Lorsqu'il s'agit de gérer et de sécuriser les identités et les informations d'identification d'une entreprise, on pense surtout aux personnes et à leur rôle au sein de l'organisation. Comment s'assurer que Janet, de l'assurance qualité, dispose des informations d'identification nécessaires pour accéder aux ressources requises, et comment s'assurer que personne d'autre ne peut accéder à ces informations d'identification ?
Mais les identités humaines ne sont qu'une pièce du puzzle de la sécurité. Alors que les employés, les partenaires, les fournisseurs, les clients et les consultants peuvent constituer certaines des sources les plus cruciales de vulnérabilités en matière de sécurité dans votre organisation, le volume des identités des machines augmente, ce qui crée des points d'entrée supplémentaires pour les pirates et les logiciels malveillants.
Le rapport 2022 sur l'état de l'identité des machines de l'Institut Ponemon (dont nous tirons les statistiques ci-dessous, sauf indication contraire) révèle les données les plus récentes sur la complexité de la gestion de l'identité des machines.
Qu'est-ce que l'identité des machines ?
Les identités des machines sont les clés numériques, les secrets et les certificats qui établissent la validité des transactions numériques. Elles comprennent les certificats X.509, SSH et les clés de chiffrement, et des certificats de signature de code pour une communication sécurisée entre les serveurs et les VMS, les postes de travail, les scripts et les bots, les applications, les services, etc.
L'infrastructure à clé publique explose
Avec l'adoption du travail à distance, des services basés sur le cloud, IoTet initiatives de confiance zérole nombre et l'importance des clés publiques et des certificats utilisés par les organisations augmentent rapidement. L'époque où une ou deux autorités de certification se trouvaient derrière les quatre murs du centre de données est révolue, et la gestion des identités des machines est en train d'évoluer. la gestion des identités des machines doit être au premier plan de votre posture de sécurité. Dans le Gartner Hype Cycle for IAM en 2021, la vice-présidente directrice de Gartner, Tricia Phillips, a déclaré :
"La transformation numérique a entraîné une explosion du nombre de machines - telles que les charges de travail, le code, les applications et les conteneurs - qui doivent s'identifier et communiquer."
Les éléments les plus courants de PKI sont les suivants :
- Privé interne PKI software (AD CS, EJBCA, etc.)
- PKI géré ou fourni par SaaS (EJBCA SaaS, PKIaaS, etc.)
- Certificats auto-signés (OpenSSL)
- Émetteurs de certificats intégrés (Kubernetes, HashiCorp Vault, etc.)
- Service d'AC privée fourni par un fournisseur de services en nuage
- Service d'AC publique (DigiCert, Entrust, Let's Encrypt, etc.)
S'assurer que les identités des machines sont protégées devient une tâche coûteuse et chronophage. La majorité des organisations déclarent que l'utilisation croissante des clés et des certificats a considérablement augmenté la charge opérationnelle de leurs équipes informatiques et qu'elles s'inquiètent de l'augmentation de la charge de travail et du risque de pannes dus à la réduction de la durée de vie des certificats TLS .
En outre, plus de la moitié des organisations interrogées déclarent qu'elles ne savent même pas exactement combien de clés et de certificats elles possèdent.
Les risques de l'identification des machines et de la prolifération de PKI
Si elles sont négligées, les identités des machines peuvent créer d'énormes lacunes dans votre sécurité, car toute vulnérabilité peut permettre à un acteur de la menace de se déplacer latéralement d'un système à d'autres sur le réseau.
Au cours des deux dernières années, plus de 95 % des organisations ont été confrontées à ces trois types de problèmes. les trois des trois problèmes suivants liés à PKI:*
- Échecs d'audit : Constatations d'audit inattendues dues à des lacunes dans la gestion des clés et des certificats sur le site PKI.
- Compromission de l'identification de la machine : Vol ou utilisation abusive des clés par erreur, par un initié malveillant ou par un acteur de menace externe.
- Pannes de certificat : Défaillance d'une application ou d'un service en raison d'un certificat expiré ou non suivi.
La douleur des pannes de certificat
Parce qu'elles peuvent entraîner l'arrêt des opérations, les pannes de certificatont tendance à faire l'objet de la plus grande attention. Près de 40 % des pannes nécessitent plus de quatre heures pour être identifiées et résolues, ce qui peut être coûteux et nuire à la réputation d'une entreprise. La panne de Let's Encrypt en septembre 2021, par exemple, a affecté les opérations de grandes entreprises telles que Cisco, Birmingham, Birmingham, Birmingham, etc. les opérations de grandes entreprises telles que Cisco, Palo Alto, Bluecoat, AWS, Auth0, Fortinet, Herokuet d'autres.
