Letzten Monat veröffentlichte das Weiße Haus die Nationale Cybersicherheitsstrategie der Regierung Biden. Das fast 40-seitige Dokument werden fünf Hauptpfeiler genannt, um den Sicherheitsanforderungen, Herausforderungen und Bedrohungen der Zukunft zu begegnen.
Die Strategie zielt im Wesentlichen darauf ab, die Regierung, den öffentlichen und den privaten Sektor auf Innovationen im Bereich der Sicherheit auszurichten, in der Hoffnung, die regulatorische Messlatte für die Sicherheit anzuheben, Sicherheit durch Design zu fördern und die USA so zu positionieren, dass sie in einer Post-Quantum-Welt erfolgreich sind.
Um das Dokument zu analysieren, haben wir uns mit Ted Shorter, CTO von Keyfactor , Tomas Gustavsson, Chief PKI Officer, und David Hook, VP of Software Engineering, zu einem kurzen Gespräch getroffen.
Was ist Ihr Eindruck von der Strategie? Irgendwelche allgemeinen Gedanken?
Ted Shorter: Meiner Meinung nach gibt es an dieser Strategie eine Menge zu mögen. Die Förderung einer besseren Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor wird von entscheidender Bedeutung sein, und die Absicht des Berichts, die Sicherheit erschwinglicher zu machen, ist ein Schritt in die richtige Richtung.
Die Strategie zielt darauf ab, die Zusammenarbeit zwischen Regierung, öffentlichem und privatem Sektor zu fördern. Wie könnte dies in der Praxis aussehen?
Ted Shorter: Cyberkriminelle und feindliche nationale Akteure können Infrastrukturen in großem Umfang angreifen, und Silos zwischen dem öffentlichen und dem privaten Sektor behindern unsere Fähigkeit, diese Angriffe zu erkennen und zu verstehen sowie darauf zu reagieren.
Um es klar zu sagen: Es ist kein fairer Kampf, wenn sich private Einrichtungen gegen nationalstaatliche Akteure verteidigen. Es ist sicherlich kein fairer Kampf, wenn echte Munition und Waffen eingesetzt werden, und es ist kein fairer Kampf, wenn Cyberangriffe eingesetzt werden.
Das ist leichter gesagt als getan, aber der öffentliche und der private Sektor brauchen bessere Möglichkeiten für den Austausch wichtiger Informationen. Heute werden Sicherheitsverantwortliche in der Privatwirtschaft oft davon abgehalten, Informationen über Angriffe weiterzugeben, weil sie Geldstrafen, schlechte Presse usw. fürchten.
Wie könnten sich die Arbeiten der Regierung zur Modernisierung der IT/OT-Systeme des Bundes auf die Unternehmenswelt auswirken?
Ted Shorter: Diese Aktivität wird den Weg für Sicherheitsvorschriften für eine viel breitere Palette von Geräten als heute ebnen - und das ist eine gute Sache. Wenn alle nach den gleichen Sicherheitsregeln spielen, müssen sich die Gerätehersteller keine Gedanken mehr über die relativen Sicherheitsausgaben für ihre Geräte machen.
Der Vorbehalt ist natürlich, dass diese Vorschriften weltweit gelten müssen. weltweit denn Geräte werden überall hergestellt. Andernfalls werden die Normen keine große Wirkung haben.
Wie wird diese Strategie in sichere software Entwicklungspraktiken einfließen, insbesondere da das Volumen der Maschinenidentitäten weiter zunimmt?
Tomas Gustavsson: Hier gibt es eine Menge zu tun. Software Entwicklungsteams müssen neue Lösungen von Anfang an mit Blick auf die Sicherheit entwickeln. Was Maschinenidentitäten betrifft, so müssen fest kodierte oder in Code-Repositories gespeicherte Anmeldedaten entfernt und viel besser geschützt werden.
Während Produktidentitäten nicht unbedingt Teil des software Entwicklungslebenszyklus sind, kann der Entwicklungsprozess selbst eine Reihe von Zertifikaten verbrauchen. Maschinen und APIs benötigen eine starke Authentifizierung, Entwickler benötigen SSH-Zertifikate und Signierzertifikate, und der Code wird in verschiedenen Phasen signiert, was Code-Signierzertifikate und einen starken Schutz der privaten Schlüssel erfordert.
In einer Zero-Trust-Architektur ist für den gesamten End-to-End-Code- und Kommunikationsfluss eine moderne, API-gesteuerte, skalierbare PKI unabdingbar.
Gibt es in jüngster Zeit Verstöße im Zusammenhang mit Zertifikaten, die die Notwendigkeit von sicheren software Entwicklungspraktiken besonders deutlich machen?
Tomas Gustavsson: Bei der jüngsten Sicherheitsverletzung auf GitHub haben die Angreifer Code-Signaturschlüssel heruntergeladen, die im Code-Repository gespeichert waren, was die Notwendigkeit unterstreicht, Code und Schlüssel getrennt zu halten.
In diesem speziellen Fall waren die Schlüssel verschlüsselt, und es gibt keine Beweise dafür, dass es dem Angreifer gelungen ist, die Schlüssel zu entschlüsseln, aber dennoch hat dies eine unnötig nervöse Zeit verursacht. Die Befolgung bewährter Praktiken und die Verwendung externer Systeme (HSMs) für die Codesignierung von Schlüsseln hätte den Ermittlern ein Durcheinander erspart.
Unternehmen, die sichere Entwicklungspraktiken einführen wollen, empfehle ich drei Ratschläge:
- Informieren Sie sich über bewährte Verfahren und Richtlinien von Branchenführern und Regierungsbehörden wie NIST und ENISA.
- Bewahren Sie niemals Code und Anmeldedaten am selben Ort auf.
- Halten Sie Ihre Systeme auf dem neuesten Stand und verwenden Sie vertrauensfreie Architekturen.
In Pfeiler 4 wird die Quantität erwähnt. Was sollten Sicherheitsverantwortliche jetzt tun, um sich auf die Zukunft vorzubereiten?
David Hook: Die Führungskräfte sollten sich fragen: "Was muss ich schützen?" und "Wie schütze ich es derzeit?
Der erste Punkt ist wichtig, weil sich die Angriffsvektoren ändern. Angesichts von Techniken wie Data Harvesting müssen wir erkennen, dass nicht alle Daten gleich sind. Einige Daten müssen nur für kurze Zeit geschützt werden, während andere Daten viel länger geschützt werden müssen. Führungskräfte sollten den Daten, die langfristig geschützt werden müssen, Priorität einräumen.
Die Beantwortung der zweiten Frage hat sich als schwieriger erwiesen, als es klingt. Die meisten Systeme bestehen aus vielen beweglichen Teilen, an denen zum Teil jahrelang von mehreren Entwicklern gearbeitet wurde, die oft Bibliotheken und Werkzeuge ungewisser Herkunft verwenden. In Ermangelung einer ordnungsgemäßen software Materialliste werden die Verantwortlichen wahrscheinlich feststellen, dass nicht alles so gemacht wurde, wie es dokumentiert oder behauptet wurde.
Resilienz in der Lieferkette bedeutet nicht nur, dass man sich darauf verlassen kann, dass kritische Infrastrukturen gewartet und unterstützt werden, sondern auch, dass man weiß, wie sie gebaut wurden.
Welche Rolle wird Keyfactor bei der Unterstützung von Post-Quantum-Strategien spielen?
David Hook: Während es Aufgabe von Organisationen wie dem NIST ist, die Entwicklung von PQC-Algorithmen zu fördern, ist es unsere Aufgabe, diese Algorithmen in etwas Greifbares und Nützliches für die allgemeine Gemeinschaft zu verwandeln. Wir tun dies aktiv, indem wir Post-Quantum-Algorithmen in Bouncy Castle einführen und Post-Quantum-Zertifikate für Keyfactor EJBCA und Keyfactor Command unterstützen.
Keyfactor hat auch eine führende Rolle bei der Sicherung der Lieferkette übernommen. Die Transparenz, die open-source software mit sich bringt, kann ein Vorteil sein - sie hilft sicherlich bei der Frage, wie die Dinge gebaut wurden -, aber das fehlende Glied ist die Unterstützung der Nutzer und die Nachhaltigkeit. Bouncy Castle und EJBCA haben einen Platz in der kritischen Infrastruktur vieler Organisationen gefunden, und sie werden durch die Unterstützung dieser Organisationen bei Bedarf nachhaltig und widerstandsfähig gemacht.
Da digitales Vertrauen immer mehr in den Fokus von Regierungen, Aufsichtsbehörden und Unternehmensstrategien rückt, wird Keyfactor diese Entwicklungen weiterhin für Sicherheitsverantwortliche zugänglich und umsetzbar machen.
Learn more
Um zu sehen, wie die Unternehmenswelt das Management von Maschinenidentität und PKI angeht, lesen Sie Keyfactorden Bericht 2023 State of Machine Identity.
