¿Tiene métricas PKI? Aquí tiene las principales que debe conocer.

Si ha pasado algún tiempo en el espacio de la ICP, es probable que haya oído hablar mucho de la criptoagilidad últimamente, pero ¿qué significa realmente? 

La criptoagilidad consiste en preparar para el futuro los elementos de su programa PKI, como los algoritmos de firma y los puntos fuertes de las claves, para tener en cuenta las próximas evoluciones. Por ejemplo, ahora se habla mucho de prepararse para la computación cuántica, lo que implica actualizar y reforzar las claves para que se mantengan al día con la evolución de los estándares. 

En última instancia, lograr la agilidad criptográfica se reduce a cuatro áreas críticas: 

1. Visibilidad de todas sus claves y certificados
2. Controlar esos elementos para asegurarse de que cumplen las políticas adecuadas.
3. Automatización de la renovación de certificados para evitar interrupciones frente a la pérdida de renovaciones manuales
4. Orquestar esas pólizas y renovaciones en todas sus diferentes cadenas de herramientas o canalizaciones DevOps mediante la integración con soluciones como Istio y HashiCorp.

Todas estas áreas son importantes, pero la visibilidad es la más importante para empezar. Esto se debe a que si no conoce el estado de su criptografía, las operaciones de PKI se vuelven extremadamente difíciles. Y cuando se trata de visibilidad, estas son las diez métricas más importantes que hay que controlar.

Qué hay que controlar: Obtener visibilidad del estado de caducidad de cada certificado, incluyendo cuándo van a caducar y a quién hay que notificárselo antes de que ocurra, puede suponer una enorme diferencia para su programa PKI. De lo contrario, corre el riesgo de que se produzcan cortes en la red, y ese riesgo se multiplica con el creciente número de identidades en la empresa.

Por qué realizar un seguimiento: Los certificados que caducan son la principal razón por la que las organizaciones empiezan a realizar la gestión del ciclo de vida de los certificados, sobre todo cuando una interrupción refuerza la importancia de estas actividades.

Y lo que es más importante, los certificados caducados pueden provocar algo más que interrupciones del servicio. En este ejemplo, la empresa tenía un certificado caducado en un servidor que monitorizaba el tráfico de red. Como el certificado había caducado, no informaba de la filtración de datos que liberaba en Internet la información de identificación personal de los clientes. Una vez que la empresa sustituyó el certificado (que tardó unos 19 meses en caducar), empezó a detectar el robo. Este es un ejemplo en el que el certificado no causó una interrupción y, debido a la falta de visibilidad del estado de caducidad, la empresa no se dio cuenta inmediatamente de que algo iba mal.

Cómo realizar el seguimiento: La mejor forma de obtener visibilidad sobre el estado de caducidad es mediante un informe que ofrezca una visión general de todos tus certificados y de cuándo van a caducar, de esa forma podrás priorizar sobre cuáles necesitas tomar medidas. Esta visibilidad también te da la oportunidad de planificar las renovaciones que llevarán más tiempo (por ejemplo, en los casos en los que no sepas quién está a cargo de un certificado o no sepas cómo sustituirlo en la aplicación que lo está utilizando).

Qué rastrear: Comprender el tamaño y la fortaleza de todas sus claves y certificados también es esencial. Tener esta visibilidad puede ayudarte a determinar si tus claves son débiles y evitar ser vulnerable a un ataque como consecuencia de ello.

Por qué seguirlo: Cada vez que se producen avances informáticos, los algoritmos de las claves criptográficas necesitan evolucionar. Y, dada la frecuencia con la que esto ocurre, es importante asegurarse de poder adaptar el tamaño y la fuerza de las claves rápidamente, con una interrupción mínima de la infraestructura existente.

Además, una clave muy débil podría indicar que tienes algo tan antiguo que ya ni siquiera se utiliza, ya que muchas aplicaciones simplemente rechazan certificados basados en estándares tan bajos. Como resultado, rastrear el tamaño y la fuerza de la clave también puede ayudar a identificar casos de sprawl.

Cómo realizar el seguimiento: El informe ideal para esta métrica evalúa el tamaño y la fuerza de la clave para proporcionar una visión general de dónde puede tener vulnerabilidades. Por ejemplo, ¿el problema es que la intensidad de la clave es demasiado baja o que el algoritmo de firma es deficiente? Las respuestas a estas preguntas deberían ofrecer una idea de dónde necesita ajustar su configuración para maximizar la fuerza de sus claves para que no tenga que actualizarlas de nuevo en un corto período de tiempo.

