Anpassungsfähigkeit und eine solide Planungs- und Anpassungsfähigkeit werden häufig als wesentliche Eigenschaften für jedes Unternehmen angesehen.
Krypto-Agilität, die Fähigkeit eines Sicherheitssystems, schnell zwischen verschiedenen Verschlüsselungsalgorithmen zu wechseln, ist eine fantastische Möglichkeit, Ihre Anpassungsfähigkeit zu demonstrieren. Sie erfordert einen Einblick in die Bereiche eines Unternehmens, in denen Verschlüsselung eingesetzt wird, den Einsatz von Verschlüsselungstechnologien und die Fähigkeit, Probleme schnell zu erkennen und zu beheben, wenn sie auftreten. Ein Unternehmen mit Krypto-Agilität ist in der Lage, veraltete Anlagen zu ersetzen, ohne die Architektur seines Systems stark zu beeinträchtigen.
Obwohl der Wert dieser Technologie rasch zunimmt, zögern viele Unternehmen, sich an diese Entwicklungen anzupassen. Der heutige Interviewpartner, Ted Shorter, CTO bei Keyfactoreinen wichtigen Einblick in die potenziell nachteiligen Folgen.
Wie ist Keyfactor im Jahr 2001 entstanden? Wie sah Ihr bisheriger Weg aus?
Keyfactor wurde 2001 von Ted Shorter und Kevin von Keyserling als professionelles Dienstleistungsunternehmen gegründet, das direkt mit Fortune-500-Unternehmen zusammenarbeitet, um deren Public-Key-Infrastruktur (PKI) aufzubauen und zu implementieren. Im Jahr 2014 expandierte Keyfactor von Dienstleistungen zu software , um ein grundlegendes Problem in der Cyberindustrie zu lösen: Die bestehenden Lösungen konnten das schnelle Wachstum von Schlüsseln und digitalen Zertifikaten, die für den Betrieb eines modernen Unternehmens erforderlich sind, nicht effektiv verwalten.
Die Mitbegründer Ted und Kevin erkannten, dass ein neuer Ansatz erforderlich war, um dieses stark wachsende Problem anzugehen - ein Ansatz, der führende PKI-Expertise mit den Tools kombiniert, die für die Erkennung, Kontrolle und Automatisierung von Schlüsseln und Zertifikaten in großem Umfang erforderlich sind. Als PKI-Dienstleister, der sich in eine software Plattform verwandelt hat, bietet Keyfactor die einzige Lösung, die von Experten betriebene PKI as-a-Service und die Automatisierung des Lebenszyklus von Zertifikaten in einer einzigen, in der Cloud bereitgestellten Lösung kombiniert.
Heute ist Keyfactor der führende Anbieter von PKI-as-a-Service und Krypto-Agilitätslösungen. Mehr als 500 Unternehmen weltweit vertrauen auf unsere Plattform, die es unseren Kunden ermöglicht, Ausfälle proaktiv zu verhindern, Betriebsrisiken und -kosten zu reduzieren und die Krypto-Agilität in aufkommenden DevOps-, Cloud- und IoT -Umgebungen zu fördern.
Können Sie uns mehr über Ihre Krypto-Agilitätsplattform erzählen? Welche Merkmale zeichnen sie aus?
Ganz genau. Aber lassen Sie uns zunächst einen Schritt zurückgehen und erörtern, was genau Krypto-Agilität ist. Krypto-Agilität bedeutet, dass man in jedem Fall weiß, wo und wie Kryptografie verwendet wird, und dass man über Tools und Strategien verfügt, um Probleme schnell zu erkennen und veraltete Kryptografie ohne großen manuellen Aufwand oder Unterbrechung geschäftskritischer Anwendungen zu ersetzen. Dies könnte die kryptografischen Schlüssel, Zertifikate oder Rechneridentitäten des Unternehmens bedeuten, die praktisch alles in einem Unternehmensnetzwerk identifizieren und sicher verbinden, z. B. Workloads, Dienste und Geräte.
