Sie bei der Unterzeichnung eine Software Bill of Materials (SBOM), um Vertrauen und Transparenz zu gewährleisten.
- Stempeln Sie Ihren signierten Code mit einem zuverlässigen Zeitstempel (Time Stamp Authority, TSA).
- Verwenden Sie in der gesamten software eine mehrstufige Authentifizierung.
Sichern von SSH-Schlüsseln
Das SSH-Protokoll (Secure Shell) ist für sichere Verwaltungsaufgaben wie Fernanmeldungen und Dateiübertragungen unerlässlich. Viele IT-Teams glauben jedoch fälschlicherweise, dass die Verwendung von Kennwörtern oder Schlüsselpaaren für die SSH-Authentifizierung narrensicher ist, wodurch Unternehmen anfällig für Angriffe sind.
SSH-Schlüssel sind zwar leistungsstarke Sicherheitswerkzeuge, aber wenn sie in die falschen Hände geraten, können sie dazu verwendet werden, sich unbemerkt zwischen Systemen zu bewegen. Im Gegensatz zu Zertifikaten laufen SSH-Schlüssel nicht ab, d. h. wenn sie einmal kompromittiert sind, können sie unbegrenzt verwendet werden. Da sie außerdem häufig weitergegeben oder kopiert werden, können sie Angreifern übermäßige Privilegien einräumen.
Häufige Angriffsvektoren sind in der Regel vergessene oder ruhende Schlüssel aus temporären Zugängen, gemeinsam genutzte Schlüssel innerhalb von IT-Teams, schwache Schlüssel, die in Quellcode oder öffentlichen Repositories gefunden wurden, usw. Ein Beispiel aus der Praxis ist die 2024 entdeckte SSH-Snake-Malware, die SSH-Anmeldeinformationen ausnutzte, um sich in Netzwerken zu verbreiten und 36 % der US-Unternehmen zu schädigen.
Um Ihre SSH-Schlüssel sicher zu halten:
- Deaktivieren Sie die kennwortbasierte Authentifizierung, die für Brute-Force-Angriffe anfällig ist.
- Erstellen Sie ein Inventar von Schlüsselpaaren und bilden Sie Vertrauensbeziehungen ab.
- Überwachen Sie Schlüsselnutzung, Alter, Stärke und zugehörige Konten.
- Umsetzung von Richtlinien zur Schlüsselrotation und Entfernung schwacher oder inaktiver Schlüssel.
- Verwenden Sie kurzlebige SSH-Zertifikate für eine sicherere Authentifizierung.
Hinweis: Führen Sie diese Tipps zur Problembehebung mit Vorsicht aus, da ein übereiltes Entfernen oder Wechseln von SSH-Schlüsseln zum Verlust des Zugangs und zu Serviceausfällen führen kann.
Das Quantum kommt
Quantencomputer sind vielversprechend für Bereiche wie Medizin und Klimawissenschaft, aber sie stellen auch eine Bedrohung für die Verschlüsselungsalgorithmen dar, die PKI-Zertifikate schützen. Quantencomputer könnten es Angreifern mit fortschrittlichen Ressourcen ermöglichen, selbst unsere sichersten kryptografischen Algorithmen zu knacken.
Sie denken vielleicht: "Das wird sich nicht so bald manifestieren", aber Regierungsbehörden warnen, dass böswillige Akteure Ihre Verschlüsselungsdaten bereits jetzt ausspähen könnten, um sie zu entschlüsseln, sobald die Quantencomputer voll entwickelt sind. Außerdem ist es bekannt, dass neue Technologien nur langsam voranschreiten, bis sie sich unerwartet beschleunigen. In der Tat, Gartner prognostiziert, dass das Quantencomputing bis 2029 vollständig entwickelt sein wird.
Wir dürfen nicht vergessen, dass der Übergang von der No-Quantum- zur Post-Quantum-Kryptografie komplex ist und viele Jahre dauern könnte. Darüber hinaus werden mit Sicherheit neue Mandate und Vorschriften kommen, da Regierungen und Normungsgremien die Einführung von Quantenkryptografie vorantreiben.
Vorbereitung auf das Quantenzeitalter:
- Erstellen Sie ein umfassendes kryptografisches Inventar, einschließlich Schlüssel und Zertifikate.
- Sprechen Sie mit Anbietern, einschließlich PKI- und HSM-Anbietern, um sicherzustellen, dass sie für quantensichere Sicherheit bereit sind.
- Investieren Sie in PKI-Tools wie EJBCA, die quantenfähig sind.
- Bereiten Sie Ihre Systeme vor, indem Sie automatisierte Prozesse für die Erneuerung und Bereitstellung von Zertifikaten einführen.
Blick in die Zukunft: Erkunden Sie das eBook
Die Schattenseiten des digitalen Vertrauens gehen weit über das hinaus, was wir hier behandelt haben, und das gilt auch für die Lösungen. In unserem spannenden eBook finden Sie alle Informationen, die Sie benötigen, um Ihr digitales Vertrauen zu stärken und die Infrastruktur Ihres Unternehmens zu schützen.
Tauchen Sie ein und entdecken Sie - wir wünschen Ihnen viel Spaß mit diesem Leitfaden!
