Warum Maschinenidentitäten wichtig sind (und was man dagegen tun kann)

Das Thema der 4. Woche des Cybersecurity Awareness Month, "Cybersecurity-First", bietet IT- und Sicherheitsfachleuten die Gelegenheit, ihre Teams über die Bedeutung der Cybersicherheit aufzuklären. Dieser Blog soll Ihr Unternehmen darüber aufklären, warum Public Key Infrastructure (PKI) und Maschinenidentitäten wichtig sind und welche Rolle sie dabei spielen, ein Unternehmen zu werden, das auf Cybersicherheit setzt.

Wenn Sie im Bereich der Cybersicherheit gearbeitet haben, würden Sie es wahrscheinlich weder als Kunst noch als Wissenschaft bezeichnen. Es ist auch nicht gerade eine Netflix-Dramaserie (denken Sie an Mr. Robot). In Wirklichkeit ist es eine Schinderei. 

Der Schutz von Netzwerken, Geräten und Daten vor Angriffen ist keine leichte Aufgabe, und der Druck, Cyberkriminellen einen Schritt voraus zu sein, wiegt schwer. Manchmal ist es ein Adrenalinstoß, ein anderes Mal kann es banal und repetitiv sein. 

Dazu gehören die Beantwortung von Tickets, die Suche nach Anomalien, die Überprüfung von Protokollen, die Ausarbeitung langfristiger Strategien, die Bewertung von Technologien und vor allem die Aufklärung der Endnutzer über die Bedeutung der Cybersicherheit aufklären (auch wenn das bedeutet, "dumme" Fragen zu beantworten).

Der Aufbau einer auf Cybersicherheit ausgerichteten Kultur geht weit über Ihren IT-Stack und die Teams, die ihn implementieren, hinaus. Leider konzentrieren sich viele Artikel auf die neueste Technologie (die "Wissenschaft") oder den Mangel an qualifiziertem Personal (die "Kunst") im Bereich der Cybersicherheit, vernachlässigen aber die Bedeutung der Ausbildung, insbesondere für nichttechnische Benutzer und Führungskräfte.

In diesem Blog möchten wir Teams über eine wichtige, aber oft missverstandene und übersehene Komponente der Cybersicherheit aufklären - Maschinenidentitäten.

Beginnen wir mit etwas Vertrautem - der Identität. Unsere Identität ist alles. Sie erstreckt sich darauf, wer wir sind und worauf wir Zugriff haben. Menschen verlassen sich täglich auf Identitäten, um Auto zu fahren, international zu reisen, Waren und Dienstleistungen zu kaufen und auf alles zuzugreifen, von ihrem Instagram-Konto bis zu ihrem Laptop am Arbeitsplatz oder zu Hause.

Die meisten IT-Führungskräfte und -Experten sind mit dem Thema Identität vertraut und wissen, wie wichtig Identitäts- und Zugriffsmanagement (IAM) ist. Aus diesem Grund gaben Unternehmen fast 14 Milliarden Dollar für IAM im Jahr 2021 ausgegeben, womit IAM neben Cloud- und Anwendungssicherheit einen der wichtigsten Budgetposten für Informationssicherheit darstellt.

Bislang lag der Schwerpunkt des IAM auf dem Schutz von Benutzeridentitäten (oder menschlichen Identitäten). Um die Anforderungen von IAM zu erfüllen, nutzen sie Tools wie Single Sign-On (SSO), Multi-Faktor-Authentifizierung (MFA) und Privileged Access Management (PAM). 

Das Problem ist, dass der Mensch nur ein Teil der Arbeitskräfte ist.

Maschinen sind heute weitaus zahlreicher als Menschen. Aber weit entfernt von jeder Science-Fiction-Vorstellung einer dystopischen, von Robotern beherrschten Zukunft helfen Maschinen uns Menschen, uns von gefährlichen, zeitraubenden oder einfach nur langweiligen Aufgaben zu befreien, die wir lieber vermeiden würden. 

Diese Maschinen bestehen aus hardware Geräten, wie z. B. mobilen Geräten, IoT/OT-Geräten, Servern und Desktops sowie software-definierten Arbeitslasten, einschließlich Containern, virtuellen Maschinen (VMs), Diensten und Anwendungen.