Die Bedeutung dieses Themas nimmt in Unternehmen zu, da die Anzahl der Schlüssel und digitalen Zertifikate, die in Unternehmen verwendet werden, durch den Wechsel zu Cloud Computing, modernen App-Architekturen und dezentralen Arbeitsplätzen in die Höhe geschnellt ist. Diese Veränderungen machen es für Sicherheitsteams viel schwieriger, effektiv zu reagieren, wenn etwas schief läuft, z. B. wenn eine Zertifizierungsstelle, die kryptografische Schlüssel und digitale Zertifikate validiert, angegriffen wird.
KeyfactorDie Crypto-Agility Platform™ ist bemerkenswert, weil sie Unternehmen dabei hilft, jeden Schlüssel und jedes Zertifikat nahtlos zu orchestrieren - unabhängig davon, wo sie sich befinden -, damit ihr Unternehmen vor kostspieligen Ausfällen und Sicherheitsvorfällen geschützt ist.
Unsere Plattform fasst alle Schlüssel und Zertifikate in einem einzigen Inventar zusammen, indem sie direkt mit Netzwerkendpunkten, Keystores und CA-Datenbanken integriert wird. Dies ermöglicht Unternehmen eine vollständige Transparenz und Kontrolle über alle Schlüssel und Zertifikate in ihrer Umgebung. Durch die Automatisierung der Verwaltung des Lebenszyklus von Zertifikaten in großem Umfang können Unternehmen sicherstellen, dass alle ihre kryptografischen Ressourcen sicher und auf dem neuesten Stand der Industriestandards sind, schnell auf unvorhersehbare Änderungen oder Schwachstellen reagieren und das Risiko von Anwendungsfehlern oder Sicherheitsverletzungen um bis zu 60 % reduzieren.
Ein weiterer Aspekt der Plattform, der sich von anderen abhebt, sind die Schlüsselverwaltungsfunktionen, die es Unternehmen ermöglichen, den gesamten Lebenszyklus von Verschlüsselungsschlüsseln zu verwalten, indem sie Richtlinien zur Kontrolle des Zugriffs und der Schlüsselverwaltungsberechtigungen implementieren. Durch die Nutzung einer starken Benutzer- und Objektrichtlinienverwaltung können Unternehmen überprüfen, wann, wo und wie Verschlüsselungsschlüssel verwendet wurden.
Was sind die größten Herausforderungen im Zusammenhang mit der Public Key Infrastructure?
Zwei der größten Herausforderungen im Zusammenhang mit PKI sind die begrenzte Sichtbarkeit der Anzahl von Zertifikaten innerhalb des Unternehmens und das Vertrauen auf manuelle Prozesse zur Verwaltung dieser Zertifikate.
Heutige Unternehmen sind bei ihrer täglichen Arbeit auf unzählige Geräte angewiesen. Jedes Gerät hat seine eigene eindeutige digitale Identität, die durch ein digitales Zertifikat überprüft wird. Angesichts der Anzahl der Geräte und der damit verbundenen Zertifikate in einem einzigen Unternehmen gibt es einige ernsthafte Einschränkungen bei der Sichtbarkeit, mit denen ein Sicherheitsteam umgehen muss. Ganz gleich, wie viele Überwachungstools ein Team einsetzt oder wie detailliert seine Tabelle ist, es sind nicht die Zertifikate, von denen es weiß, die ihm Kopfschmerzen bereiten, sondern das eine Zertifikat, das übersehen wurde.
Um ein vollständiges und genaues Inventar Ihrer kryptografischen Umgebung zu erhalten, benötigen Sie Einblick in alle Datenbanken der Zertifizierungsstellen, SSL/TLS Endpunkte im Netzwerk sowie Schlüssel- und Zertifikatspeicher. Ohne diesen Einblick ist es schwierig, unerwartete Änderungen, wie das Ablaufen eines Zertifikats, zu erkennen.
