Absicherung von PKI und maschinellen Identitäten im modernen Unternehmen

Bei der Verwaltung und Sicherung von Unternehmensidentitäten und Anmeldedaten denken Sie vielleicht in erster Linie an Menschen und ihre Rollen innerhalb eines Unternehmens. Wie stellen wir sicher, dass Janet aus der Qualitätssicherung die Berechtigungsnachweise hat, um auf die benötigten Ressourcen zuzugreifen, und wie stellen wir sicher, dass niemand sonst auf diese Berechtigungsnachweise zugreifen kann?

Aber menschliche Identitäten sind nur ein Teil des Sicherheitspuzzles. Während Mitarbeiter, Partner, Lieferanten, Kunden und Berater zu den wichtigsten Quellen für Sicherheitsschwachstellen in Ihrem Unternehmen gehören, nimmt die Zahl der Maschinenidentitäten zu und schafft zusätzliche Angriffspunkte für Hacker und Malware.

Der 2022 State of Machine Identity Report des Ponemon Institute (von dem wir die nachstehenden Statistiken beziehen, sofern nicht anders angegeben) zeigt die neuesten Daten darüber, wie komplex die Verwaltung der Maschinenidentität sein kann.

Maschinenidentitäten sind die digitalen Schlüssel, Geheimnisse und Zertifikate, die die Gültigkeit digitaler Transaktionen belegen. Sie umfassen X.509-Zertifikate, SSH und Verschlüsselungsschlüssel sowie Code-Signierungs-Zertifikate für die sichere Kommunikation zwischen Servern und VMS, Workstations, Skripten und Bots, Anwendungen, Diensten usw.

Mit der Einführung von Fernarbeit und Cloud-basierten Diensten, IoTund Zero-Trust-Initiativensteigt die Anzahl und Bedeutung der öffentlichen Schlüssel und Zertifikate, die von Unternehmen verwendet werden, rapide an. Die Zeiten, in denen eine oder zwei Zertifizierungsstellen hinter den vier Wänden des Rechenzentrums standen, sind vorbei, und Verwaltung von Maschinenidentitäten sollte an vorderster Stelle Ihrer Sicherheitsstrategie stehen. Im Gartner-Hype-Zyklus für IAM Bericht 2021 sagte Gartner Managing VP Tricia Phillips:

"Die digitale Transformation hat zu einer explosionsartigen Zunahme von Maschinen - wie Workloads, Code, Anwendungen und Container - geführt, die sich identifizieren und kommunizieren müssen."

Einige der gängigsten Elemente der PKI sind:

• Interne private PKI software (AD CS, EJBCA, etc.)
• Verwaltete oder als SaaS bereitgestellte PKI (EJBCA SaaS, PKIaaS usw.)
• Selbstsignierte Zertifikate (OpenSSL)
• Eingebaute Zertifikatsaussteller (Kubernetes, HashiCorp Vault, etc.)
• Privater CA-Dienst, der von einem Cloud-Service-Anbieter bereitgestellt wird
• Öffentlicher CA-Dienst (DigiCert, Entrust, Let's Encrypt, usw.)

Die Sicherstellung des Schutzes von Rechneridentitäten wird zu einer kostspieligen und zeitaufwändigen Aufgabe. Die Mehrheit der Unternehmen gibt an, dass die zunehmende Verwendung von Schlüsseln und Zertifikaten die operative Belastung ihrer IT-Teams deutlich erhöht hat und dass sie sich Sorgen über die erhöhte Arbeitsbelastung und das Risiko von Ausfällen aufgrund der kürzeren Lebensdauer von TLS Zertifikaten machen. 

Darüber hinaus gibt über die Hälfte der befragten Unternehmen an, dass sie nicht einmal genau wissen, wie viele Schlüssel und Zertifikate sie besitzen.

Wenn sie vernachlässigt werden, können Maschinenidentitäten große Lücken in Ihrer Sicherheit schaffen, da Schwachstellen es einem Bedrohungsakteur ermöglichen können, von einem System auf andere im Netzwerk überzugehen.

In den letzten zwei Jahren haben über 95 Prozent der Unternehmen alle drei der folgenden PKI-bezogenen Probleme erlebt:*

• Versäumnisse bei Prüfungen: Unerwartete Prüfungsergebnisse aufgrund von Lücken in der PKI-, Schlüssel- und Zertifikatsverwaltung
• Kompromittierung der Maschinen-ID: Diebstahl oder Missbrauch von Schlüsseln durch ein Versehen, einen böswilligen Insider oder einen externen Bedrohungsakteur
• Zertifikatsausfälle: Ausfall von Anwendungen oder Diensten aufgrund eines abgelaufenen oder nicht verfolgten Zertifikats.

Denn sie können den Betrieb zum Stillstand bringen, Ausfälle von Zertifikatendie meiste Aufmerksamkeit auf sich. Bei fast 40 Prozent der Ausfälle dauert es mehr als vier Stunden, bis sie identifiziert und behoben sind, was kostspielig sein und dem Ruf eines Unternehmens schaden kann. Der Ausfall von Let's Encrypt im September 2021 beeinträchtigte zum Beispiel den Betrieb von großen Unternehmen wie Cisco, Palo Alto, Bluecoat, AWS, Auth0, Fortinet, Herokuund andere.

Ausfälle sind jedoch nur die Spitze des Eisbergs und deuten auf größere Risiken unter der Oberfläche hin, die angegangen werden müssen, einschließlich manueller Prozesse, Wildcard-Zertifikate, schwache Kryptographie und falsch konfigurierte oder ungeschützte Zertifizierungsstellen.

