Egal, ob Sie Schlüssel und Zertifikate für Secure Shell (SSH), SSL/TLS und andere PKI-bezogene Systeme und Vorgänge verwalten, Sie haben wahrscheinlich ein Krypto-Problem zu bewältigen.
Warum?
Wie in vielen Unternehmen werden Entscheidungen über das Kryptographiemanagement von unterschiedlichen Gruppen getroffen. In jeder ECM-Funktion gibt es verschiedene Teams, die sich mit den Herausforderungen ihres spezifischen Kryptographiemanagements befassen.
Was man braucht, um den Krypto-Wirrwarr zu beseitigen
Was CISOs und Sicherheitsverantwortliche suchen, um die Sicherheit von Schlüsseln und Geheimnissen zu verwalten, ist eine nahtlose Orchestrierung über Geschäftseinheiten hinweg. Diese Orchestrierung stellt sicher, dass ihre Systeme geschützt sind und ihre Mitarbeiter ihre Arbeit effizient erledigen können, ohne Schwachstellen zu verursachen.
Ein neuer Bericht, der von TAG Cyber veröffentlicht wurde, gibt eine praktische Methodik für die Verwaltung des gesamten kryptographischen Lebenszyklus für Unternehmensteams vor.
Schritt 1: Festlegung von Richtlinien und Zuständigkeiten
Wie jede andere IT- oder Cybersicherheitsrichtlinie müssen auch die ECM-Richtlinien und -Zuständigkeiten die einzelnen Aufgaben rationalisieren, um Sicherheits- und Geschäftsziele zu erreichen.
Eine gründliche Richtlinie sollte mit einer übergeordneten Strategie beginnen und zu taktischeren Details übergehen, einschließlich Erzeugung, Verteilung, Buchführung, Aufbewahrung, Verwendung und Vernichtung von Schlüsseln sowie Autorisierungsrichtlinien und Sicherheitskontrollen für Schlüssel.
Wichtige Schritte bei der Erstellung eines organisatorischen ECM-Lebenszyklusprozesses umfassen die folgenden Aufgaben:
- Definieren Sie ECM-Ziele und -Strategie: Entwickeln und dokumentieren Sie die Ziele und die Strategie der Organisation für die Verwaltung von Schlüsseln und Zertifikaten, einschließlich der Frage, ob das Programm zentralisiert oder dezentralisiert werden soll, wer dafür verantwortlich ist, wo die Richtlinien gespeichert werden und wie sie gepflegt werden sollen.
- Vorhandene ECM-Architektur dokumentieren: Entwickeln und dokumentieren Sie die derzeitige Architektur der Schlüssel- und Zertifikatsverwaltung in Ihrem Unternehmen. Dies erfordert eine frühzeitige Inventarisierung der relevanten ECM-Aufgaben, die derzeit durchgeführt werden.
- Identifizieren Sie relevante Verschlüsselungsanforderungen: Validieren Sie gegenwärtige und künftige Verschlüsselungsanforderungen, einschließlich etwaiger Prüfungs- oder Regulierungsauflagen externer Stellen.
Schritt 2: Entwicklung eines kryptografischen Inventars
Automatisierte kryptografische Inventarisierungstools lokalisieren, identifizieren und melden konfigurierte Schlüssel und Zertifikate. Diese Tools helfen Administratoren bei der Verfolgung der kryptografischen Nutzung und tragen dazu bei, die Ausbreitung von Schlüsseln zu begrenzen, Zugriffskontrollen zu validieren und die rechtzeitige Rotation von SSH-Schlüsseln sicherzustellen.
Einige gängige Ermittlungsmethoden, die für eine vollständige Transparenz mit Hilfe der Toolunterstützung entscheidend sind, sind die folgenden:
- CA-Integration für SSL/TLS: Die direkte Integration mit Zertifizierungsstellen hilft, jedes ausgestellte Zertifikat zu identifizieren.
- Netzwerkbasierte Erkennung für SSL/TLS: Tools können IP-Bereiche, Subnetze und Ports scannen, um SSL Zertifikate zu finden.
- Geräteinterne Erkennung von SSH- und SSL/TLS -Schlüsseln: Dazu gehört die agentenbasierte oder agentenlose Erkennung von Schlüsselspeichern und Dateisystemen.
- IaaS für Cloud-ausgestellte Zertifikate: Neue Protokolle wie das Key Management Interoperability Protocol (KMIP) von OASIS helfen verschiedenen Cloud-Anbietern bei der Erkennung von Zertifikaten und bieten Bring-your-own-key (BYOK)-Funktionen.
Schritt 3: Schwachstellen identifizieren und beseitigen
Die Verwendung von Kryptographie kann Schwachstellen enthalten, die die Vertraulichkeit, Integrität oder Verfügbarkeit der Daten oder Systeme, die sie schützen soll, gefährden könnten.
