Haben Sie PKI-Kennzahlen? Hier sind die wichtigsten, die Sie kennen sollten.

Wenn Sie etwas Zeit im PKI-Bereich verbracht haben, haben Sie wahrscheinlich in letzter Zeit viel über Krypto-Agilität gehört, aber was bedeutet das wirklich? 

Bei der Krypto-Agilität geht es darum, Elemente Ihres PKI-Programms, wie Signieralgorithmen und Schlüsselstärken, zukunftssicher zu machen, um kommenden Entwicklungen Rechnung zu tragen. Derzeit wird beispielsweise viel darüber gesprochen, wie man sich auf das Quantencomputing vorbereiten kann. Dazu müssen Sie Ihre Schlüssel aktualisieren und stärken, damit sie mit den sich entwickelnden Standards Schritt halten können. 

Letztlich kommt es bei der Erreichung von Krypto-Agilität auf vier entscheidende Bereiche an: 

1. Sicherstellung der Einsicht in alle Ihre Schlüssel und Zertifikate
2. Kontrolle über diese Elemente, um sicherzustellen, dass sie mit den richtigen Richtlinien übereinstimmen
3. Automatisierung der Erneuerung von Zertifikaten zur Vermeidung von Ausfällen im Vergleich zu verpassten manuellen Erneuerungen
4. Orchestrierung dieser Richtlinien und Erneuerungen über all Ihre verschiedenen DevOps-Toolchains oder -Pipelines hinweg durch Integration mit Lösungen wie Istio und HashiCorp

Alle diese Bereiche sind wichtig, aber die Sichtbarkeit ist der wichtigste, mit dem man beginnen sollte. Denn wenn Sie den Zustand Ihrer Kryptografie nicht kennen, wird der PKI-Betrieb äußerst schwierig. Und wenn es um Transparenz geht, sind dies die zehn wichtigsten Kennzahlen, die es zu verfolgen gilt.

Was zu verfolgen ist: Der Einblick in den Ablaufstatus jedes Zertifikats, einschließlich des Zeitpunkts, zu dem es abläuft und wer vorher benachrichtigt werden muss, kann für Ihr PKI-Programm einen enormen Unterschied machen. Andernfalls besteht die Gefahr von Netzwerkausfällen, und dieses Risiko vervielfacht sich mit der wachsenden Anzahl von Identitäten im Unternehmen.

Warum man es verfolgen sollte: Auslaufende Zertifikate sind der Hauptgrund, warum Unternehmen mit der Verwaltung des Lebenszyklus von Zertifikaten beginnen, insbesondere wenn ein Ausfall die Bedeutung dieser Aktivitäten unterstreicht.

Wichtig ist, dass abgelaufene Zertifikate nicht nur zu Ausfällen führen können. In diesem Beispiel hatte das Unternehmen ein abgelaufenes Zertifikat auf einem Server, der den Netzwerkverkehr überwachte. Da das Zertifikat abgelaufen war, wurde die Datenexfiltration, durch die personenbezogene Daten der Kunden ins Internet gelangten, nicht gemeldet. Nachdem das Unternehmen das Zertifikat ersetzt hatte (was etwa 19 Monate nach Ablauf des Zertifikats geschah), wurde der Diebstahl bemerkt. Dies ist ein Beispiel dafür, dass das Zertifikat keinen Ausfall verursacht hat und dass das Unternehmen aufgrund der fehlenden Transparenz des Ablaufstatus nicht sofort etwas bemerkt hat.

Wie man es verfolgt: Der beste Weg, sich einen Überblick über den Ablaufstatus zu verschaffen, ist ein Bericht, der einen Überblick über alle Ihre Zertifikate und deren Ablaufdatum gibt, so dass Sie Prioritäten setzen können, bei welchen Zertifikaten Sie aktiv werden müssen. Auf diese Weise können Sie priorisieren, bei welchen Zertifikaten Sie aktiv werden müssen. Diese Transparenz gibt Ihnen auch die Möglichkeit, für Erneuerungen zu planen, die mehr Zeit in Anspruch nehmen (z. B. in Fällen, in denen Sie nicht wissen, wer für ein Zertifikat zuständig ist, oder nicht wissen, wie Sie es in der Anwendung, die es verwendet, ersetzen können).

