Mes de concienciación sobre la ciberseguridad: Nueve cosas que los equipos de seguridad deben saber sobre PKI

Como parte del Mes de concienciación sobre la ciberseguridadKeyfactor destaca las formas en que los equipos pueden adaptarse al creciente reto de gestionar certificados e identidades de máquinas en sus organizaciones.

Hasta hace poco, la criptografía de clave pública era una práctica bastante especializada. Sin embargo, con la aparición del trabajo a distancia, la computación en la nube y los dispositivos IoT , el volumen y la prevalencia de los certificados se han disparado. 

Esta creciente vulnerabilidad se está convirtiendo en un vector de ataque favorito entre los malos actores. Entretanto, las empresas se han visto atrapadas en un callejón sin salida, luchando por evaluar el estado de los certificados en sus organizaciones y aplicar políticas a largo plazo para protegerlos y gestionarlos.  

Keyfactor2022 State of Machine Identity Report revela que las empresas tienen una media de 269.562 certificados públicos y privados.

La gestión de la infraestructura de clave pública (PKI) es una tarea difícil cuando se añade a las responsabilidades principales de su equipo. Para gestionar y ampliar la PKI de forma eficaz, los equipos de seguridad deben saber muchas cosas, y por eso hemos recopilado nueve de ellas que deberías tener en cuenta.

Un informe de 2021 elaborado por Keyfactor y Ponemon reveló que el 50% de las empresas no saben exactamente cuántas claves y certificados tienen. Y en Keyfactor2022 State of Machine Identity Reportobtener una visibilidad completa de todos los certificados fue la principal prioridad para PKI y la gestión de certificados.

Esto es sintomático de la proliferación de PKI: varios equipos utilizan diferentes autoridades de certificación. autoridades de certificación (21 de media) sin un centro de seguimiento y gestión de certificados. Para agravar la complejidad, muchas organizaciones no establecen una propiedad clara de la PKI en toda la empresa.

Implementar una solución de gestión del ciclo de vida de los certificados es la respuesta. Keyfactor Command es una solución de gestión y automatización del ciclo de vida de los certificados que puede implantarse in situ, como servicio o combinada con PKI privada alojada en la nube (conocida como PKI como servicio). Sea cual sea la opción que elija, podrá descubrir y gestionar rápidamente los certificados existentes en su entorno y, a continuación, ampliar las operaciones de PKI a medida que crezcan las necesidades de la empresa.

Muchos equipos de TI y seguridad simplemente tienen demasiadas otras prioridades como para incorporar la gestión de la ICP a sus responsabilidades cotidianas. Al fin y al cabo, otras tareas son más importantes para la naturaleza de sus funciones. PKI pasará a un segundo plano frente al mantenimiento de sistemas, la respuesta a incidentes y la investigación de alertas. Según Keyfactor2022 State of Machine Identity Report:

• El 65% de las empresas están preocupadas por el aumento de la carga de trabajo y el riesgo de interrupciones causadas por la reducción de la vida útil de los certificados TLS . 
• El 50% afirma que no dispone de suficiente personal informático dedicado a su PKI. 
• El 33% de las organizaciones mencionaron la falta de tiempo y presupuesto como su mayor reto para adoptar una estrategia de gestión de PKI en toda la empresa.

Mientras tanto, la vida útil de los certificados está disminuyendo para aislar a las empresas de las amenazas de certificados comprometidos o robados. Desde 2020, 398 días ha sido la vida útil ampliamente aceptada de los certificados. Sin embargo, muchas autoridades de certificación están adoptando duraciones de 90 días.

Estos periodos de vida seguirán disminuyendo, lo que significa que los certificados caducarán con mayor frecuencia, aumentando la exposición al riesgo de las organizaciones que no cuenten con un sistema fiable para gestionar la PKI. Sin los recursos de PKI adecuados, la tarea de mantener al día los certificados caducados tendrá un coste cada vez mayor.

"Vale", piensas, "simplemente crearemos un equipo interno de PKI compuesto por analistas de TI y seguridad que ya tenemos en plantilla".