Genau wie Menschen benötigt jede Maschine eine oder mehrere eindeutige Identitäten, um sich zu authentifizieren und sicher miteinander zu kommunizieren. Im Gegensatz zu ihren menschlichen Gegenstücken wird der Identität von Maschinen jedoch weit weniger Aufmerksamkeit geschenkt.

Laut Gartner"Üblicherweise eingesetzte IAM-Tools wie Access Management (AM), Identity Governance und Administration (IGA) und PAM-Tools waren in der Vergangenheit eher auf die Verwaltung menschlicher Identitäten ausgerichtet. Jetzt muss ein gleichwertiger Fokus auf die Verwaltung und Governance von Maschinen gelegt werden."

Wenn wir anfangen, über die Verwaltung von Maschinenidentitäten wie X.509-Zertifikaten nachzudenken, wird es für die meisten Menschen unübersichtlich. Trotz der weit verbreiteten Verwendung von Schlüsseln und Zertifikaten durch Entwickler, IT-Administratoren, Infrastrukturingenieure usw. ist nur sehr wenig über sie bekannt. 

Das zugrundeliegende Problem ist, dass Rechneridentitäten und die dahinter liegende Public-Key-Infrastruktur(PKI) als "Gebrauchsgegenstände" betrachtet werden. Mit anderen Worten: Jeder in der IT-Organisation braucht ein Zertifikat, aber die meisten wissen nicht, wo sie es beschaffen oder wie sie es richtig konfigurieren und installieren sollen. Verschiedene Teams und Endbenutzer suchen nach der einfachsten und billigsten Lösung, was zu einem unkontrollierten Wildwuchs an Ausstellern(CAs) und Zertifikaten führt.

Was kann passieren? Ob durch einen Gegner, einen Partner, einen Auftragnehmer oder einen internen Mitarbeiter - Zertifikate können leicht falsch konfiguriert und missbraucht werden. Im vergangenen Jahr haben wir mehrere Vorfälle beobachtet, die aus dieser unkontrollierten Ausstellung und Verwendung von Maschinenidentitäten resultierten:

• Fortinet, Palo Alto, Cloudflare und Dutzende von führenden Technologieunternehmen hatten Service-Probleme, als die IdenTrust DST Root CA X3 (die von Let's Encrypt verwendet wird) auslief.
• Die NSA hat Organisationen gewarnt, die Verwendung von Wildcard-Zertifikaten TLS um das Risiko eines neuen TLS Entschlüsselungsangriffs mit der Bezeichnung "ALPACA" zu minimieren.
• Fortnite erlebte einen weitreichenden, stundenlangen Ausfall der mit einem abgelaufenen Wildcard-Zertifikat TLS begann, das in Hunderten von verschiedenen Produktionsdiensten installiert war.
• Microsoft machte ein Problem mit der Schlüsselrotation für einen großflächigen Ausfall verantwortlich, der viele seiner Microsoft 365-Dienste mehr als 14 Stunden lang beeinträchtigte.

Um die Situation in den Griff zu bekommen, ist ein grundlegender Mentalitätswandel erforderlich. PKI und Maschinenidentitäten sind keine "Massenware", sondern eine wichtige Infrastruktur die die Sicherheit und Verfügbarkeit von praktisch jedem Gerät und jeder Arbeitslast im Unternehmen untermauert.

Wie können Sie die Situation in den Griff bekommen? Es beginnt mit Aufklärung und Bewusstseinsbildung, dann mit der Überprüfung Ihrer Technologie und Prozesse. Jeder, von den Endnutzern bis zu den IT-Leitern, muss die Bedeutung und die Rolle von Maschinenidentitäten bei den von ihnen durchgeführten Initiativen besser verstehen. Hier haben wir einige Tipps und Strategien zusammengestellt, die Ihnen den Einstieg erleichtern:

Für PKI- und Sicherheitsteams:

• Informieren Sie die Mitarbeiter innerhalb der IT-Organisation über die Bedeutung von Zertifikaten und deren Handhabung. Erstellen Sie Spickzettel und Anleitungen dazu, wie man Zertifikate erhält, wie man sicherstellt, dass sie mit den Richtlinien übereinstimmen, und wie man Zertifikate ordnungsgemäß installiert und erneuert, wenn keine Automatisierung vorhanden ist.
• Stellen Sie sicher, dass Endbenutzer und Anwendungsteams eine schnelle und einfache Möglichkeit haben, Zertifikate zu erhalten. Wenn Sie Zertifikatsanfragen für Ihre Benutzer nicht effizient erfüllen können, werden sie sich mit Sicherheit anderweitig umsehen. Selbstsignierte Zertifikate und unzureichende integrierte Zertifizierungsstellen (z. B. Kubernetes Secrets, HashiCorp Vault) sollten nicht blindlings verwendet werden.
• Entwickeln Sie Ihr Instrumentarium für Transparenz und Automatisierung. Die Ausbildung ist der Ausgangspunkt, aber es ist die Technologie, die die besten Praktiken vorantreibt. Evaluieren Sie Lösungen für die Zertifikatsverwaltung, die eine Erkennung und Lebenszyklus-Automatisierung Funktionen bieten.

Für Endnutzer:

• Vermeiden Sie die Verwendung von Wildcard-Zertifikaten. Sicherlich, Wildcard-Zertifikate sind zwar eine kurzfristige Lösung, aber das Risiko überwiegt bei weitem den Nutzen. Die jüngste NSA-Warnung oder der mehr als 5-stündige Ausfall von Fortnite zeigen, warum sie vermieden werden sollten. Wenden Sie sich stattdessen an Ihr PKI- oder Sicherheitsteam, um zu erfahren, wie Sie vertrauenswürdige Zertifikate erhalten.
• Verwenden Sie keine selbstsignierten Zertifikate auf Produktionssystemen. Selbstsignierte Zertifikate haben ihren Platz, aber nicht in der Produktion oder in öffentlich zugänglichen Domänen. Unsachgemäß gehandhabte selbstsignierte Zertifikate können von Cyberkriminellen für Man-in-the-Middle-Angriffe (MitM) ausgenutzt werden, um Vertrauen vorzutäuschen.
• Wenn Zertifikate lästig sind, helfen Sie, den Business Case voranzutreiben. Wenn Sie es leid sind, Zertifikate manuell anzufordern, zu installieren und zu erneuern, ist Ihr PKI-/Sicherheitsteam es wahrscheinlich auch leid. Anstatt mit dem Finger auf andere zu zeigen, sollten Sie sich für eine stärkere Automatisierung einsetzen, die die Arbeit für alle Beteiligten erleichtert.

Für IT-Führungskräfte:

• Machen Sie Maschinenidentitäten zu einer Priorität in Ihrer IAM-Strategie. Die Verlagerung der Wahrnehmung von Kryptographie als hochtechnisches Konzept auf ein bereits gut verstandenes Konzept der "Identität" zu verlagern, wird zu einem besseren Verständnis und einer Standardisierung im gesamten Unternehmen beitragen.
• Definieren Sie Maschinenidentitäten und entwickeln Sie einen klaren Plan Helfen Sie dabei, ein klares Bild der Rechneridentitäten in Ihrer Umgebung zu definieren und einen unternehmensweiten Richtlinienrahmen für deren Nutzung und Verwaltung zu entwickeln.
• Helfen Sie bei der Bildung eines Crypto Center of Excellence (CCOE). Sobald Sie eine grundlegende Strategie und Richtlinie festgelegt haben, müssen Sie sicherstellen, dass Ihre Teams klare Richtlinien für Zertifikatsnutzer entwickeln. Dazu gehört auch die Zuweisung des Eigentums an Tools und Prozessen, die für verschiedene Arten von Maschinenidentitäten verwendet werden.

• Lesen Sie den Bericht über den Stand des Maschinen-Identitätsmanagements 2021 und teilen Sie ihn mit Ihren Teams, um das Bewusstsein im Unternehmen zu fördern.
• Besuchen Sie die Produktwebsite und erfahren Sie, wie die Keyfactor Krypto-Agilitäts-Plattform umfassende Transparenz, Kontrolle und Automatisierung für jede Maschinenidentität bietet.