Angesichts der schieren Menge an Zertifikaten, die in einem Unternehmen verwaltet werden müssen, kann die Verwendung eines manuellen Prozesses zur Verwaltung des Lebenszyklus von Zertifikaten äußerst frustrierend sein. Für diejenigen, die für die Ausstellung und Genehmigung von Zertifikaten verantwortlich sind, kann es sich als unmöglich erweisen, mit den Anfragen Schritt zu halten. Für Endbenutzer kann das manuelle Erneuern und Installieren von Zertifikaten zu Fehlern und stundenlangen, sich wiederholenden Aufgaben führen. Dies wird zu einer noch größeren Herausforderung, wenn man den kurzen Lebenszyklus digitaler Zertifikate bedenkt.
Im September 2020 wurde die Lebensdauer der Zertifikate SSL/TLS von 825 Tagen auf 398 Tage halbiert. Ohne Automatisierung erschwert dieser kurze Lebenszyklus die ordnungsgemäße Verwaltung von Identitäten erheblich. Wenn es nicht gelingt, Maschinenidentitäten ordnungsgemäß zu sichern und zu verwalten, besteht die Gefahr, dass einige Zertifikate durch die Maschen schlüpfen, was das Risiko nachteiliger Ausfälle erhöht.
Glauben Sie, dass die jüngsten globalen Ereignisse die Art und Weise verändert haben, wie Unternehmen an die Cybersicherheit herangehen?
Zweifellos. Die Pandemie hat dazu geführt, dass hybride Arbeitsformen nicht mehr wegzudenken sind. Auch wenn Fernarbeit ihre Vorteile hat, bringt die heutige hybride Arbeitslandschaft noch mehr Hindernisse für die ordnungsgemäße Verwaltung und Sicherung menschlicher und maschineller Identitäten mit sich und erhöht die Wahrscheinlichkeit, dass Cyber-Bedrohungen häufiger als je zuvor auftreten.
Das liegt daran, dass die Mitarbeiter jetzt auf eine Reihe von Geräten angewiesen sind, um ihre Arbeit in ihren neuen entfernten Umgebungen zu erledigen. Es gibt nicht nur mehr Geräte und eine größere Abhängigkeit von ihnen, sondern jede Person ist auch mit einem anderen Netz verbunden, anstatt dass alle in einem oder zwei gemeinsamen Netzen arbeiten.
Aufgrund dieser Veränderungen in der Arbeitsumgebung beginnen viele Unternehmen, proaktivere Ansätze zu verfolgen, um identitätsbasierte Bedrohungen zu verhindern, wozu auch die ordnungsgemäße Verwaltung und Sicherung von Maschinenidentitäten gehört.
Der Einmarsch Russlands in die Ukraine ist ein weiteres globales Ereignis, das die Herangehensweise von Unternehmen an die Cybersicherheit verändert hat. Die Aussicht auf Cyberangriffe auf nationaler Ebene gegen Unternehmen ist zwar schon seit geraumer Zeit eine reale Bedrohung, aber ein echter Krieg, der mit einem Cyberkrieg einhergeht, hat dies für viele noch stärker ins Bewusstsein gerückt.
Aus diesem Grund treten viele Unternehmen weltweit einen Schritt zurück, um ihre Cybersicherheit von allen Seiten zu analysieren und sicherzustellen, dass jeder Bereich ihres Unternehmens sicher ist und nichts durch die Maschen schlüpft.
Ihr Bericht "2022 State of Machine Identity Management" hat einige interessante Punkte aufgedeckt. Was sind für Sie die wichtigsten Erkenntnisse?
Der Bericht "2022 State of Machine Identity Management" enthält viele interessante Erkenntnisse. Das schockierendste Ergebnis war, dass 92 % der befragten Unternehmen in den letzten 24 Monaten mindestens einen Ausfall hatten, was die wachsende Bedeutung der Verwaltung von Maschinenidentitäten unterstreicht. Viele führen dies auf die verkürzte Lebensdauer von digitalen Zertifikaten zurück.