Was zu verfolgen ist: Die Größe und Stärke all Ihrer Schlüssel und Zertifikate zu kennen, ist ebenfalls wichtig. Auf diese Weise können Sie feststellen, ob Ihre Schlüssel schwach sind, und vermeiden, dass Sie dadurch für einen Angriff anfällig werden.

Warum man es verfolgen sollte: Jedes Mal, wenn wir Fortschritte in der Datenverarbeitung machen, müssen die Algorithmen hinter den kryptografischen Schlüsseln weiterentwickelt werden. Und da dies so häufig geschieht, ist es wichtig, dass Sie die Größe und Stärke der Schlüssel schnell und mit minimaler Unterbrechung Ihrer bestehenden Infrastruktur anpassen können.

Außerdem könnte ein sehr schwacher Schlüssel darauf hindeuten, dass Sie einen so alten Schlüssel haben, dass er nicht einmal mehr verwendet werden darf, da viele Anwendungen Zertifikate auf der Grundlage solch niedriger Standards einfach ablehnen. Folglich kann die Überwachung der Schlüsselgröße und -stärke auch helfen, Fälle von Ausuferung zu erkennen.

Wie man es verfolgt: Der ideale Bericht für diese Metrik bewertet die Schlüsselgröße und -stärke, um einen Überblick über mögliche Schwachstellen zu erhalten. Liegt das Problem beispielsweise darin, dass Ihre Schlüsselstärke zu niedrig ist oder dass Sie einen schwachen Signieralgorithmus haben? Die Antworten auf diese Fragen sollten Aufschluss darüber geben, wo Sie Ihre Einstellungen anpassen müssen, um die Stärke Ihrer Schlüssel zu maximieren, damit Sie sie nicht in kurzer Zeit erneut aktualisieren müssen.

Was zu beachten ist: Signieralgorithmen sind die Grundlage für Vertrauen und Sicherheit einer PKI. Ähnlich wie bei der Schlüsselgröße und der Schlüsselstärke ist es wichtig, Signieralgorithmen zu verfolgen und sich auf die Migration vorzubereiten, wenn der Algorithmus veraltet ist.

Ein bekanntes Beispiel hierfür ist die Umstellung von SHA-1 auf SHA-2. Obwohl der SHA-1-Signieralgorithmus damals veraltet war, konnten viele Anwendungen die neuen SHA-2-Zertifikate noch nicht verwenden, so dass diese Migrationsprojekte einen sehr bewussten Ansatz erforderten, der darauf basierte, welche Anwendungen diese Zertifikate verwendeten.

Warum man es verfolgen sollte: Auch wenn größere Hashes im Allgemeinen sicherer sind, da sie weniger anfällig für Kollisionsangriffe sind, ändert sich die Definition von "größer" ständig. Im Moment warten wir zum Beispiel auf Ratschläge des NIST zur Quantenkryptografie und zum Quantencomputing. Morgen könnte etwas passieren, das es erforderlich macht, dass wir schnell Änderungen vornehmen müssen, und darauf müssen wir vorbereitet sein.

Sobald jemand einen Quantencomputer in die Hände bekommt, der den SHA-2-Algorithmus brechen kann, müssen alle Zertifikate mit einem viel stärkeren Algorithmus neu ausgestellt werden. Daher ist es von entscheidender Bedeutung, dass man verfolgen kann, was aktualisiert wurde, und dass man über eine Automatisierung verfügt, um diese Algorithmen schnell und in großem Umfang zu ersetzen (bei Keyfactor haben wir Millionen von Zertifikaten innerhalb von 24 Stunden neu ausgestellt und bereitgestellt).

