Comienza la cuenta atrás para Keyfactor Tech Days | ¡Asegura tu plaza hoy mismo!

  • Inicio
  • Blog
  • Ampliación de las operaciones de PKI: Los 4 problemas principales que hay que evitar

Ampliación de las operaciones de PKI: Los 4 problemas principales que hay que evitar

PKI

Este blog recoge las reflexiones de Chris Hickman, Director de Seguridad de Keyfactor, sobre el Informe 2020 Keyfactor-Ponemon Institute: El impacto de las identidades digitales inseguras. Haga clic aquí para descargar y acceder al informe completo.

A medida que los directores de sistemas de información dirigen el negocio hacia un modelo de múltiples nubes, el número de máquinas y aplicaciones, y el volumen de datos confidenciales que generan, ha crecido exponencialmente. Cuando pensamos en la seguridad y en cómo ha cambiado en la última década, hay dos conceptos que nos vienen a la mente: escala y complejidad.

Los equipos de TI y DevOps tienen el poder de aprovisionar y desplegar infraestructura con unos pocos clics, en lugar de esperar días o incluso semanas. Todo lo que estos equipos utilizan en sus operaciones diarias -servicios en la nube, contenedores, dispositivos y aplicaciones- hacen uso de certificados x.509 para proteger los datos y asegurar las comunicaciones de máquina a máquina.

El creciente volumen y diversidad de certificados x.509 ha multiplicado la complejidad de su gestión, especialmente a medida que se acortan los ciclos de vida de los certificados y se producen cambios más frecuentes en las normas criptográficas. Ahora, los equipos de operaciones y seguridad de PKI deben garantizar que cada certificado emitido sea de confianza, esté actualizado, protegido frente a ataques y cumpla la política de la empresa (es decir, el tamaño de la clave, el algoritmo, etc.).

Obstáculos para ampliar las operaciones de PKI

En el informe de 2020 Keyfactor-Ponemon, más de 600 profesionales de TI y seguridad de la información estiman que tienen una media de 88.750 certificados y claves digitales en su empresa, pero la mayoría de las organizaciones no están equipadas para gestionarlos y protegerlos eficazmente a escala.

Certificados desconocidos y no gestionados

Según el informe, el 74% de los encuestados afirma que su organización no sabe exactamente cuántas claves y certificados tiene.

La mayoría de las organizaciones centran sus esfuerzos en los certificados de TLS que utilizan para proteger los sitios web y las aplicaciones de cara al público, y suelen utilizar herramientas proporcionadas por las CA o métodos basados en hojas de cálculo para realizar un seguimiento de los mismos. ¿Cuál es el problema? Este enfoque sólo puede dar cuenta de un número limitado de certificados conocidos, pero son los certificados desconocidos o fraudulentos los que suponen un riesgo significativo para la organización.

En muchos casos, los clientes de Keyfactor ven en su entorno entre cinco y diez veces más certificados de los que esperaban. Gartner afirma que los responsables de seguridad y gestión de riesgos (SRM) deberían "asegurarse de que comprenden al menos el número conocido de certificados x.509 en su entorno. Si este número supera el centenar, deberían implantarse soluciones de gestión de certificados y otras herramientas para mitigar los riesgos."

Vencimientos inesperados

Los certificados caducados siguen causando interrupciones inesperadas. Cuando se produce una interrupción en la red o en una aplicación, los equipos de TI y seguridad suelen centrarse en otras causas, como los problemas de hardware/software , mucho antes de tener en cuenta un certificado x.509 caducado. Los retrasos a la hora de identificar y solucionar el certificado caducado provocan tiempo de inactividad y pérdida de productividad tanto para los equipos de seguridad como para los usuarios finales y, en algunos casos, una pérdida significativa de ingresos y un impacto en la reputación del producto o la marca.

El 73% de los encuestados en el informe afirman que su organización sigue experimentando interrupciones relacionadas con los certificados, pero sólo el 30% dice ser capaz de responder eficazmente a la caducidad de los certificados.

En los escenarios de nube híbrida, localizar y sustituir un certificado caducado puede resultar extremadamente complicado, especialmente si ese certificado se utiliza en más de una aplicación o plataforma en la nube.

Sin criptoagilidad

Los certificados caducados siguen causando interrupciones inesperadas. Cuando se produce una interrupción en la red o en una aplicación, los equipos de TI y seguridad suelen centrarse en otras causas, como los problemas de hardware/software , mucho antes de tener en cuenta un certificado x.509 caducado. Los retrasos a la hora de identificar y solucionar el certificado caducado provocan tiempo de inactividad y pérdida de productividad tanto para los equipos de seguridad como para los usuarios finales y, en algunos casos, una pérdida significativa de ingresos y un impacto en la reputación del producto o la marca.

El 73% de los encuestados en el informe afirman que su organización sigue experimentando interrupciones relacionadas con los certificados, pero sólo el 30% dice ser capaz de responder eficazmente a la caducidad de los certificados.

En los escenarios de nube híbrida, localizar y sustituir un certificado caducado puede resultar extremadamente complicado, especialmente si ese certificado se utiliza en más de una aplicación o plataforma en la nube.

Construcciones PKI obsoletas

Menos de la mitad (43%) de las organizaciones son capaces de escalar sus operaciones PKI para soportar nuevas aplicaciones e iniciativas, incluyendo DevOps, Cloud y dispositivos IoT .

La mayoría de los despliegues de PKI empresariales se implementaron para casos de uso específicos con el fin de proteger los datos y las aplicaciones dentro del centro de datos, pero no se crearon para el volumen o la velocidad de emisión de certificados necesarios para una infraestructura de nube dinámica y automatizada.

Las herramientas DevOps como HashiCorp Vault pueden permitir a los desarrolladores un acceso rápido y sencillo a los certificados que necesitan para las operaciones diarias, pero los equipos de PKI y seguridad siguen careciendo de la visibilidad y el control que necesitan para proteger el negocio. Los desarrolladores necesitan acceder a certificados aprobados por seguridad sin interrumpir sus herramientas y flujos de trabajo nativos.

¿Cómo gestiona sus certificados x.509?

Tómese cinco minutos para calcular el Índice de Confianza Crítica de su organización y obtenga recomendaciones personalizadas sobre cómo puede gestionar eficazmente los certificados x.509 a escala para satisfacer las crecientes demandas y casos de uso de su empresa.