Gesundheitsprüfungen sind für die Aufrechterhaltung von Public Key Infrastructures (PKI) und einer starken allgemeinen Sicherheitslage von entscheidender Bedeutung, werden aber allzu oft übersehen.
Infrastrukturen mit öffentlichen Schlüsseln (PKI) sind kein "Einstellungssache"
Es ist unter Sicherheitsexperten allgemein bekannt, dass eine starke PKI ein wichtiger Aspekt von Cybersicherheitsprogrammen ist. Viele Sicherheitsorganisationen neigen dazu, einen großen Teil ihrer Ressourcen in die Planung und Implementierung zu stecken, vernachlässigen aber die Pflege und Fütterung der PKI, was ebenso nachteilig ist wie die unsachgemäße Einrichtung einer PKI.
Die Public-Key-Infrastruktur ist kein Sicherheitstool, das man einfach einrichtet und wieder vergisst. Es mag verlockend sein, sie in Ruhe zu lassen, wenn sie erst einmal in Betrieb ist, aber das ist ein schwerer Fehler - kontinuierliche Überwachung und Verwaltung sind entscheidend, um das höchstmögliche Maß an Sicherheit zu gewährleisten.
Neben dem Erreichen eines stabilen Betriebszustands einer Unternehmens-PKI ist es von entscheidender Bedeutung, dass alle ihre Komponenten ordnungsgemäß in Betrieb genommen werden. Wenn eine PKI Teil der Unternehmensinfrastruktur wird und es kein Projektteam mehr gibt, muss sichergestellt werden, dass sie gepflegt und gefüttert wird - andernfalls gibt es viele gefährliche Stolperfallen für Sicherheitsteams, die sich nur auf die Implementierung der PKI, nicht aber auf ihren laufenden Betrieb konzentriert haben. Hier kommt die Bedeutung regelmäßiger PKI-Gesundheitschecks ins Spiel.
Wann sollten Sie einen PKI Health Check durchführen?
Wenn Ihre Zertifizierungsstelle(n) seit mehr als einem Jahr (oder überhaupt) nicht mehr überprüft wurde(n), ist dies ein guter Hinweis darauf, dass Ihr Unternehmen fällig ist. In den meisten Zertifizierungsrichtlinien (CPs) ist festgelegt, dass die Einhaltung der Vorschriften durch eine CA in regelmäßigen Abständen (höchstens ein Jahr) durch ein Audit überprüft werden sollte.
Was beinhaltet ein PKI Health Check?
Stellen Sie zunächst fest, ob Sie in der Lage sind, Ihren PKI-Gesundheitscheck intern durchzuführen. Sie benötigen Fachpersonal, das über das spezifische PKI-Fachwissen verfügt, das für die kontinuierliche Aufrechterhaltung einer PKI erforderlich ist. Wie von Microsoft empfohlen, benötigt Ihr Sicherheitsteam Spezialisten, die in der Lage sind:
- Zertifikate ausstellen und widerrufen.
- Erledigung von Aufgaben der Serververwaltung: hardware Einspielen von Patches und Backups.
- Veröffentlichen Sie Sperrlisten für Zertifikate und verwalten Sie die CA selbst.
Leider gibt es nur wenige Experten, die über ausreichende Kenntnisse verfügen, um eine PKI aufrechtzuerhalten. Wenn Sie nicht bereits über internes PKI-Fachwissen verfügen, sollten Sie in Erwägung ziehen, einen Partner für Cybersicherheit um Hilfe zu bitten.
Unabhängig davon, ob Sie sich dafür entscheiden, Ihren PKI-Gesundheitscheck intern oder durch einen Partner durchzuführen, sollte der Prozess eine vollständige Überprüfung der Architektur und des Sicherheitsmodells Ihrer PKI umfassen. Jeder der folgenden Schritte ist entscheidend für die Ermittlung des Zustands und potenzieller Probleme Ihrer Infrastruktur:
- Vollständige Überprüfung der ursprünglichen PKI-Implementierung
- Bewertung der Skalierbarkeit der bestehenden PKI im Hinblick auf den künftigen Bedarf der Geschäftsbereiche
- Empfehlungen für eine geeignete Gestaltung und Methodik
- Ordnungsgemäße Umsetzung der erforderlichen Änderungen, die zu einer dauerhaft zuverlässigen, sicheren Authentifizierung führen
Übersehen Sie keinen Aspekt Ihrer PKI:
- Architektur
- System-Konfiguration
- Sicherheitsmodell
- Überprüfung der Politik
- Immatrikulationsmodelle
- Widerruf
- Prüfung
- Disaster Recovery und Geschäftskontinuität
- Aktueller Stand Empfehlungen
- Empfehlungen für den zukünftigen Zustand
Welchen Nutzen hat ein Gesundheitscheck für Unternehmen?
Neben der Gewährleistung einer starken allgemeinen Sicherheitslage im Unternehmen wird Ihre Infrastruktur durch PKI-Zustandsprüfungen auf viele Anzeichen von Effektivität überprüft. Letztendlich kann sich Ihr Sicherheitsteam so auf eine kontinuierliche Hochverfügbarkeit und Fehlertoleranz sowie auf die Flexibilität bei Geschäftserweiterungen verlassen. Darüber hinaus werden bei ordnungsgemäß durchgeführten Zustandsprüfungen sichere Richtlinien für die Ausstellung und den Widerruf von Zertifikaten sowie starke kryptografische Prozesse überprüft.
- Geringeres Risiko
- Reduzierte Kosten
- Erhöhte Betriebszeit
- Einhaltung der Vorschriften
- Reduzierte Angriffsvektoren
- Vorhersehbare Betriebsabläufe
Zufriedenstellendes Maß an Sicherheit von Tag 1 an
Das Ziel einer gut verwalteten PKI besteht darin, die Sicherheit von der Implementierung bis zum natürlichen Ende der Infrastruktur aufrechtzuerhalten, wobei die Komponenten auf konsistente Weise funktionieren und zu jedem Zeitpunkt eine ordnungsgemäße Berichterstattung, Einhaltung von Vorschriften und Prüfstandards ermöglichen. Regelmäßige PKI-Zustandsprüfungen sind eine wichtige Komponente zur Erreichung dieses Ziels.
CSS kann Sie dabei unterstützen, festzustellen, ob Ihr Unternehmen für einen PKI-Gesundheitscheck fällig ist, und den regulären Betrieb erfolgreich durchzuführen. Unsere Aufgabe ist es, dafür zu sorgen, dass Ihr Unternehmen in der Lage ist, eine sichere, gesunde PKI zu verwalten.
Wenn Ihr Sicherheitsteam daran interessiert ist, mehr über PKI-Zustandsprüfungen zu erfahren oder die Zusammenarbeit mit CSS bei der Überprüfung Ihrer PKI zu erkunden, sind unsere Experten für Sie da, um Ihre Fragen zu beantworten. Kontaktieren Sie uns, um über Ihre PKI-Anforderungen zu sprechen.