Qué hay que seguir: Los algoritmos de firma son la base de la confianza y la seguridad de la PKI. Al igual que ocurre con el tamaño y la intensidad de las claves, es esencial hacer un seguimiento de los algoritmos de firma y prepararse para la migración en caso de que el algoritmo quede obsoleto.

Un ejemplo bien conocido de esto es la migración de SHA-1 a SHA-2. Cuando esto ocurrió, aunque el algoritmo de firma SHA-1 estaba obsoleto, muchas aplicaciones no se habían puesto al día para poder utilizar los nuevos certificados SHA-2, por lo que esos proyectos de migración requerían un enfoque muy consciente basado en qué aplicaciones estaban consumiendo esos certificados.

Por qué seguirlo: Aunque los hashes más grandes suelen ser más seguros porque son menos vulnerables a los ataques de colisión, la definición de grande cambia constantemente. Por ejemplo, ahora mismo estamos esperando el dictamen del NIST sobre criptografía cuántica y computación cuántica. Mañana podría ocurrir algo que nos obligara a aplicar cambios rápidamente, y tenemos que estar preparados para ello.

En el momento en que alguien consiga un ordenador cuántico capaz de romper los algoritmos SHA-2, todo el mundo tendrá que volver a emitir certificados con un algoritmo mucho más potente. Por eso es fundamental poder hacer un seguimiento de lo que se ha actualizado y disponer de automatización para sustituir esos algoritmos rápidamente a escala (en Keyfactor, hemos reemitido y desplegado millones de certificados en 24 horas).

Curiosamente, a veces encontramos dispositivos IoT diseñados sin tener en cuenta la agilidad criptográfica porque los certificados tienen una vida útil de 20 años y cualquier actualización requiere ir manualmente a cada dispositivo y sustituir el certificado. Esto no sólo supone un coste enorme, sino que los cambios en los algoritmos a lo largo del tiempo dejarán esos dispositivos extremadamente vulnerables.

Cómo hacer el seguimiento: Los informes más útiles analizan cuántas aplicaciones se han migrado, cuántas no se han migrado y qué se necesita para migrar las que quedan. En casos como la migración de SHA-1 a SHA-2, que se centró en la incapacidad de las aplicaciones para consumir el algoritmo de firma actualizado, este informe también es valioso para ayudar a los propietarios de las aplicaciones a comprender qué actualizaciones de seguridad deben realizar.

Qué hay que controlar: Es esencial conocer todas las autoridades de certificación (CA) que utiliza su organización (tanto públicas como privadas) y llevar un control de los certificados que emiten. Muchos equipos están a cargo de tres o cuatro CA públicas que se integran en toda la empresa, así como de una CA emisora interna. Con todas estas CA en juego, se necesita una visión general de las actividades en cualquier momento.

Por qué rastrearlo: La visibilidad de la emisión de CA es importante para detectar cualquier actividad inusual, ominosa u oculta. Por ejemplo, una organización pensaba que tenía entre 1.000 y 2.000 certificados, pero un escaneado del inventario de Keyfactor encontró más de 200.000 certificados. Descubrimos que un servidor del entorno se reiniciaba cada seis horas y, cada vez que se reiniciaba, solicitaba un certificado, y esto había ocurrido durante dos años sin que nadie se diera cuenta.

Cómo realizar el seguimiento: Un informe puede mostrarle el número de certificados que cada CA emite diariamente, proporcionando visibilidad para identificar tendencias y adelantarse a cualquier problema. Si su equipo esperaba emitir dos o tres certificados al día, pero luego ve el triple de actividad, puede identificar qué CA está causando el pico e investigar más a fondo, ya que esto podría indicar actividad maliciosa. En general, ver esos picos y cualquier otra cosa fuera de lo normal es un gran indicador de que algo podría estar mal y justifica una mirada más cercana.

Qué hay que rastrear: Lo siguiente es saber quién solicita los certificados y a quién pertenecen. Aunque esto parezca sencillo, repartir certificados puede volverse engorroso muy rápidamente, llegando a ser como aquel clásico momento de Oprah "¡te dan un coche y te dan un coche!".