Con demasiada frecuencia, las organizaciones cargan PKI sobre los hombros de personal con poca (o ninguna) experiencia previa en la gestión de PKI. Aunque es probable que sus técnicos de TI y seguridad sean muy competentes, parten de cero en un panorama de PKI en constante cambio. 

• El nivel de cambio e incertidumbre en torno a PKI se clasificó como el principal reto para adoptar una estrategia de gestión de PKI en toda la empresa. 
• La falta de personal cualificado es el segundo problema más importante a la hora de adoptar una estrategia para toda la empresa. [KeyfactorInforme de 2022 sobre el estado de la identidad de las máquinas]

La curva de aprendizaje es demasiado pronunciada y hay demasiado en juego como para dejar su PKI en manos de cualquiera que no tenga experiencia y conocimientos en el ámbito de la PKI. 

Una buena PKI empieza por el diseño. Sin embargo, hay un gran número de aspectos del diseño de la PKI que, una vez configurados, no pueden cambiarse sin una nueva implantación completa. Estos aspectos rígidos tienen implicaciones significativas para el uso a largo plazo de su PKI.

El personal y los recursos dedicados a PKI se están convirtiendo en una misión crítica. Si PKI debe caer en manos de profesionales de TI y seguridad con otras responsabilidades importantes, las organizaciones deben esforzarse por minimizar la complejidad de la gestión de PKI en la medida de lo posible.

En cualquier contexto, los procesos manuales son el enemigo de la modernización, la ampliación y la transformación. En un contexto de PKI, los procesos manuales unidos a la falta de experiencia en PKI crean una receta para el desastre.

• El proceso de solicitar, generar e implantar manualmente un nuevo certificado es engorroso, especialmente cuando quienes lo hacen no se sienten cómodos con la PKI. 
• El 42% de las organizaciones sigue utilizando hojas de cálculo para seguir y gestionar los certificados. Sin embargo, las hojas de cálculo no avisan cuando un certificado caduca o está a punto de caducar, ni señalan los errores que conlleva la introducción manual de datos.
• Los procesos manuales se prestan a un uso ad hoc e incoherente por parte de los equipos. Esta falta de estandarización dificulta el impulso y la ampliación de las mejores prácticas.
• Cuando se revelan vulnerabilidades, es vital actuar con rapidez para sustituir los certificados, pero los procesos manuales hacen imposible responder con la rapidez necesaria. Esto es especialmente cierto en el caso de un compromiso de CA, que requiere una emisión masiva de nuevos certificados.

La automatización es la respuesta. Con una plataforma de gestión de PKI centralizada, no tiene que cuidar de sus certificados. Desde la supervisión continua y las alertas automatizadas hasta las integraciones de API, pasando por la posibilidad de que los usuarios finales lleven a cabo sus propios procesos de certificación, la automatización de los procesos de PKI es clave para poder escalar.

Trabajo remoto, IoT, DevOps: el perímetro de red tradicional ya no es lo que era. Los miembros del equipo necesitan un acceso seguro a los sistemas y aplicaciones que permiten sus flujos de trabajo. En lo que respecta al trabajo remoto y IoT, el reto de proteger los dispositivos reside en toda una nueva serie de condiciones y factores que escapan a nuestro control. Si alguien trabaja a distancia, es posible que los dispositivos y redes a través de los cuales accede a sus servidores no estén a la altura en términos de seguridad. En el caso de los dispositivos de IoT , el dispositivo debe conectarse a un servidor para validar la propiedad, independientemente de dónde se active.

Para DevOps, todo es cuestión de escala y velocidad. Los procesos manuales de PKI descritos anteriormente suponen un reto importante para el impulso de DevOps y la consecución de CI/CD. Una PKI racionalizada y eficiente puede acelerar los ciclos de desarrollo al tiempo que mejora la calidad, todo ello sin sacrificar la seguridad.

Por muy reforzada que esté hoy su postura de seguridad, se deteriorará con el tiempo. Siempre surgen nuevas tecnologías y amenazas. Con el tiempo suficiente, cualquier implementación de seguridad caerá, y ningún método de cifrado individual es invencible. 

