La experiencia más gratificante de mi carrera ha sido tener un asiento en primera fila en el viaje de Keyfactordesde una pequeña tienda de consultoría a un líder global en confianza digital. Por el camino, he tenido el privilegio de trabajar con gente realmente brillante: líderes, ingenieros y clientes que están ampliando los límites de lo que es posible en seguridad.
Esta semana, Keyfactor alcanzó otro hito importante en nuestro viaje, adquiriendo InfoSec Global y CipherInsights, reuniendo lo mejor en descubrimiento criptográfico para ayudar a las organizaciones a descubrir vulnerabilidades ocultas que ponen en riesgo su negocio.
En este blog, explicaré qué es el descubrimiento criptográfico, por qué es una prioridad y qué lugar ocupan estas nuevas tecnologías en la mezcla. En primer lugar, demos un paso atrás.
Criptografía: La caja negra de la ciberseguridad
Si nos remontamos a los primeros días de Internet, la confianza digital era sencilla. Se trataba sobre todo de garantizar que los usuarios pudieran conectarse con seguridad a los sitios web, protegidos con una infraestructura de clave pública (PKI). Aunque hacer que aparezca el "icono del candado" en el navegador sigue siendo importante, toy en día, el panorama ha cambiado radicalmente. Ahora prácticamente todo está conectado a Internet y a la red, y en el centro de todo está la PKI y, me atrevería a decir, la criptografía.
La criptografía es el motor silencioso que zumba detrás de cada conexión segura y transacción en línea. Está literalmente en todas partes y, sin embargo, a menudo se trata como una misteriosa caja negra, algo que incluso los profesionales de TI más experimentados prefieren no tocar. A menudo, sólo cuando algo se rompe alguien descubre un activo criptográfico. Como se suele decir, "la ignorancia es felicidad", ¿verdad? Sí, pero....
Esa falta de visibilidad de los activos criptográficos -claves, certificados, almacenes de claves, algoritmos, protocolos y bibliotecas- deja a las organizaciones a ciegas ante vulnerabilidades ocultas. Elementos como claves expuestas, algoritmos débiles y protocolos obsoletos no solo suponen un riesgo para la seguridad de los datos, sino que también están cada vez más bajo el escrutinio de auditores y marcos normativos más estrictos.
Solucionar las vulnerabilidades tampoco es fácil. No se trata sólo de saber dónde se encuentran los activos criptográficos, sino también cómo se utilizan, con qué sistemas interactúan y qué puede fallar si se intentan cambiar o sustituir. Muchos de nosotros experimentamos estos problemas de primera mano en la migración de SHA-1 a SHA-2, y eso palidece en comparación con lo que nos espera.
Encender las luces con el descubrimiento criptográfico
El cambio está en marcha, y esta vez no se trata de un obstáculo, sino de una montaña. La subida empinada y constante hacia una transformación segura desde el punto de vista cuántico es desalentadora, pero ya no se puede evitar. Las nuevas normas ya están aquí y se han fijado plazos para la desaparición de los algoritmos heredados. En otras palabras, el camino está marcado y es hora de ponerse los cordones.
Paso 1: Ganar visibilidad
El descubrimiento criptográfico es el proceso de escanear su entorno y crear un inventario de todos los activos criptográficos, desde claves y certificados hasta almacenes de claves, bibliotecas criptográficas, algoritmos y protocolos. Las instancias de criptografía están en todas partes, desde el código, los binarios y las herramientas CI/CD hasta lo más profundo de los sistemas de archivos, los servidores web y los entornos en la nube. Esto no es una- y- es un proceso continuo de descubrimiento y supervisión.
Paso 2: Obtener el contexto
Comprender dónde se encuentran los activos criptográficos en su infraestructura es una cosa, pero comprender cómo se utilizan es otra. La visibilidad en tiempo real del tráfico de red puede ayudar a proporcionar un contexto adicional sobre cómo se asignan los objetos criptográficos a su infraestructura, para que pueda corregir los riesgos sin preocuparse de romper los sistemas.
Paso 3: Establecer prioridades
Cuando de repente descubres miles de activos criptográficos dispersos por tu organización, puede parecerte que estás abriendo el cajón de los trastos más desordenado del mundo. Sabe que hay cosas importantes ahí dentro, pero averiguar qué es lo que importa, qué está roto y qué es lo primero que hay que arreglar resulta abrumador. Comparar sus activos criptográficos con los factores de riesgo y los requisitos de cumplimiento, basándose en los activos y datos que protegen, es clave para saber qué hacer a continuación.
Paso 4: Corregir y repetir
Cuando sepa lo que tiene y dónde están sus riesgos, podrá empezar a solucionarlos. Aquí es donde entra en juego la automatización. Por ejemplo, al automatizar la renovación, el aprovisionamiento y la instalación de certificados digitales en los puntos finales, puede abordar los riesgos sin causar interrupciones en la empresa. Esto es esencial para evitar tiempos de inactividad y garantizar una transición fluida a gran escala.
Reunirlo todo: Descubrimiento y ciclo de vida
Ante la urgente necesidad de comprender el riesgo criptográfico, estamos dando un paso audaz para hacer avanzar nuestra plataforma uniendo InfoSec Global y CipherInsights.
Gracias a la supervisión continua del tráfico de red para descubrir y detectar riesgos criptográficos en tiempo real (CipherInsights), y a la exploración en profundidad y el inventario de objetos criptográficos dentro de la infraestructura, los sistemas de archivos y el código (InfoSec Global), ahora podemos ofrecer una comprensión completa y exhaustiva de la infraestructura de confianza digital de una organización.
Al combinar estas soluciones con la pila de productos de Keyfactor, podemos ayudar a nuestros clientes a comprender su postura criptográfica, remediar los riesgos y vulnerabilidades identificados y modernizar su PKI e infraestructura de firma para la era cuántica.
A nuestros clientes, socios y a los equipos que están detrás de nuestras soluciones: Gracias. Me siento honrado de estar a su lado en este viaje y estoy emocionado de ver lo que viene para Keyfactor.
Si desea obtener más información sobre el siguiente paso para la confianza digital, no se pierda nuestro seminario web, "What's Next for Digital Trust: Resolviendo sus riesgos y vulnerabilidades criptográficas" .Profundizaremos en el descubrimiento criptográfico y lo que significa para usted.