Zu den häufigeren Schwachstellen, die Unternehmensteams in den von ihnen eingesetzten kryptografischen Algorithmen, Protokollen, Tools und Systemen feststellen können, gehören die folgenden:
- Algorithmen: Schwache Algorithmen, die für gegenwärtige und zukünftige Angriffe anfällig sein können
- Speicherung: Unsachgemäße Speicherung und Verwaltung von Schlüsseln, die zu Datenverlusten führen können
- Konfiguration: Schlechtes Konfigurationsmanagement, das die Verwaltung erschwert
- Regeln: Laxe Regeln für Schlüsselgenerierung, Autorisierung und Authentifizierung
- Sichtbarkeit: Mangelnde Transparenz bei digitalen Signaturen und anderen kryptografischen Aufgaben
Schritt 4: Kontinuierliche Überwachung und Prüfung
Die Managementpraktiken bei der Verwendung von Kryptographie in Unternehmen sollten Technologien und Verfahren für eine kontinuierliche Überwachung und regelmäßige Audits beinhalten. Kontinuierliche Abdeckung bedeutet, dass ein genaues und fortlaufendes Verständnis vorhanden sein muss, das der Sichtbarkeit in Echtzeit so weit wie möglich nahe kommt. Um dies zu erreichen, muss eine Organisation über definierte Pläne für alle Aspekte der ECM-Überprüfung, Datenerfassung, Überwachung und Bewertung verfügen. Eine Beispiel-Checkliste kann Folgendes umfassen:
- Prüfung: ECM-Teams sollten den Zugriff auf und die Verwendung von Code-Signatur-Zertifikaten regelmäßig prüfen und dabei auf Unterzeichner, Genehmigende und Signierzeiten achten.
- Überwachen: Durch die Überwachung der Aktivitäten im Zusammenhang mit der Zertifizierungsstelle kann sichergestellt werden, dass die Ausstellung von Zertifikaten innerhalb der festgelegten Schwellenwerte bleibt.
- Zeitstempel: ECM-Teams sollten den Zeitstempelcode kontinuierlich auf Probleme oder Anomalien überprüfen.
- Abgelaufen: Teams sollten abgelaufene oder nicht richtlinienkonforme Zertifikate (z. B. selbstsignierte, nicht autorisierte oder schwache) identifizieren und korrigieren, wenn sich die Richtlinien weiterentwickeln.
- Autorisierung: Es ist wichtig, Prozesse zur Autorisierung und Überprüfung der Vertrauenswürdigkeit von Vertrauensankern zu prüfen.
- Signieren: Die Überprüfung des Prozesses zur Einreichung und Genehmigung von Code-Signaturen kann die Signierung von nicht genehmigtem oder bösartigem Code verhindern.
- Entzug: Der Überwachungsprozess sollte eine wiederholte Prüfung der Prozesse zum Widerruf von Zertifikaten beinhalten.
Schritt 5: Automatisieren Sie den Lebenszyklus auf agile Art und Weise
In jedem der vier oben beschriebenen Schritte wird auf den Einsatz automatisierter Tools verwiesen. Dahinter steht der Wunsch, den ECM-Prozess zu skalieren und einen kontinuierlichen Einblick in den Bestand, die Nutzung und die Schwachstellen zu erhalten.
Ziel dieses fünften Schritts - der parallel zu den anderen Prozessschritten durchgeführt werden kann - ist die Vereinheitlichung der Automatisierung in einer gemeinsamen Architektur, um die Nutzung zu rationalisieren und sowohl das Risiko als auch die Kosten zu minimieren.
Die Herausforderung bei dieser Aufgabe der Automatisierungsplanung und -entwicklung besteht darin, eine geeignete End-to-End-Plattform auszuwählen, die nahtlos mit allen Aspekten der Umgebung zusammenarbeitet und sich in die Entwicklungs- und Bereitstellungslebenszyklen integrieren lässt. Sicherheitsteams in Unternehmen sollten daher ihre Hausaufgaben machen, um den besten kommerziellen ECM-Partner auszuwählen, der den Prozess auf effektive Weise automatisieren kann.
Beginnen Sie mit der Reinigung Ihres Chaos
Sicherheitsteams in Unternehmen werden weiterhin damit zu kämpfen haben, die Kontrolle über ihren gesamten Kryptoprozess zu behalten, solange sie keine einheitliche Strategie verfolgen. Keyfactor vereinfacht und vereinheitlicht den Kryptoprozess als Ganzes und ermöglicht es unseren Kunden, Transparenz zu erlangen, Verfahren festzulegen und die Automatisierung zu nutzen, um sich aus einem Krypto-Problem zu befreien.
Um den gesamten Bericht zu lesen und zu erfahren, wie Sie mit einer Selbsteinschätzung der heutigen Nutzung und Verwaltung von Kryptographie in Ihrem Unternehmen beginnen können, laden Sie ihn hier herunter.
Und wenn Sie noch mehr erfahren möchten, registrieren Sie sich für unser bevorstehendes Webinar, How to Approach Your End-to-End Cryptography Strategy: