Das war's dann wohl!
Vielen Dank für die über 450 Teilnehmer, die (virtuell) zum ersten Critical Trust Summit von Keyfactorgekommen sind. Wir haben in den letzten zwei Tagen viel darüber gesprochen, wie Ihre Teams die Krypto-Agilität in Ihrem Unternehmen vorantreiben können.
Sie hatten die Gelegenheit, mehr als 15 Sitzungen zu besuchen, mehr als 20 Redner zu hören, sich mit anderen Branchenexperten auszutauschen und hoffentlich etwas Neues zu lernen.
Wenn Sie Tag 1 verpasst haben, lesen Sie den Blog mit der Zusammenfassung, um alles nachzuholen.
Hier sind einige der Höhepunkte von Tag 2, und vergessen Sie nicht, dass Sie sich die Wiederholungen aller Sitzungen beider Tage jetzt ansehen können.
Einheitliches Kryptographie-Management und Produktinnovation
Wir begannen den Tag mit einer kurzen Kaffeepause und stürzten uns dann in unsere Eröffnungsrede darüber, wie Ihr Team Unified Cryptography Management (UCM) angehen sollte.
Unsere Mitbegründer Kevin von Keyserling und Ted Shorter führten uns durch die Geschichte der Kryptographie und erläuterten, warum ein einheitlicher Ansatz für die Verwaltung Ihrer verschiedenen Kryptographien die Strategie der Zukunft ist.
Kevin zeigte, wie Keyfactor in einer einzigartigen Position ist, um unseren Kunden bei der Orchestrierung und Skalierung ihrer Nutzung von Kryptographie sowohl für Unternehmens- als auch für IoT Anwendungsfälle zu helfen.
Bei jedem einzelnen Gerät, das angeschlossen wird, ob es sich nun um einen Reifensensor, ein Triebwerk oder einen Zug handelt, muss über jede einzelne Komponente des Geräts, der Maschine, nachgedacht werden und darüber, wie man ihr eine digitale Identität mit Integrität verleiht.
Und um das zu erreichen, braucht man eine software Plattform, die einen enormen Umfang hat, so dass man jedes einzelne Gerät, jede einzelne elektronische Komponente authentifizieren kann.
Ted erzählte, wie sich die einheitliche kryptografische Verwaltung auf die Strategie von Keyfactoraus der Produktperspektive auswirkt. Ted sagte: "Wenn wir dieses Prinzip auf alle Schlüssel anwenden, betrachten wir das jetzt als Kryptographie-as-a-Service und aus dieser Perspektive überlagern wir wirklich, was wir innerhalb der Plattform haben.
Mark Thompson und Ryan Sanders haben uns in ihrer Session " Protecting SSH Keys in Multi-Cloud Operations" einen tiefen Einblick in die Bedeutung der SSH-Schlüsselverwaltung gegeben. SSH-Schlüssel sind allgegenwärtig und stellen andere Herausforderungen an die Verwaltung als X.509-Zertifikate.
Mark erläuterte einige Möglichkeiten, wie Sie sich gegen SSH-basierte Angriffe schützen können, darunter:
- Root-Login deaktivieren
- Authentifizierung mit öffentlichem Schlüssel verwenden
- Starke Passphrase für Schlüssel verwenden
- Einen benutzerdefinierten SSH-Port festlegen
- SSH auf dem neuesten Stand halten
Fordern Sie noch heute eine Demo an, um zu sehen, wie die gesamte Plattform Keyfactor , einschließlich unseres neuen SSH-Schlüsselmanagers, funktioniert.
Einblicke von IoT und PKI-Experten
Es kommt nicht jeden Tag vor, dass Sie von Experten für Kryptographiemanagement und IoT Gerätesicherheit hören.
Brandon H. von Abbott und Ken Pierce von General Motors sprachen mit Ellen Boehm, der Leiterin des IoT Produktmanagements, über einige praktische Ergebnisse von IoT Herstellern.
Zum Schluss gaben Ken und Brandon den Zuhörern noch einige gute Ratschläge mit auf den Weg.
"Schreiben Sie niemals Ihre eigene Kryptographie, und wenn Sie neu sind und etwas lernen wollen, gehen Sie in die Foren Ihrer Branche oder etwas Ähnliches, damit Sie etwas lernen können", sagte Ken. "Du musst keine Ideen preisgeben, aber du bekommst das Fachwissen, das du brauchst, um Fortschritte zu machen."
"Gehen Sie nicht davon aus, dass Ihre Implementierung sicher ist, nur weil Sie Kryptographie-Zertifikate haben", sagte Brandon. "Es gibt eine Menge, was um Ihre Implementierung herum passiert, nicht nur die Tatsache, dass Sie Zertifikate oder TLS oder ähnliche Dinge verwenden. Schauen Sie sich also an, wie Ihre Implementierung funktioniert, erstellen Sie ein Bedrohungsmodell und betrachten Sie sie aus einem breiteren Blickwinkel."
David Falgiano, CISSP, VP of Security Engineering bei der M&T Bank, und Rich Popson, Senior Information Security & Risk Manager (CISO) bei Sensata Technologies, schauten vorbei, um uns ihre Erfahrungen im Umgang mit PKI-Herausforderungen während ihrer gesamten Laufbahn mitzuteilen.
Auf die Frage, wie man PKI-Talente gewinnen und halten kann, sagte Rich, dass dies keine leichte Aufgabe sei.
"Ich glaube, wenn man anfängt, über Verschlüsselung zu sprechen, werden die Augen glasig, und die Leute verstehen es nicht richtig", sagt Rich. "Es ist also sehr schwierig, Leute zu finden, die wirklich verstehen, was PKI ist und welche Sicherheitsbedrohungen es tatsächlich gibt. Es ist ein ständiger Lernprozess, und die Leute sind einfach nicht bereit, voranzugehen und weiter zu lernen."
Dave teilte seine Gedanken darüber mit, wie man den Unternehmen die Bedeutung von PKI und Verschlüsselungspraktiken vermitteln kann.
"Wenn man mit dem Unternehmen spricht, sollte man das Thema aus zwei Perspektiven betrachten", so David. "PKI ist wichtig, Verschlüsselung ist wichtig. Aber man sollte auch in der Lage sein, mit ihnen in der Risikoterminologie darüber zu sprechen, wie wir Ihre Daten nehmen und versuchen, das Risiko zu verringern, dass ein Bösewicht sie bekommt. Wir können es nicht ausschließen, aber wir versuchen, dieses Risiko zu verringern.
Zertifikatsmanagement und Ersetzen von Maschinenidentitätslösungen
Die Anwendungsfälle für die Zertifikatsverwaltung und -automatisierung scheinen unaufhörlich zu wachsen. Von der Integration von Geheimnissen mit HashiCorp Vault bis hin zur Einrichtung von Workflows für die automatische Erneuerung von Zertifikatspeichern - es gibt viele Möglichkeiten, die Ihre Teams nutzen können, um die Sicherheit von Zertifikaten zu erhöhen.
Rex Wheeler, Director of Integrations, stellte die verschiedenen Möglichkeiten vor, mit denen die Automatisierungsfunktionen für Zertifikate von Keyfactor Command erweitert werden können:
- Gateways zur Verbindung mit Ihren Zertifizierungsstellen
- Orchestratoren zur Integration mit Zertifikatsspeichern
- Workflow-Handler zum Auslösen von Lifecycle Alerts
- Swagger REST API zur Erstellung von Kundenintegrationen
- Und mehr...
Der Bedarf an besseren Lösungen für die Verwaltung der Maschinenidentität ist real.
Mehr als 20 % der Kunden von Keyfactor kamen zu uns, nachdem sie eine alte Lösung eingesetzt hatten. Wenn Sie eine alte Zertifikatsverwaltungslösung ersetzen oder Ihre PKI in die Cloud verlagern möchten, waren diese Sitzungen für Sie gedacht.
In meiner Sitzung mit Niko Ruhe haben wir gezeigt, wie Sie auf Keyfactor aufsteigen und von Ihrer alten Plattform für die Verwaltung von Maschinenidentitäten migrieren können.
Toby und Kevin erläuterten die Schritte, die Sie unternehmen können, um Ihre PKI in die Cloud zu verlagern, und schlüsselten die Bewertungskriterien auf, die immer berücksichtigt werden sollten.
DevOps-Inspiration von Netflix
Es sollte nicht überraschen, dass die meisten Teilnehmer dieses Gipfels im Bereich InfoSec und Sicherheit arbeiten.
Bei Keyfactor werden wir ständig gefragt, wie Sicherheitsteams ihre Sicherheitspraktiken nach links verlagern können. Ganz gleich, ob es um die Integration von Verschlüsselungspraktiken in gängige DevOps-Tools geht oder darum, wie diese beiden Teams besser zusammenarbeiten können - Entwicklungs- und Sicherheitsteams müssen sich besser abstimmen, um in der heutigen Multi-Cloud-Welt erfolgreich zu sein.
Wie könnte man die Denkweise eines DevOps-Ingenieurs besser verstehen als mit Andy Glover von Netflix.
In seinem Vortrag zeigt Andy, warum er der festen Überzeugung ist, dass ihr Erfolg zu einem großen Teil darauf beruht, dass sie schnell lernen und diese Lektionen in kürzester Zeit im gesamten Produkt anwenden.
Andy erläutert die Prinzipien, die Netflix anwendet (und die auch Sie anwenden können!), um die Konkurrenz auszustechen, weil ihre kontinuierlichen Investitionen in die Automatisierung ihnen dies ermöglichen.