Por qué rastrearlo: Necesita saber quién solicitó un certificado y a quién pertenece, porque cuando se produce una caducidad de un certificado o un tiempo de inactividad operativa, necesita saber a quién acudir para la renovación. Normalmente, cuando se producen interrupciones, es porque alguien no prestó atención a un certificado o porque no existía un proceso de renovación.

Y solo hace falta un certificado para provocar un apagón, como el de la interrupción de Microsoft Teams que ocurrió poco después de COVID golpeó. Fue solo un certificado el que caducó, pero supuso un gran golpe para Microsoft en un momento en el que Zoom empezaba a ser dominante.

Cómo realizar el seguimiento: La mejor forma de realizar un seguimiento de las solicitudes y la propiedad de certificados es introducir un informe que ofrezca una visión detallada de quién solicitó un certificado, quién es su propietario, dónde está y a quién hay que notificar su próxima caducidad y renovación.

De qué se trata: A medida que crecen los equipos DevOps, la mayoría de las organizaciones ven un rápido aumento de los certificados autofirmados puestos en marcha por el equipo de ingeniería para mantenerse al día con el ritmo más rápido de desarrollo. Un certificado autofirmado no es realmente público o privado, es básicamente una CA integrada que está conectada a una herramienta determinada, y es fundamental saber dónde existen.

Por qué seguirlo: Muchas organizaciones intentan averiguar cómo pueden hacer que los certificados autofirmados cumplan con su política PKI. A menudo lo hacen integrando su programa PKI con HashiCorp Vault o una CA en su malla de servicios Istio. Estas integraciones pueden descontrolarse rápidamente, pero muestran exactamente dónde están los certificados. De lo contrario, es probable que los equipos de seguridad tengan una visibilidad limitada o nula sobre dónde emitió el equipo de ingeniería los certificados autofirmados.

Cómo rastrearla: Este tipo de TI en la sombra existe principalmente cuando los certificados son engorrosos de obtener para los desarrolladores. Lo que necesita es un informe que muestre quién está eludiendo sus políticas y cuándo. A continuación, puede utilizar esa información para identificar formas de mejorar sus procesos y facilitarles la obtención de certificados de forma segura sin ralentizar sus procesos.

Qué hay que tener en cuenta: Un certificado comodín es un certificado único que se utiliza en varios subdominios. Suponen un gran ahorro de costes, pero un único punto de fallo con el certificado puede afectar a múltiples áreas de la empresa. Esto supone un gran riesgo en términos de interrupciones y ataques.

Por qué rastrearlo: Si no sabe qué certificados son comodines o si no conoce todas las aplicaciones que utilizan un determinado certificado comodín, se encontrará con un punto ciego. En concreto, si algo va mal con ese certificado o necesitas renovarlo, tendrás dificultades para identificar todo lo que podría verse afectado. Esto le ocurrió recientemente a Spotifycuando todo el servicio se cayó porque el equipo olvidó renovar un certificado TLS que era comodín.

Cómo rastrearlo: Necesita un informe que le indique qué certificados son comodines y los subdominios a los que está asociado cada uno. La mejor forma de hacerlo es marcar los certificados comodín de una forma determinada, por ejemplo con un asterisco. Sin este tipo de informe, es posible que no sepa que un certificado es comodín. O incluso si lo sabe, puede que no conozca todas las aplicaciones que consumen el certificado, y la única forma de identificarlo es mediante escaneos manuales de la red.

Qué hay que controlar: ¿Qué certificados tienen despliegues y renovaciones automatizados y qué certificados requieren actualizaciones manuales? En general, cuanta más automatización, mejor.

Por qué seguirlo: Un alto grado de automatización permite un enfoque más dinámico de las operaciones de PKI y de las prácticas de gestión de certificados, mientras que una automatización menor conlleva un mayor riesgo de interrupciones. Además, los certificados automatizados ayudan con la vida útil predeterminada de 90 días de los certificados, ya que no desea que alguien tenga que sustituir esos certificados manualmente cada 90 días.

Cómo realizar el seguimiento: Lo primero que quieres es un informe que muestre qué certificados están automatizados y cuáles son manuales. Yendo un poco más allá, lo bueno de la automatización es que también crea informes que muestran cuántos certificados se renuevan. Esto le mostrará el ciclo de vida de los certificados, de modo que podrá incluso sustituirlos antes de lo necesario.