"Die Zahl der Maschinen (Workloads und Geräte) übersteigt die Zahl der Menschen um ein Vielfaches, und Unternehmen müssen Tools und Prozesse einrichten, um diese Identitäten zu kontrollieren." - Gartner: Verwaltung von Maschinenidentitäten, Geheimnissen, Schlüsseln und Zertifikaten, Erik Wahlstrom, 16. März 2022

Wenn Sie das Gefühl haben, dass Sie nicht genau wissen, wie Sie Ihre Public-Key-Infrastruktur sichern können, sind Sie nicht allein:

• 50 % der Unternehmen haben nicht genügend Personal für ihre PKI
• 42 % der Unternehmen verwenden immer noch Tabellenkalkulationen, um digitale Zertifikate manuell zu verfolgen
• 59 % der Unternehmen verfügen nicht über eine zentrale Verwaltung von SSH-Anmeldedaten
• 50 % der Unternehmen haben keine formellen Richtlinien oder Zugangskontrollen für Code-Signatur-Schlüssel

Darüber hinaus haben etwa 40 Prozent der Unternehmen nur eine begrenzte PKI-Strategie für bestimmte Anwendungen oder Anwendungsfälle, und 16 Prozent haben überhaupt keine Strategie.

Sie müssen wissen, welche Zertifikate Sie verwenden, um sie effektiv zu sichern. Die Ermittlung und Erstellung eines Inventars Ihrer Zertifikate und Zertifizierungsstellen gibt Ihnen einen Überblick darüber, welche Zertifikate höchste Priorität haben.

• Mehrere Datenquellen nutzen
• Triangulieren Sie die Datenpunkte 
• Verstehen der Schlüsselinformationen, einschließlich Aussteller, Eigentümer, Verwendung/Anwendung, Genehmigender usw.

Richten Sie eine funktionsübergreifende Arbeitsgruppe ein, die die Verantwortung für Tools, Prozesse und Strategien übernimmt, die Aufsicht führt und Lücken zwischen den Geschäftsbereichen schließt. Definieren Sie dann Maschinenidentitäten für Ihr Unternehmen, ermitteln Sie Anwendungsfälle für Ihre PKI und Maschinen-IDs, und analysieren Sie Ihre bestehende "Identitätsstruktur" oder Ihr Toolset.

Je mehr Identitäten und Informationsquellen Sie haben, desto mehr Möglichkeiten für Fehler und/oder Schwachstellen gibt es. Sobald Sie wissen, welche PKI-Verwaltungstools Ihnen zur Verfügung stehen, sollten Sie diese einschränken. Stellen Sie sich Fragen wie:

• "Brauche ich 5 verschiedene PKI- und CA-Implementierungen?"
• "Sollte ich 3 verschiedene Quellen zur Verfolgung von Zertifikaten nutzen?"
• "Benötige ich separate Tools für die Verwaltung von X.509- und SSH-Identitäten?"
• "Braucht jeder Entwickler einen Code Signing Key?"

Sie müssen Richtlinien und bewährte Verfahren für Ihre Public-Key-Infrastruktur festlegen.

• Aufklärung der Teams über die Bedeutung von PKI und digitalen Zertifikaten
• Definition und Verbreitung von Leitlinien für bewährte Verfahren
• Verstärkung guter Gewohnheiten und Abkehr von selbstsignierten und Wildcard-Zertifikaten
• Ausarbeitung von Strategien, um die richtigen Entscheidungen für den Werkzeugbau zu treffen

Die meisten Sicherheitsteams verbringen mindestens 50 % ihrer Zeit mit Wartungs- und Betriebsaufgaben. Der Schlüssel liegt darin, zu automatisieren, zu automatisieren, zu automatisieren. Automatisierung senkt die Risiken Risiken im Zusammenhang mit menschlichen Fehlern und Fehlkonfigurationen und stellt sicher, dass Sie mit neuen Anforderungen skalieren können. Außerdem ermöglicht die Automatisierung die Integration in bestehende DevOps- und Cloud-Workflows.

Sicherheitsbedrohungen passen sich schnell an Sicherheitskontrollen an, so dass Sie bereit sein müssen, sich ebenso schnell anzupassen. Um den Betrieb aufrechtzuerhalten und Vorfälle im Zusammenhang mit PKI zu verhindern, müssen Sie sich ständig weiterbilden und eine krypto-agile Sicherheitslage aufrechterhalten:

• Bewertung bestehender Krypto-Schlüssel, Algorithmen und Krypto-Bibliotheken
• Planung einer unternehmensweiten Umstellung auf neue Schlüssel und Algorithmen
• Automatisieren und Testen von Prozessen zur Vorbereitung der Reaktion auf Vorfälle
• Verfolgen Sie die Fortschritte bei den PQC-Algorithmen

Sehen Sie sich die Ponemon Institute's 2022 State Machine Identity Management Bericht des Ponemon Instituts, um mit den neuesten Daten und Analysen zur Cybersicherheit auf dem Laufenden zu bleiben. Mit einer detaillierten Analyse der Bedrohungslandschaft für PKI und Maschinen-IDs können Sie fundierte Entscheidungen darüber treffen, welche Sicherheitsmaßnahmen Sie ergreifen müssen, damit Ihr Unternehmen sicher ist und mit voller Kapazität arbeiten kann.