Darüber hinaus gaben 65 % zu, dass die kürzere Lebensdauer von SSL/TLS die Arbeitsbelastung ihrer Teams und das Risiko von Ausfällen erhöht - ein Anstieg um 10 % gegenüber 2021. Viele glauben jedoch nicht, dass die Herausforderungen bei der Verwaltung von Maschinenidentitäten in nächster Zeit abnehmen werden. Fast zwei Drittel der Befragten stufen Ausfälle aufgrund abgelaufener Zertifikate als wahrscheinlich oder sehr wahrscheinlich ein, dass sie in den nächsten zwei Jahren weiterhin auftreten werden.
Ein weiteres interessantes Ergebnis des Berichts sind die Herausforderungen, die mit der Wiederherstellung nach Ausfällen verbunden sind. Tatsächlich beträgt die durchschnittliche Wiederherstellungszeit 3,3 Stunden, wobei 68 % der Unternehmen eine Wiederherstellungszeit von 3 bis 4 Stunden oder mehr angeben. Diese Netzwerkausfallzeit kann für das Unternehmen sehr nachteilig sein, da sie schätzungsweise 300.000 US-Dollar pro Stunde kosten kann. Ganz zu schweigen davon, dass, wenn eine geschäftskritische Website oder Anwendung von einem Ausfall betroffen ist, auch der Ruf der Marke und der Umsatz leiden.
Warum, glauben Sie, sind sich manche Unternehmen nicht bewusst, welche Bedrohungen sich in ihren eigenen Systemen verbergen?
Viele Unternehmen sind sich der Bedrohungen, die sich in ihren eigenen Systemen verbergen, nicht bewusst, da es ihnen an der organisationsweiten Transparenz mangelt, die für den Schutz vor den heutigen Bedrohungen erforderlich ist. Es ist eine unglaubliche Herausforderung, alle menschlichen und maschinellen Identitäten, aus denen sich ein Unternehmen zusammensetzt, angemessen zu schützen, insbesondere in einer hybriden Welt.
Automatisierung ist der Schlüssel zur Verbesserung der unternehmensweiten Transparenz. Im Bereich der Identitäten kann die Automatisierung für Transparenz über die öffentlichen und privaten Zertifizierungsstellen, Netzwerkgeräte und Cloud-Infrastrukturen eines Unternehmens sorgen und Unternehmen dabei helfen, unbekannte Zertifikate in ihrem Netzwerk zu entdecken und in ein zentrales Inventar aufzunehmen. Darüber hinaus können Sicherheitsteams Erneuerungen schnell vereinfachen, indem sie vollautomatische Zertifikatserneuerungen und -bereitstellungen für Endgeräte nutzen, ohne dass ein Verwaltungseingriff erforderlich ist.
In der heutigen hybriden Welt trägt die durch die Automatisierung gewonnene Transparenz wesentlich dazu bei, jedes einzelne Gerät, das zu diesem Unternehmen gehört, ordnungsgemäß zu sichern und zu verwalten.
Auf welche Arten von Bedrohungen sollten sich Unternehmen Ihrer Meinung nach in den nächsten Jahren einstellen?
In den kommenden Jahren werden sich die Unternehmen auf das Quantencomputing vorbereiten müssen. Im Mai dieses Jahres kündigte die Biden-Administration zwei präsidiale Direktiven an, die darauf abzielen, nationale Initiativen in der Quantenwissenschaft voranzutreiben und das Bewusstsein für die potenziellen Bedrohungen zu schärfen, die das Quantencomputing für die Integrität der Internetsicherheit mit sich bringen wird. Dabei erkannte die Regierung an, dass keine Daten vor zukünftigen Angriffen sicher sind, wenn das Quantencomputing ausgereift ist.
Tatsächlich war dies ein heißes Thema auf der diesjährigen RSA-Konferenz. Viele Fachleute in der Branche ermutigen Unternehmen, dass es jetzt an der Zeit ist, sich auf eine Post-Quantum-Welt vorzubereiten.