Mais les pannes ne sont que la partie émergée de l'iceberg, indiquant des risques plus importants sous la surface qui doivent être traités, y compris les processus manuels, les certificats "wildcardune cryptographie faible et des autorités de certification mal configurées ou exposées.
Les machines prennent le pouvoir
"Le nombre de machines (charges de travail et appareils) dépasse désormais celui des humains d'un ordre de grandeur, et les organisations doivent mettre en place des outils et des processus pour contrôler ces identités". - Gartner : Managing Machine Identities, Secrets, Keys and Certificates, Erik Wahlstrom, 16 mars 2022
Si vous n'avez pas l'impression de bien comprendre comment sécuriser votre infrastructure à clé publique, vous n'êtes pas le seul :
- 50 % des entreprises ne disposent pas d'un personnel suffisant pour s'occuper de leurs activités. PKI
- 42% des entreprises utilisent encore des feuilles de calcul pour assurer le suivi manuel des certificats numériques.
- 59% des entreprises n'ont pas de gestion centralisée des identifiants SSH
- 50% des entreprises n'ont pas de politiques formelles ou de contrôles d'accès pour les clés de signature de code
En outre, environ 40 % des organisations n'ont qu'une stratégie PKI limitée à des applications ou des cas d'utilisation spécifiques, et 16 % n'ont pas de stratégie du tout.
Comment aborder le problème
1. Commencer par la visibilité
Vous devez savoir quels certificats vous utilisez pour les sécuriser efficacement. La découverte et la création d'un inventaire de vos certificats et autorités de certification vous permettront de savoir lesquels sont les plus prioritaires.
- Utiliser plusieurs sources de données
- Triangulation des points de données
- Comprendre les informations clés, notamment l'émetteur, le propriétaire, l'utilisation/l'application, l'approbateur, etc.
2. Établir la propriété
Créez un groupe de travail interfonctionnel pour définir la propriété des outils, des processus et de la stratégie et pour assurer la supervision et combler les lacunes entre les unités opérationnelles. Définissez ensuite les identités des machines pour votre organisation, identifiez les cas d'utilisation de votre site PKI et des identifiants des machines, et analysez votre "tissu d'identités" ou votre ensemble d'outils existants.
3. Simplifier et consolider
Plus il y a d'identités et de sources d'information, plus il y a de possibilités d'erreurs et/ou de vulnérabilités. Une fois que vous avez une bonne idée des outils de gestion PKI à votre disposition, réduisez-les. Posez-vous des questions telles que
- "Ai-je besoin de 5 déploiements différents de PKI et de CA ?
- "Dois-je consulter trois sources différentes pour suivre les certificats ?
- "Ai-je besoin d'outils distincts pour gérer les identités X.509 et SSH ?
- "Tous les développeurs ont-ils besoin d'une clé de signature de code ?
4. Préparer le terrain
Vous devez définir des politiques et des bonnes pratiques pour votre infrastructure à clé publique.
- Sensibiliser les équipes à l'importance de PKI et des certificats numériques
- Définir et diffuser des lignes directrices sur les meilleures pratiques
- Renforcer les bonnes habitudes et abandonner les certificats auto-signés et les certificats wildcard
- Élaborer des stratégies pour prendre les bonnes décisions en matière d'outillage pour l'avenir
5. Passer d'une stratégie Ops à une stratégie SecOps
La plupart des équipes de sécurité consacrent au moins 50 % de leur temps à des tâches de maintenance et d'exploitation. La clé est d'automatiser, d'automatiser, d'automatiser. L'automatisation réduit les risques liés à l'erreur humaine et à la mauvaise configuration et garantit que vous pouvez évoluer avec les nouvelles demandes. En outre, l'automatisation permet l'intégration avec les flux de travail DevOps et cloud existants.
6. Se préparer à la crypto-agilité
Les menaces de sécurité s'adaptent rapidement aux contrôles de sécurité, vous devez donc être prêt à vous adapter tout aussi rapidement. Pour maintenir les opérations et prévenir les incidents liés à PKI, vous devez vous former en permanence et maintenir un système de crypto-agile de sécurité crypto-agile :
- Évaluer les crypto-clés, les algorithmes et les bibliothèques cryptographiques existants
- Planifier le passage à de nouvelles clés et de nouveaux algorithmes à l'échelle de l'entreprise
- Automatiser et tester les processus pour préparer la réponse aux incidents
- Suivre les progrès des algorithmes PQC
Obtenir le rapport complet de Ponemon
Consultez le rapport de l'Institut Ponemon Institute's 2022 State Machine Identity Management du Ponemon Institute pour rester informé des dernières données et analyses en matière de cybersécurité. En disposant d'une analyse approfondie du paysage des menaces pour PKI et les identifiants de machines, vous pouvez prendre des décisions éclairées sur les mesures de sécurité à mettre en place pour assurer la sécurité de votre organisation et lui permettre de fonctionner à pleine capacité.