Interessanterweise finden wir manchmal IoT Geräte, die ohne Berücksichtigung der Krypto-Flexibilität entwickelt wurden, weil die Zertifikate eine Lebensdauer von 20 Jahren haben und jede Aktualisierung erfordert, dass jedes Gerät manuell aufgesucht und das Zertifikat ersetzt wird. Das ist nicht nur mit enormen Kosten verbunden, sondern die Änderungen der Algorithmen im Laufe der Zeit machen diese Geräte auch extrem anfällig.

Wie man es verfolgt: Die hilfreichsten Berichte geben Aufschluss darüber, wie viele Anwendungen migriert wurden, wie viele noch nicht migriert wurden und was erforderlich ist, um die verbleibenden Anwendungen zu migrieren. In Fällen wie der Umstellung von SHA-1 auf SHA-2, bei der es darum ging, dass Anwendungen den aktualisierten Signierungsalgorithmus nicht verwenden konnten, ist dieser Bericht auch nützlich, um den Anwendungseigentümern zu zeigen, welche Sicherheitsaktualisierungen sie vornehmen müssen.

Was zu verfolgen ist: Es ist wichtig, alle Zertifizierungsstellen (CAs) zu kennen, die Ihr Unternehmen verwendet (sowohl öffentliche als auch private), und die von ihnen ausgestellten Zertifikate im Auge zu behalten. Viele Teams sind für drei bis vier öffentliche Zertifizierungsstellen zuständig, die im gesamten Unternehmen integriert sind, sowie für eine interne ausstellende Zertifizierungsstelle. Wenn alle diese CAs im Einsatz sind, brauchen Sie jederzeit einen Überblick über die Aktivitäten.

Warum man es verfolgen sollte: Ein Überblick über die Ausstellung von Zertifikaten ist wichtig, um ungewöhnliche, bedrohliche oder versteckte Aktivitäten zu erkennen. Ein Beispiel: Eine Organisation dachte, sie hätte 1.000-2.000 Zertifikate, aber eine Bestandsaufnahme unter Keyfactor ergab mehr als 200.000 Zertifikate. Wir entdeckten, dass ein Server in der Umgebung alle sechs Stunden neu startete und bei jedem Neustart ein Zertifikat anforderte - und das schon seit zwei Jahren, ohne dass es jemandem aufgefallen wäre.

Wie man es verfolgt: Ein Bericht zeigt Ihnen die Anzahl der Zertifikate, die jede Zertifizierungsstelle täglich ausstellt, und gibt Ihnen so die Möglichkeit, Trends zu erkennen und Problemen zuvorzukommen. Wenn Ihr Team mit der Ausstellung von zwei oder drei Zertifikaten pro Tag gerechnet hat, dann aber die dreifache Anzahl an Zertifikaten feststellt, können Sie feststellen, welche Zertifizierungsstelle die Spitze verursacht, und weitere Untersuchungen anstellen, da dies auf bösartige Aktivitäten hindeuten könnte. Insgesamt sind solche Spitzen und alles andere Ungewöhnliche ein guter Indikator dafür, dass etwas nicht in Ordnung sein könnte und eine genauere Untersuchung rechtfertigt.

Was zu verfolgen ist: Als Nächstes müssen Sie wissen, wer Zertifikate anfordert und wem diese Zertifikate gehören. Obwohl dies einfach klingt, kann die Vergabe von Zertifikaten sehr schnell unübersichtlich werden, wie der klassische Oprah-Moment "Du bekommst ein Auto und du bekommst ein Auto!"

Warum man es verfolgen sollte: Sie müssen wissen, wer ein Zertifikat angefordert hat und wem es gehört, denn wenn ein Zertifikat abläuft oder es zu einem Betriebsausfall kommt, müssen Sie wissen, an wen Sie sich für die Erneuerung wenden müssen. Wenn es zu Ausfällen kommt, liegt das in der Regel daran, dass jemand nicht auf ein Zertifikat geachtet hat oder dass es keinen Erneuerungsprozess gab.

