Die Public Key Infrastructure (PKI) ist ein kampferprobtes Tool, das sich als kritische Sicherheitskomponente für Unternehmen in allen Branchen etabliert hat. Angreifer sind ständig auf der Suche nach dem einfachsten Weg zum Netzwerkzugriff, und die Zunahme zertifikatsbasierter Sicherheitsverletzungen wie bei Equifax hat die digitale Identität und das PKI-Risiko ins Visier genommen.
Im Gegensatz zu den heutigen, auf maschinellem Lernen basierenden und automatisierten Sicherheitsmaßnahmen ist der Prozess der PKI-Verwaltung für die meisten IT-Teams ein manueller Prozess. Aufgrund des Fachkräftemangels und der fehlenden Ressourcen in der Branche stehen grundlegende Systemverwaltungsaufgaben wie PKI jedoch oft ganz unten auf der Prioritätenliste. Wenn das passiert, wird die Kompromittierung von IoT -Geräten oder der Diebstahl sensibler Schlüssel und Zertifikate zu einer Aufgabe mit geringem Aufwand für opportunistische Angreifer.
Auf der SecTor, Kanadas führender IT-Sicherheitskonferenz, haben wir eine Umfrage durchgeführt, um mehr über die Herausforderungen zu erfahren, denen sich IT-Fachleute bei der Verwaltung der PKI ihres Unternehmens gegenübersehen. Hier ist, was die Befragten zu sagen hatten:
1.) Was ist Ihre größte Herausforderung bei der PKI?
Unzureichendes Budget/hohe Kosten - 13%
Mangel an Fachwissen und Erfahrung - 18%
Manuelle oder komplexe Prozesse - 50%
Regulatorische und Compliance-Anforderungen - 18%
2.) Welche der folgenden Punkte machen Ihnen am meisten Sorgen?
Fehlende PKI-Eigentümerschaft oder Verantwortlichkeit - 24 %
Ausfälle und Sicherheitsverletzungen durch abgelaufene Zertifikate - 14%
Sichere Einführung von DevOps, Cloud und IoT - 43 %
Quantenbedrohungen und Risikovorsorge - 19%
3.) Was wäre der größte Nutzen einer modernen PKI-Lösung?
Fähigkeit, mit dem Wachstum des Unternehmens mitzuwachsen - 22%
Automatisierung von manuellen und komplexen Aufgaben - 41%
Verwaltete PKI-Infrastruktur und -Betrieb - 8%
Einsicht in alle Schlüssel und digitalen Zertifikate - 30%
4.) Sind Sie als Sicherheitsexperte der Meinung, dass mehr Datenschutz- und Sicherheitsgesetze erforderlich sind, um kanadische Unternehmen und Verbraucher besser zu schützen?
Ja - 87%
Nein - 13%
5.) Glauben Sie, dass Regulierungsbehörden und gewählte kanadische Beamte genug tun, um Sicherheitsrichtlinien für Maßnahmen wie Datenverschlüsselung zu standardisieren?
Ja - 42%
Nein - 58%
Diese Ergebnisse überraschen nicht, wenn man bedenkt, dass sich die Themen, die wir mit den Fachleuten auf der Konferenz besprachen, immer wiederholen:
Ausfälle
Ungeplante Ausfälle und Ausfallzeiten aufgrund von abgelaufenen Zertifikaten betreffen praktisch jedes Team im gesamten Unternehmen. Infrastrukturteams, die nicht direkt mit PKI zu tun haben, leiden unter den Auswirkungen dieser Ausfälle, weil ihr Sicherheitsteam Zertifikate vergessen oder übersehen hat. Ausfälle haben umfassendere und häufigere Auswirkungen auf das gesamte Unternehmen. Sicherheitsverletzungen sind risikoreicher, aber weniger wahrscheinlich und betreffen eher ein einziges Team - das Sicherheitsteam.
PKI-as-a-Service
Die Verwaltung des Lebenszyklus von Zertifikaten ist nur ein Teil des Gesamtbildes. Viele Unternehmen haben Schwierigkeiten, ihre PKI intern zu erstellen, bereitzustellen und ordnungsgemäß zu verwalten, ganz zu schweigen von den von ihren öffentlichen Zertifizierungsstellen ausgestellten Zertifikaten. Viele Personen, mit denen wir gesprochen haben, einschließlich derjenigen, die direkt an der Verwaltung der PKI beteiligt sind, wussten nicht einmal, dass die Auslagerung ihrer PKI in die Cloud eine Option ist.
Code Signing Beteiligte
Viele Sicherheitsteams sind sich des Code Signing-Prozesses entweder nicht bewusst oder nicht daran beteiligt, d. h. Entwickler und Entwicklungsmanager sind in erster Linie für die Sicherheit der Code Signing-Schlüssel verantwortlich. Gleichzeitig mangelt es den Entwicklern und Konstruktionsteams an Verständnis und Wertschätzung für das mit dem Code Signing-Prozess verbundene Risiko.
Code Signing Risikobewusstsein
Ein Großteil der Zuhörer unserer Konferenzpräsentation wusste nichts von den jüngsten und schwerwiegenden Angriffen, bei denen legitime Code-Signatur-Zertifikate genutzt wurden, um in Unternehmen einzudringen, einschließlich der Operation Shadowhammer, von der ASUS betroffen war.
Internet der Dinge (IoT)
Vernetzte Geräte waren während der gesamten Konferenz ein zentrales Thema, doch es scheint, dass sowohl die Hersteller von IoT Geräten als auch die Unternehmen, die diese Geräte einsetzen, weit hinter den bewährten Verfahren der Branche zurückbleiben. Trotz der explosionsartigen Verbreitung von IoT mangelt es noch immer an grundlegenden Sicherheitspraktiken wie Firmware-Signierung, Geräteverschlüsselung und -authentifizierung.
Es liegt auf der Hand, dass die ordnungsgemäße Verwaltung von PKI für die IT- und Sicherheitsteams von Unternehmen zu einer ernsthaften Herausforderung wird. Es besteht ein erheblicher Druck, die täglichen Anforderungen des Unternehmens zu unterstützen und gleichzeitig das Geschäftswachstum und neue Initiativen zu verwalten. Wenn es um Cybersicherheit geht, wird PKI eine Kernkomponente des breiteren Sicherheitsrahmens bleiben. Und da Unternehmen immer mehr auf PKI angewiesen sind, um Vertrauen zu schaffen, ist es von entscheidender Bedeutung, es richtig zu machen.
