Public Key Infrastructure (PKI) er et system af processer, teknologier og politikker til kryptering og signering af data. Det spiller en væsentlig rolle i autentificering af brugere, servere, enheder, software og digitale dokumenter. Alligevel kæmper virksomheder med det stigende antal PKI-certifikater, de skal administrere, og mange overvejer PKI-automatisering for at løse dette problem, ifølge en ny DigiCert-rapport.
Rapporten, “State of PKI Automation 2021,” udforsker, hvordan organisationer håndterer udfordringen med PKI-certifikatstyring. Udløbne certifikater er et problem, fordi de deaktiverer kryptering og skaber en angrebsoverflade for hackere. DigiCert bestilte ReRez Research til at undersøge it-ledere fra 400 globale organisationer med 1.000 ansatte eller mere. Undersøgelsen fokuserede på specialister, der administrerer digitale certifikater til brugere, servere og mobile enheder.
Rapporten afslørede, at nutidens organisationer administrerer mere end 50.000 certifikater, en stejl stigning fra tidligere år. Mere end halvdelen (61 procent) er bekymrede over den tid, det tager at administrere certifikater. Ifølge 37 procent af de adspurgte har deres organisation tre eller flere afdelinger, der administrerer certifikater, hvilket skaber siloer, der skjuler certifikater fra it-sikkerhedsteams, indtil noget går galt.
Mange ikke-administrerede nøgler er derude
En typisk organisation har så mange som 1.200 certifikater, der ikke er administreret, mens 47 procent af organisationerne siger, at de ofte opdager useriøse certifikater. Rogue-certifikater er i bund og grund en form for skygge-it, certifikater, der er bestilt uden for IT-området eller -processer, og som ofte forsømmes og ikke administreres. Det giver store problemer for organisationer, såsom udfald på grund af uventet udløb af certifikater, som to tredjedele af de adspurgte har oplevet. Endnu mere bekymrende er det, at hver fjerde organisation har oplevet fem til seks PKI-relaterede afbrydelser inden for de seneste seks måneder.
Organisationer, der kæmper med PKI-certifikatstyring, mangler overblik over deres certifikatimplementeringslandskab og har brug for PKI-automatisering. Faktisk tænker de fleste organisationer (91 procent) over det. Kun 9 procent af de adspurgte diskuterer ikke PKI-automatisering og har ingen planer om at gøre det. For 70 procent af de adspurgte vil en løsning sandsynligvis blive implementeret inden for 12 måneder. En fjerdedel af respondenterne er enten ved at implementere eller er færdige med at implementere en løsning.
For at måle, hvordan virksomheder nærmer sig PKI-automatisering, opdelte DigiCert respondenterne i grupper af ledere og efternøler. Resultaterne viste store forskelle mellem de to grupper. Ikke overraskende er 33 procent af dem i lederkategorien mere tilbøjelige til at sige, at PKI-automatisering er vigtig.
Når de dykkede dybere ned i dataene, fandt rapporten, at lederne er to eller tre gange bedre til at reducere PKI-sikkerhedsrisici, undgå PKI-nedetid, minimere useriøse certifikater, administrere digitale certifikater og opfylde PKI-serviceniveauaftaler (SLA'er). I modsætning hertil oplever efternølerne – dem, der ikke er dygtige til at administrere PKI-certifikater – problemer med overholdelse, sikkerhed og forsinkelser. De er også mindre produktive, overanstrengte og taber omsætning.
Indhold i useriøse certifikater
Desuden er PKI-ledelsesledere mere ansvarlige for deres certifikatbeholdninger, hvorimod efternøler er mindre bekymrede. Ved sammenligning af de to grupper rapporterede lederne om færre certifikatrelaterede udfald eller useriøse certifikater.
Selvom de fleste organisationer mener, at PKI-automatisering er vigtig, er overgangen ikke let. Respondenterne nævnte flere udfordringer relateret til automatisering, såsom omkostninger, kompleksitet, compliance og modstand mod forandringer fra personale og ledelse. Derfor anbefaler DigiCert organisationer at tage flere vigtige trin for at vurdere deres PKI-certifikathåndtering før automatisering. Organisationer bør:
Identificere og oprette en fortegnelse over hele certifikatlandskabet, fra TLS til kodesignering og klientcertifikater.
Remedier nøgler og certifikater, der ikke overholder virksomhedens politikker.
Beskyt med bedste praksis for udstedelse og tilbagekaldelse. Standardiser og automatiser tilmelding, udstedelse og fornyelse.
Overvåg for nye ændringer.
Fælles certifikatarbejdsgange omfatter webservere, enhedsidentitet, kodesignering, digitale signaturer og identitets- og adgangsfunktioner. Ved automatisering af certifikatarbejdsgange anbefaler DigiCert, at organisationer skal identificere ikke-administrerede eller manuelle certifikatarbejdsgange, anvende automatiseringssoftware, der centraliserer og administrerer certifikatarbejdsgange, og endelig overvåge med centraliseret synlighed og kontrol af arbejdsgangene.
Data Management | Sikkerheds-tv | CXO | Datacentre