Und es braucht nur ein einziges Zertifikat, um einen Ausfall zu verursachen, wie z. B. der Ausfall von Microsoft Teams der kurz nach dem Auftreten von COVID auftrat. Es war nur ein Zertifikat, das ablief, aber es war ein großer Schlag für Microsoft zu einem Zeitpunkt, als Zoom begann, sich durchzusetzen.

Wie man es verfolgt: Der beste Weg, Zertifikatsanforderungen und -besitz zu verfolgen, ist die Einführung eines Berichts, der einen detaillierten Überblick darüber bietet, wer ein Zertifikat angefordert hat, wer es besitzt, wo es sich befindet und wer über ein bevorstehendes Auslaufen und eine Erneuerung zu benachrichtigen ist.

Was zu verfolgen ist: Mit dem Wachstum von DevOps-Teams sehen die meisten Unternehmen eine rasche Zunahme von selbstsignierten Zertifikaten, die vom Entwicklungsteam eingerichtet werden, um mit dem schnelleren Entwicklungstempo Schritt zu halten. Ein selbstsigniertes Zertifikat ist nicht wirklich öffentlich oder privat - es ist im Grunde eine integrierte Zertifizierungsstelle, die mit einem bestimmten Tool verbunden ist, und es ist wichtig zu verstehen, wo diese Zertifikate existieren.

Warum man es verfolgen sollte: Viele Organisationen versuchen herauszufinden, wie sie selbstsignierte Zertifikate mit ihrer PKI-Richtlinie in Einklang bringen können. Oft gehen sie dabei so vor, dass sie ihr PKI-Programm mit HashiCorp Vault oder einer CA in ihrem Istio-Service-Mesh integrieren. Diese Integrationen können schnell aus dem Ruder laufen, aber sie zeigen genau, wo sich die Zertifikate befinden. Andernfalls haben die Sicherheitsteams wahrscheinlich nur einen begrenzten oder gar keinen Einblick in den Bereich, in dem das Entwicklungsteam selbstsignierte Zertifikate ausgestellt hat.

Wie man sie aufspürt: Diese Art von Schatten-IT tritt vor allem dann auf, wenn es für Entwickler mühsam ist, Zertifikate zu erhalten. Was Sie brauchen, ist ein Bericht, der zeigt, wer Ihre Richtlinien umgeht und wann. Dann können Sie diese Erkenntnisse nutzen, um Wege zur Verbesserung Ihrer Prozesse zu finden, die es diesen Personen erleichtern, Zertifikate sicher zu erhalten, ohne ihre Prozesse zu verlangsamen.

Was zu beachten ist: Ein Wildcard-Zertifikat ist ein einzelnes Zertifikat, das für mehrere Subdomänen verwendet wird. Sie bieten eine Menge Kosteneinsparungen, aber ein einziger Ausfallpunkt des Zertifikats kann mehrere Bereiche des Unternehmens beeinträchtigen. Dies stellt ein großes Risiko in Bezug auf Ausfälle und Angriffe dar.

Warum man es verfolgen sollte: Wenn Sie nicht wissen, bei welchen Zertifikaten es sich um Wildcards handelt oder wenn Sie nicht alle Anwendungen kennen, die ein bestimmtes Wildcard-Zertifikat verwenden, haben Sie einen blinden Fleck. Wenn etwas mit diesem Zertifikat schief geht oder Sie es erneuern müssen, haben Sie Schwierigkeiten, alle Anwendungen zu identifizieren, die davon betroffen sein könnten. Dies geschah kürzlich bei Spotifypassiert, als der gesamte Dienst ausfiel, weil das Team vergessen hatte, ein TLS -Zertifikat zu erneuern, das ein Wildcard-Zertifikat war.

