In diesem Blog gibt der Chief Security Officer von Keyfactor, Chris Hickman, Einblicke in den 2020 Keyfactor-Ponemon Institute Report: Die Auswirkungen von ungesicherten digitalen Identitäten. Klicken Sie hier um den vollständigen Bericht herunterzuladen und auf ihn zuzugreifen.
Da CIOs das Unternehmen in Richtung eines Multi-Cloud-Modells vorantreiben, ist die schiere Anzahl der Maschinen und Anwendungen sowie die Menge der von ihnen erzeugten sensiblen Daten exponentiell gestiegen. Wenn wir über Sicherheit nachdenken und darüber, wie sie sich in den letzten zehn Jahren verändert hat, kommen uns zwei Konzepte in den Sinn: Umfang und Komplexität.
IT- und DevOps-Teams können Infrastrukturen mit wenigen Klicks bereitstellen und einsetzen, anstatt Tage oder sogar Wochen zu warten. Alles, was diese Teams im täglichen Betrieb verwenden - Cloud-Dienste, Container, Geräte und Anwendungen - nutzt x.509-Zertifikate, um Daten zu schützen und die Maschine-zu-Maschine-Kommunikation zu sichern.
Das wachsende Volumen und die Vielfalt der x.509-Zertifikate haben die Komplexität ihrer Verwaltung vervielfacht, zumal die Lebenszyklen der Zertifikate kürzer werden und sich die kryptografischen Standards häufiger ändern. PKI-Betriebs- und Sicherheitsteams müssen nun sicherstellen, dass jedes ausgestellte Zertifikat vertrauenswürdig, aktuell und vor Angriffen geschützt ist und den Unternehmensrichtlinien entspricht (z. B. Schlüsselgröße, Algorithmus usw.).
Hindernisse bei der Skalierung des PKI-Betriebs
In der Studie "2020 Keyfactor-Ponemon" schätzen mehr als 600 IT- und Informationssicherheitsexperten, dass sie im Durchschnitt 88.750 digitale Zertifikate und Schlüssel in ihrem Unternehmen haben - doch die meisten Unternehmen sind nicht in der Lage, diese effektiv zu verwalten und zu schützen.
Unbekannte und nicht verwaltete Zertifikate
Dem Bericht zufolge geben 74 % der Befragten an, dass ihre Organisation nicht genau weiß, wie viele Schlüssel und Zertifikate sie besitzt.
Die meisten Unternehmen konzentrieren sich auf die TLS Zertifikate, die sie zur Absicherung von Websites und Anwendungen für die Öffentlichkeit verwenden. Das Problem dabei? Dieser Ansatz kann nur eine begrenzte Anzahl von bekannten Zertifikaten berücksichtigen - es sind jedoch die unbekannten oder unseriösen Zertifikate, die ein erhebliches Risiko für das Unternehmen darstellen.
In vielen Fällen sehen die Kunden von Keyfactor fünf- bis zehnmal mehr Zertifikate in ihrer Umgebung, als sie erwartet hatten. Laut Gartner sollten Verantwortliche für Sicherheits- und Risikomanagement (SRM) "sicherstellen, dass sie zumindest die bekannte Anzahl von x.509-Zertifikaten in ihrer Umgebung kennen. Wenn diese Zahl 100 übersteigt, sollten Zertifikatsverwaltungslösungen und andere Tools implementiert werden, um die Risiken zu minimieren.
Unerwartete Verfallsdaten
Abgelaufene Zertifikate verursachen immer wieder unerwartete Ausfälle. Wenn ein Netzwerk- oder Anwendungsausfall auftritt, konzentrieren sich IT- und Sicherheitsteams in der Regel auf andere Ursachen, wie hardware/software , bevor sie ein abgelaufenes x.509-Zertifikat in Betracht ziehen. Verzögerungen bei der Identifizierung und Behebung des abgelaufenen Zertifikats führen zu Ausfallzeiten und Produktivitätsverlusten sowohl bei den Sicherheitsteams als auch bei den Endbenutzern - und in einigen Fällen zu erheblichen Umsatzeinbußen und einer Beeinträchtigung des Produkt- oder Markenrufs.
Dreiundsiebzig Prozent der Befragten geben an, dass ihr Unternehmen immer wieder von zertifikatsbedingten Ausfällen betroffen ist, aber nur 30 Prozent sagen, dass sie in der Lage sind, effektiv auf das Ablaufen von Zertifikaten zu reagieren.
In hybriden Cloud-Szenarien kann das Aufspüren und Ersetzen eines abgelaufenen Zertifikats eine große Herausforderung sein, vor allem, wenn dieses Zertifikat in mehr als einer Anwendung oder Cloud-Plattform verwendet wird.
Keine Krypto-Agilität
Abgelaufene Zertifikate verursachen immer wieder unerwartete Ausfälle. Wenn ein Netzwerk- oder Anwendungsausfall auftritt, konzentrieren sich IT- und Sicherheitsteams in der Regel auf andere Ursachen, wie hardware/software , bevor sie ein abgelaufenes x.509-Zertifikat in Betracht ziehen. Verzögerungen bei der Identifizierung und Behebung des abgelaufenen Zertifikats führen zu Ausfallzeiten und Produktivitätsverlusten sowohl bei den Sicherheitsteams als auch bei den Endbenutzern - und in einigen Fällen zu erheblichen Umsatzeinbußen und einer Beeinträchtigung des Produkt- oder Markenrufs.
Dreiundsiebzig Prozent der Befragten geben an, dass ihr Unternehmen immer wieder von zertifikatsbedingten Ausfällen betroffen ist, aber nur 30 Prozent sagen, dass sie in der Lage sind, effektiv auf das Ablaufen von Zertifikaten zu reagieren.
In hybriden Cloud-Szenarien kann das Aufspüren und Ersetzen eines abgelaufenen Zertifikats eine große Herausforderung sein, vor allem, wenn dieses Zertifikat in mehr als einer Anwendung oder Cloud-Plattform verwendet wird.
Veraltete PKI Builds
Weniger als die Hälfte (43 %) der Unternehmen sind in der Lage, ihren PKI-Betrieb zu skalieren, um neue Anwendungen und Initiativen, einschließlich DevOps, Cloud und IoT , zu unterstützen.
Die meisten PKI-Implementierungen in Unternehmen wurden für bestimmte Anwendungsfälle implementiert, um Daten und Anwendungen innerhalb des Rechenzentrums zu sichern. Sie sind jedoch nicht für das Volumen oder die Geschwindigkeit der Zertifikatsausstellung ausgelegt, die für eine dynamische, automatisierte Cloud-Infrastruktur erforderlich sind.
DevOps-Tools wie HashiCorp Vault ermöglichen Entwicklern einen schnellen und einfachen Zugriff auf Zertifikate, die sie für den täglichen Betrieb benötigen, aber PKI- und Sicherheitsteams haben immer noch nicht die Transparenz und Kontrolle, die sie zum Schutz des Unternehmens benötigen. Entwickler benötigen Zugang zu sicherheitsgeprüften Zertifikaten, ohne ihre eigenen Tools und Arbeitsabläufe zu unterbrechen.
Wie steht es um die Verwaltung Ihrer x.509-Zertifikate?
Nehmen Sie sich fünf Minuten Zeit, um den Critical Trust Index Ihres Unternehmens zu berechnen, und erhalten Sie personalisierte Empfehlungen, wie Sie x.509-Zertifikate im großen Maßstab effektiv verwalten können, um die wachsenden Anforderungen und Anwendungsfälle Ihres Unternehmens zu erfüllen.