Qué hay que controlar: Las listas de revocación de certificados (CRL) le indican si un certificado sigue siendo válido o no, y constituyen el núcleo de la gestión de PKI. Por ejemplo, si alguien deja su empresa, puede revocar sus certificados, y una CRL lo hace saber para que otros no confíen más en esos certificados.

Por qué rastrearlo: La CRL vive en un lugar público donde cualquiera puede consultarla. Si por alguna razón una persona o servicio no puede acceder a ella, entonces no debe confiar en un certificado. Por tanto, si la CRL caduca o no está disponible, todos los certificados emitidos desde esa CA se considerarán poco fiables. Como resultado, la salud de la CRL es un único punto de fallo y necesita monitorización.

Cómo realizar el seguimiento: Introduce un informe que muestre qué certificados han sido revocados y añade la posibilidad de ver quién está revocando esos certificados. Es importante tener en cuenta que los certificados pueden ser revocados por todo tipo de razones: Pueden estar en peligro, dejar de ser necesarios o haber sido sustituidos.

De qué hacer un seguimiento: Las métricas anteriores son todas cosas que puedes encontrar fácilmente escaneando tu red o escaneando diferentes puntos finales. La última consiste en encontrar todos los certificados de tu entorno de los que no tienes constancia, de forma que puedas introducirlos en tu base de datos para eliminar puntos ciegos y permitir la elaboración de informes.

Por qué rastrearlo: Antes de poder escanear certificados para obtener información específica sobre ellos, primero hay que conocer todos y cada uno de los certificados que existen. Lo que es peor que no gestionar un certificado conocido es no gestionar un certificado desconocido, y eso hace que sea esencial tener un inventario completo de todos los certificados que existen.

Cómo rastrearlo: Analiza tu entorno en busca de todos los puertos que tengas abiertos y que puedan alojar certificados. Si sabe dónde están los almacenes de certificados, aunque sólo conozca el nombre del servidor, debería poder configurar la automatización o un orquestador para rastrear ese servidor y buscar almacenes de certificados. A continuación, puede reunir todo lo que encuentre en una única base de datos sobre la que elaborar informes. Mientras lo hace, busque cosas como un error ortográfico en el nombre de su empresa en un certificado, ya que podría ser un indicio de actividad maliciosa.

Aunque éstas son sólo diez de las muchas métricas de PKI que hay que controlar, juntas proporcionan una gran visibilidad que puede ayudar a su equipo a lograr la criptoagilidad. ¿Y ahora qué? Es hora de reunir todo para facilitar la visualización. Recomendamos empezar con los siguientes cuadros de mando:

• Informe ejecutivo mensual: Proporciona a los ejecutivos un vistazo a la actividad de emisión durante el mes pasado en comparación con el mes anterior. Esto proporciona una visión rápida de la salud de la CA y permite a los ejecutivos ver rápidamente si hay alguna señal de alarma que deba investigarse (como un gran número de certificados a punto de caducar en las próximas 2-4 semanas que podrían presentar un riesgo de interrupciones). También ayuda a los ejecutivos a comprender qué deben planificar cuando se trata de ampliar la arquitectura PKI. Por ejemplo, ¿necesita crear otra CA emisora para hacerse cargo de una mayor carga de certificados?
• Informe de estado de la PKI: Cree una vista de pájaro de las métricas de salud de la PKI, como la emisión, los vencimientos, la fortaleza de la clave y la actividad de CA, para los ejecutivos más técnicos. Este informe es más detallado, pero proporciona una visión general de todo lo que está ocurriendo. También debería permitirle filtrar cosas como las colecciones de certificados por departamentos y ver o ajustar las alertas de caducidad. En general, proporciona una buena visión general para un ejecutivo ocupado que entiende el valor que aportan los certificados a la seguridad de la organización y le permite planificar mejoras, como introducir más automatización para reducir el riesgo y liberar tiempo del equipo de seguridad para centrarse menos en las renovaciones y más en actividades de valor añadido.

¿Le interesa saber más sobre por qué son tan importantes estas métricas y cómo empezar a realizar su seguimiento? Haga clic aquí para ver nuestro seminario web sobre las diez métricas PKI más importantes para obtener más detalles y consejos.