Wie man es nachverfolgt: Sie benötigen einen Bericht, aus dem hervorgeht, bei welchen Zertifikaten es sich um Wildcards handelt und an welche Subdomänen diese jeweils gebunden sind. Das geht am besten, indem Sie alle Wildcard-Zertifikate auf eine bestimmte Weise markieren, zum Beispiel mit einem Sternchen. Ohne diese Art von Bericht wissen Sie möglicherweise nicht, dass ein Zertifikat ein Platzhalter ist. Und selbst wenn Sie es wissen, kennen Sie möglicherweise nicht jede Anwendung, die das Zertifikat verwendet, und die einzige Möglichkeit, dies festzustellen, sind manuelle Netzwerkscans.

Was zu verfolgen ist: Welche Zertifikate werden automatisch bereitgestellt und erneuert und welche Zertifikate müssen manuell aktualisiert werden? Im Allgemeinen gilt: Je mehr Automatisierung, desto besser.

Warum man es verfolgen sollte: Ein hoher Automatisierungsgrad ermöglicht einen dynamischeren Ansatz für Ihren PKI-Betrieb und Ihre Zertifikatsverwaltungspraktiken, während ein geringerer Automatisierungsgrad das Risiko von Ausfällen erhöht. Außerdem helfen automatisierte Zertifikate bei der standardmäßigen 90-tägigen Lebensdauer von Zertifikaten, da Sie nicht wollen, dass jemand diese Zertifikate alle 90 Tage manuell ersetzen muss.

Wie man es nachverfolgt: Zunächst benötigen Sie einen Bericht, aus dem hervorgeht, welche Zertifikate automatisiert und welche manuell sind. Das Schöne an der Automatisierung ist, dass sie auch Berichte erstellt, die Ihnen zeigen, wie viele Zertifikate erneuert werden. Dies zeigt den Lebenszyklus der Zertifikate an, so dass Sie sie sogar früher als nötig ersetzen lassen können.

Was zu verfolgen ist: Zertifikatswiderrufslisten (Certificate Revocation Lists, CRL) geben Auskunft darüber, ob ein Zertifikat noch gültig ist oder nicht, und sie sind das Herzstück der PKI-Verwaltung. Wenn zum Beispiel jemand Ihr Unternehmen verlässt, können Sie seine Zertifikate widerrufen, und eine CRL macht dies bekannt, damit andere diesen Zertifikaten nicht mehr vertrauen.

Warum man sie verfolgen sollte: Die CRL befindet sich an einem öffentlichen Ort, wo jeder sie überprüfen kann. Wenn eine Person oder ein Dienst sie aus irgendeinem Grund nicht erreichen kann, sollten sie einem Zertifikat nicht vertrauen. Wenn also die CRL abgelaufen oder nicht mehr verfügbar ist, wird jedes von dieser Zertifizierungsstelle ausgestellte Zertifikat als nicht vertrauenswürdig angesehen. Der Zustand der CRL ist also eine einzige Schwachstelle und muss überwacht werden.

Wie man es verfolgt: Führen Sie einen Bericht ein, der zeigt, welche Zertifikate widerrufen wurden, und fügen Sie die Möglichkeit hinzu, zu sehen, wer diese Zertifikate widerruft. Es ist wichtig zu wissen, dass Zertifikate aus allen möglichen Gründen widerrufen werden können: Sie könnten kompromittiert sein, sie könnten nicht mehr benötigt werden oder sie könnten überholt worden sein.

Was zu verfolgen ist: Die vorangegangenen Metriken sind alles Dinge, die Sie leicht durch Scannen Ihres Netzwerks oder verschiedener Endpunkte finden können. Beim letzten Punkt geht es darum, alle Zertifikate in Ihrer Umgebung zu finden, von denen Sie nichts wissen. Auf diese Weise können Sie sie in Ihre Datenbank aufnehmen, um blinde Flecken zu beseitigen und eine Berichterstattung zu ermöglichen.

