Perspectivas del Director de Seguridad, Chris Hickman, sobre el Informe Keyfactor-Ponemon Institute 2019: El impacto de las identidades digitales no seguras.
La ciberseguridad nunca se detiene. A medida que las amenazas evolucionan día a día, ni siquiera los controles preventivos más sofisticados detendrán todos los ataques.
Por esta razón, un número cada vez mayor de empresas está cambiando su enfoque de la prevención y protección a una respuesta eficaz ante las amenazas.
La infraestructura de clave pública (PKI) es un pilar fundamental en cualquier estrategia de ciberseguridad empresarial. Las claves y los certificados digitales residen prácticamente en todas partes, proporcionando protección criptográfica para casi todo el Hardware y Software que utilizamos a diario.
Pero a pesar de un cambio hacia una respuesta eficaz, la PKI no recibe la misma atención que otras herramientas de ciberseguridad en la empresa. Aun así, se aplica el mismo principio, y una reciente oleada de incidentes relacionados con la criptografía revela que la mayoría de las organizaciones están mal preparadas para responder eficazmente cuando las cosas salen mal.
¿Por qué no puede permitirse ignorar la criptoagilidad?
Como dice el refrán, "las cosas pasan" – y cuando suceden, a menudo ponen a prueba nuestra preparación.
Como ejecutivos de ciberseguridad y TI, generalmente planificamos cualquier incidente de seguridad que pueda amenazar a nuestra organización, pero ¿tiene un plan establecido para responder a eventos relacionados con la criptografía?
Un estudio reciente del Ponemon Institute sobre El impacto de las identidades digitales no seguras revela que las organizaciones tienen un promedio de casi 140.000 claves y certificados en su entorno, sin embargo, más del 60 % de los encuestados están preocupados por su capacidad para mantenerlos seguros.
Entonces, ¿qué sucede cuando las claves y los certificados en los que confía hoy se convierten en su mayor riesgo mañana?
Echemos un vistazo a solo algunos de los incidentes relacionados con la criptografía que pueden amenazar su negocio.
1. Compromiso de la Autoridad de Certificación (CA)
Los certificados son de confianza de dos maneras: explícita y ubicua.
- La confianza explícita se da cuando se habilita un dispositivo para que confíe en un determinado certificado o en la CA que lo emite.
- La confianza ubicua se da cuando una CA es de confianza nativa para un navegador, aplicación o sistema operativo (es decir, Google Chrome o Windows OS) y el certificado se mantiene en un "almacén de confianza".
¿Pero qué sucede cuando una Autoridad de Certificación (CA) ya no puede ser de confianza? Quizás la CA fue comprometida o no logró mantenerse al día con los estándares criptográficos.
Independientemente de cómo haya sucedido, su fuente de confianza para claves y certificados le ha fallado, y ahora le toca a usted recomponer la situación.
Cuando ocurren brechas en las CA – el informe de Ponemon muestra que las organizaciones experimentaron dos incidentes de compromiso de CA en los últimos 24 meses – el impacto es enorme. Según ese mismo informe, el costo promedio de recuperación de estos eventos es de 13,2 millones de dólares.
Ni siquiera empresas como GoDaddy, Apple y Google pueden garantizar que sus certificados sean seguros y cumplan con los estándares de la industria – ya que recientemente emitieron erróneamente casi 1 millón de certificados de confianza para navegadores que no cumplían con los estándares actuales.
A pesar del riesgo mínimo, el costo para las organizaciones de encontrar y reemplazar estos certificados fue considerable.
2. Errores en las bibliotecas criptográficas
El descubrimiento de un error en una biblioteca criptográfica también puede resultar en la necesidad de generar nuevas claves y reemitir certificados según la tecnología utilizada para parchearla o reemplazarla.
En octubre de 2017, una vulnerabilidad descubierta en una biblioteca de Software utilizada por los Módulos de Plataforma Segura (TPM) de Infineon para generar claves privadas RSA dejó vulnerables a millones de dispositivos de seguridad. En este caso, no fue suficiente con instalar actualizaciones de firmware – casi todas las grandes empresas del mundo tuvieron que apresurarse para revocar y reemplazar manualmente las claves de cifrado débiles.
3. Deprecación de algoritmos
Los algoritmos criptográficos evolucionan. De hecho, es difícil encontrar un algoritmo criptográfico o mecanismo de hash que no nos haya fallado en los últimos años – siendo reemplazado por una alternativa más robusta y menos vulnerable.
Piense en las claves y algoritmos de hash en los que confiábamos en 2007, desde MD5 y SHA-1 hasta las claves RSA de 1024 bits. Ninguno es aceptable hoy en día.
Los expertos en el campo de la computación cuántica predicen que los ordenadores cuánticos serán viables en los próximos 15 años. Este avance probablemente alterará componentes clave de la criptografía tal como la conocemos, obligando a las empresas a adoptar nuevas estrategias, estándares criptográficos y tecnologías.
La búsqueda y el reemplazo de claves y certificados en los sistemas afectados sigue siendo en gran medida un proceso manual, con un costo y riesgo enormes para la organización. En la transición de SHA-1 a SHA-2, varias organizaciones reportaron gastos que superaron los 5 millones de dólares. Y eso asumiendo que no haya auditorías fallidas en el camino, en cuyo caso los costos podrían superar los 14 millones de dólares.
4. Uso indebido de claves y certificados
Las claves privadas son esenciales para descifrar datos y permitir el acceso a información crítica. Pero en manos equivocadas, pueden utilizarse para suplantar una entidad de confianza y obtener acceso sin restricciones a su red.
Los atacantes pueden dirigirse a claves de confianza utilizadas por firewalls, balanceadores de carga y servidores, lo que les permite ocultarse en su tráfico cifrado. Al no saber qué clave pudo haber sido robada, los equipos de TI y seguridad se ven obligados a generar todas las claves y certificados nuevos en cientos de sistemas.
Las organizaciones estiman haber experimentado un promedio de más de cuatro incidentes de uso indebido de certificados de servidor y claves, con un costo promedio de 13,4 millones de dólares en los últimos dos años.
Criptoagilidad – Es el momento de empezar
A la escala actual de la infraestructura de clave pública, los scripts manuales y las hojas de cálculo son simplemente ineficaces.
La criptoagilidad proporciona la capacidad de gestionar sus claves y certificados de forma proactiva y receptiva. Si su empresa no es criptoágil, ahora es el momento de empezar. La agilidad criptográfica es imperativa a medida que nos acercamos a la era de la criptografía postcuántica.
Desarrollar una estrategia eficaz de gestión de claves y certificados e invertir en automatización puede ayudarle a mantenerse un paso por delante en la curva de seguridad, y reducir el impacto y el costo de los incidentes relacionados con la criptografía para su negocio.
¿Quiere saber más? Descargue este eBook y comience su camino hacia una PKI criptoágil, o consulte nuestra última versión – Keyfactor Command 6 – diseñada para permitir la gestión de claves empresariales criptoágiles a escala.