La agilidad empresarial significa la capacidad de adaptarse rápidamente con interrupciones mínimas. En un contexto de PKI, la criptoagilidad significa que su empresa puede hacer evolucionar sus procesos de PKI sin interrumpir toda la infraestructura de TI o de seguridad. La criptoagilidad permite a las organizaciones anticiparse a las vulnerabilidades antes de que salgan a la luz por una brecha, una infracción o una sanción por incumplimiento. 

La agilidad y la adaptabilidad crean sostenibilidad-una arquitectura PKI duradera que puede crecer junto con su empresa, seguir el ritmo de las crecientes normativas de cumplimiento e incluso contribuir a las iniciativas de innovación.

La explosión de casos de uso y volumen en torno a PKI requiere un nuevo conjunto de buenas prácticas. Cuando se aplican desde el principio, estas prácticas pueden preservar la integridad de su PKI y evitarle una redistribución perjudicial más adelante.

Con PKI, no hay que inventárselo sobre la marcha. Antes de dar el primer paso, es necesario disponer de una hoja de ruta detallada.

• ¿Cómo se utiliza la PKI en su organización y cómo deberá utilizarse en el futuro?
• ¿Cuáles son las mejores políticas y procedimientos para gestionar los certificados a lo largo de su ciclo de vida en su organización? 
• ¿Qué controles aplicará para respaldar estas políticas y procedimientos? 
• ¿Cómo captará, explicará y documentará los cambios en su plan y su ICP?

Establecer una PKI con un buen diseño es sólo el principio. Una PKI requiere una cantidad significativa de cuidados y mantenimiento para seguir siendo funcional. Esto supone un riesgo para los equipos de seguridad que se centran en implantar la PKI pero no en hacerla funcionar indefinidamente.

Cuando se gestiona la PKI internamente, es necesario incorporar auditorías periódicas a las prácticas de PKI. Una auditoría debe incluir una revisión y comprobación de todo lo enumerado en su Política de Certificación y Declaraciones de Prácticas de Certificación (CP/CPS), continuidad del negocio y planes de recuperación ante desastres para todos los componentes de la PKI. Si existe una necesidad legítima de cambio, ponga en marcha un control de cambios para actualizar cualquiera de los documentos. Piense en ellos como documentos vivos que evolucionan para mantener el nivel de garantía previsto de la PKI.

Las organizaciones que programan y llevan a cabo sus propias auditorías internas pueden identificar problemas de forma regular y sencilla, responder a las preguntas de los auditores externos y proporcionar pruebas del nivel de garantía requerido. Los propietarios de PKI también deben supervisar y comparar los controles de PKI de su empresa con los estándares actuales y emergentes, incluidos el CA/Browser Forum, WebTrust y las agencias reguladoras del sector. Esto ayuda a la organización a adelantarse a las tendencias que, de otro modo, podrían provocar deficiencias en la PKI. Otra buena práctica es realizar una comprobación anual de la salud de la PKI para descubrir cualquier cosa que la organización no haya tenido en cuenta.

Los recursos necesarios para diseñar, implantar, mantener y hacer evolucionar internamente la PKI suponen un coste elevado y una gran barrera técnica, especialmente en medio de la actual escasez de mano de obra en ciberseguridad. escasez de mano de obra en ciberseguridad.

Entonces, ¿cómo abordar adecuadamente la implantación de PKI, gestionar la oleada generalizada de certificados que circulan por su empresa y ampliar PKI mediante la visibilidad, la trazabilidad y la automatización ante un panorama que cambia rápidamente?

Un socio con amplia experiencia en PKI puede ofrecerle una solución llave en mano para implantar y gestionar su propia PKI interna, o puede ofrecerle la gestión total de la PKI como un servicio integral.

Los riesgos de una gestión inadecuada de la PKI no harán más que aumentar, pero la complejidad no tiene por qué hacerlo. Keyfactor ayuda a las empresas (incluidas aquellas con equipos con pocos recursos) a asegurar cada clave digital y certificado para empresas multicloud, DevOps y seguridad integrada IoT . Haga clic aquí para obtener más información sobre lo que ofrecemosincluyendo cómo nuestra Cloud PKI-as-a-Service ofrece a cada organización acceso a un equipo de élite de expertos en ciberseguridad.