Warum man es verfolgen sollte: Bevor Sie Zertifikate scannen können, um spezifische Informationen über sie zu erhalten, müssen Sie zunächst jedes einzelne Zertifikat kennen, das es gibt. Schlimmer als ein unbekanntes Zertifikat nicht zu verwalten, ist es, ein unbekanntes Zertifikat nicht zu verwalten, und deshalb ist ein vollständiges Inventar aller vorhandenen Zertifikate unerlässlich.

Wie man es aufspürt: Durchsuchen Sie Ihre Umgebung nach allen offenen Ports, die Zertifikate hosten könnten. Wenn Sie wissen, wo sich Zertifikatspeicher befinden, selbst wenn Sie nur den Servernamen kennen, sollten Sie in der Lage sein, die Automatisierung oder einen Orchestrator so zu konfigurieren, dass er diesen Server durchsucht und nach Zertifikatspeichern sucht. Dann können Sie alles, was Sie finden, in einer einzigen Datenbank zusammenfassen, über die Sie Berichte erstellen können. Achten Sie dabei auf Dinge wie eine falsche Schreibweise Ihres Firmennamens in einem Zertifikat, da dies ein Hinweis auf bösartige Aktivitäten sein könnte.

Dies sind zwar nur zehn von vielen PKI-Kennzahlen, die es zu verfolgen gilt, doch zusammengenommen bieten sie ein hohes Maß an Transparenz, das Ihrem Team helfen kann, Krypto-Flexibilität zu erreichen. Was kommt als Nächstes? Es ist an der Zeit, alles für eine einfache Anzeige zusammenzufassen. Wir empfehlen, mit den folgenden Dashboards zu beginnen:

• Monatlicher Bericht für Führungskräfte: Geben Sie den Führungskräften einen Überblick über die Ausstellungsaktivitäten des vergangenen Monats im Vergleich zum Vormonat. Dies bietet einen schnellen Einblick in den Zustand der Zertifizierungsstelle und ermöglicht es Führungskräften, schnell zu erkennen, ob es rote Fahnen gibt, die untersucht werden müssen (z. B. eine große Anzahl von Zertifikaten, die in den nächsten 2 bis 4 Wochen ablaufen und das Risiko von Ausfällen darstellen könnten). Es hilft den Führungskräften auch zu verstehen, was bei der Skalierung der PKI-Architektur zu planen ist. Müssen Sie zum Beispiel eine weitere ausstellende Zertifizierungsstelle einrichten, um eine größere Anzahl von Zertifikaten zu verwalten?
• PKI-Statusbericht: Erstellen Sie eine Vogelperspektive der PKI-Zustandsdaten, wie z. B. Ausgabe, Ablauf, Schlüsselstärke und CA-Aktivität, für technisch interessierte Führungskräfte. Dieser Bericht geht mehr ins Detail, bietet aber dennoch einen Überblick über alle Vorgänge. Es sollte Ihnen auch möglich sein, Dinge wie Zertifikatsammlungen nach Abteilungen zu filtern und Ablaufwarnungen anzuzeigen oder anzupassen. Insgesamt bietet es einen guten Überblick für eine vielbeschäftigte Führungskraft, die den Wert von Zertifikaten für die Sicherheit des Unternehmens versteht und Verbesserungen planen kann, z. B. die Einführung einer stärkeren Automatisierung, um das Risiko zu verringern und die Zeit des Sicherheitsteams freizusetzen, damit es sich weniger auf Erneuerungen und mehr auf wertschöpfende Aktivitäten konzentrieren kann.

Möchten Sie mehr darüber erfahren, warum diese Metriken so wichtig sind und wie Sie damit beginnen können, sie zu verfolgen? Klicken Sie hier, um sich unser Webinar über die zehn wichtigsten PKI-Kennzahlen anzusehen, um noch mehr Details und Ratschläge zu erhalten.