[Informe de analistas] 2021 Tag Cyber Security Annual

El Tag Cyber Security Annual 2021 ha salido hoy y está repleto de más de 300 páginas de perspectivas de mercado y perspectivas del sector. Tag Cyber colaboró recientemente con Keyfactor en un marco para abordar la gestión de la criptografía de su empresa y me entrevistó sobre cómo los equipos pueden controlar su desorden criptográfico.

Echa un vistazo a mi entrevista destacada a continuación y descarga el informe para leer otras entrevistas con expertos como Ann Johnson, Vicepresidenta Corporativa de Microsoft.

Ann pronunciará un discurso en la cumbre Keyfactor Critical Trust Summit el 21 de octubre, así que inscríbase hoy gratis para escuchar su discurso y más de 15 sesiones sobre la consecución de la criptoagilidad.

TAG Cibernético: ¿Cuáles son algunas de las quejas heredadas sobre PKI?

Todos los años elaboramos un informe con el Ponemon Institute en el que destacamos algunas de las principales quejas en torno a la gestión de PKI. Uno de los principales problemas es que las empresas no cuentan con el personal informático y de seguridad de la información adecuado con experiencia en PKI. Alrededor del 53% de las organizaciones son incapaces de contratar y retener suficiente personal de seguridad de TI cualificado con experiencia en PKI. Los cambios en los recursos de TI, junto con la disminución del número de expertos en PKI y criptografía en el sector, han dejado a la mayoría de las implantaciones de PKI escasas de personal.

Las organizaciones también tienden a pensar en los certificados PKI en relación con SSL/TLS. Se centran sobre todo en los certificados SSL/TLS utilizados para las aplicaciones internas o de cara a Internet. Sin embargo, la gestión de SSL/TLS es sólo una fracción del panorama de los certificados. Los servicios en la nube, los contenedores y las mallas de servicios utilizan comunicaciones de máquina a máquina que dependen de certificados de autenticación de clientes. Muchas interrupciones no están causadas por certificados de servidor SSL caducados, sino por un fallo en el seguimiento de los certificados de autenticación de clientes de servicios web.

Sólo hace falta uno para que se escape, pero el 74% de los expertos en TI y seguridad creen que su organización no sabe cuántas claves y certificados tiene, y mucho menos dónde encontrarlos cuando caducan.

TAG CYBER: ¿Cuáles son algunas de las tendencias actuales del mercado que afectan a la PKI y la criptografía?

Aunque algunos tienden a pintar la PKI como anticuada, en realidad se utiliza más que nunca. Hoy en día, las organizaciones utilizan una media estimada de 88.750 claves y certificados para proteger los datos y autenticar los sistemas.

La migración a la nube requiere cambios significativos en las prácticas de gestión de claves y certificados. La mayoría de las empresas que adoptan DevOps utilizan certificados para proteger los contenedores, pero confían menos en su capacidad para escalar la PKI entre los centros de datos locales, la nube y los entornos híbridos.

La mayor tendencia para PKI es la provisión y gestión de identidades de dispositivos en IoT . Cuando se oye que en 2021 habrá 25.000 millones de "cosas" conectadas, surge inmediatamente la pregunta: "¿Cómo están protegidos? Las empresas no sólo tienen que integrar la seguridad durante el diseño y la fabricación, sino que también tienen que pensar en cómo actualizar esa seguridad si tiene un certificado.

TAG Cyber: La proliferación de certificados no parece ralentizarse, especialmente a medida que todo el mundo pasa a trabajar desde casa. ¿Dónde encaja la PKI?

Tienes razón en que el uso y la expansión de los certificados no se ralentizarán pronto. La PKI es un arma de doble filo si no se concibe y planifica adecuadamente. La mayoría de las PKI existentes hoy en día no están diseñadas para ir más allá de la red tradicional de las cuatro paredes de la organización.

La PKI actual de las organizaciones no está diseñada para escalar a la nube y no tiene esas capacidades incorporadas para llegar a donde viven los datos. Ya no se puede "proteger sólo lo que está dentro de mis cuatro paredes". La PKI puede aprovecharse, pero la escala debe incorporarse o la PKI debe reconsiderarse para abordar la escala.

TAG Cibernético: La velocidad y la alta seguridad pueden estar reñidas. Cómo afronta Keyfactor este reto?

Si se diseña una solución desde cero, sabiendo que la velocidad será un requisito, entonces la velocidad y la alta seguridad no estarán reñidas. Los retos a los que se enfrentan nuestros clientes es que utilizan arquitecturas y tecnologías heredadas para resolver problemas e iniciativas de última generación.

Con nuestra PKI como servicio, no tienen que preocuparse por la velocidad y la escala.

Por ejemplo, un cliente del sector de fabricación de automóviles no podía mantener esta dualidad de velocidad y escala con su solución actual. Uno de los requisitos que tuvimos que probar en nuestro POC fue la capacidad de ampliar la emisión y renovación de certificados a más de 500 millones de dispositivos. Eso son muchos dispositivos. Aunque no tuvieran muchos, querían probar la carga y la escala de nuestra solución para asegurarse de que podíamos probar en el futuro cualquier necesidad de expansión que pudiera surgir.

TAG Cyber: Si un cliente empieza con un lío de criptomonedas, ¿no sigue siendo una tarea ingente para él iniciarse en su plataforma?

El primer paso es hacer un inventario de lo que debe comprender para solucionar el desaguisado. Disponemos de herramientas de escaneado, descubrimiento y supervisión que pueden escanear toda su red más allá de sus certificados SSL/TLS para encontrarlos. Mostramos a los clientes la facilidad con la que podemos hacer esto y se quedan asombrados de lo rápido que identificamos cada criptoactivo en su red. Y esto no es cosa de una sola vez; escaneamos continuamente para sacar cualquier certificado que pueda ser emitido sin su conocimiento.

Después, naturalmente, viene la asignación de niveles de madurez para permitir la automatización y la agilidad. Esto incluye procesos como:

• Definición de flujos de trabajo de automatización y aprobación para la emisión, provisión, renovación y revocación de certificados
• Identificar aplicaciones de alta prioridad para la automatización de certificados (por ejemplo, servidores web, equilibradores de carga, etc.)
• Alineación con las prioridades de DevOps y práctica de uso de certificados

Nuestra plataforma está diseñada para seguir el ritmo del creciente número de claves criptográficas y certificados digitales con el fin de reducir los costes operativos. Muchos equipos de seguridad siguen luchando para desplegar y gestionar certificados utilizando un mosaico de hojas de cálculo manuales, PKI interna y herramientas proporcionadas por CA.

Sin embargo, seguir el ritmo de las renovaciones de certificados ya no es suficiente para mantenerse a la vanguardia, ya que la evolución de las normas criptográficas está poniendo a prueba la capacidad de respuesta y adaptación de las empresas.