Public Key Infrastructure (PKI) är ett system av processer, teknologier och policyer för kryptering och signering av data. Det spelar en viktig roll för att autentisera användare, servrar, enheter, programvara och digitala dokument. Ändå kämpar företag med det växande antalet PKI-certifikat de måste hantera, och många överväger PKI-automatisering för att lösa detta problem, enligt en ny DigiCert-rapport.
Rapporten “State of PKI Automation 2021” utforskar hur organisationer hanterar utmaningen med PKI-certifikathantering. Utgångna certifikat är ett problem eftersom de inaktiverar kryptering och skapar en attackyta för hackare. DigiCert gav ReRez Research i uppdrag att kartlägga IT-ledare från 400 globala organisationer med 1 000 anställda eller fler. Undersökningen fokuserade på specialister som hanterar digitala certifikat för användare, servrar och mobila enheter.
Rapporten avslöjade att dagens organisationer hanterar mer än 50 000 certifikat, en kraftig ökning från tidigare år. Mer än hälften (61 procent) är oroliga över den tid det tar att hantera certifikat. Enligt 37 procent av de tillfrågade har deras organisation tre eller fler avdelningar som hanterar certifikat, vilket skapar silos som döljer certifikat från IT-säkerhetsteam tills något går fel.
Många ohanterade nycklar finns där
En typisk organisation har så många som 1 200 certifikat som inte hanteras, medan 47 procent av organisationerna säger att de ofta upptäcker oseriösa certifikat. Rogue certifikat är i huvudsak en form av skugg-IT, certifikat som beställs utanför IT-området eller processerna och ofta försummas och inte hanteras. Detta orsakar stora problem för organisationer, som avbrott på grund av att certifikat oväntat löper ut, vilket två tredjedelar av de tillfrågade har upplevt. Ännu mer oroande är att en av fyra organisationer har upplevt fem till sex PKI-relaterade avbrott under de senaste sex månaderna.
Organisationer som kämpar med PKI-certifikathantering saknar insyn i sitt certifikatutrullningslandskap och behöver PKI-automatisering. Faktum är att de flesta organisationer (91 procent) tänker på det. Endast 9 procent av de tillfrågade diskuterar inte PKI-automation och har inga planer på att göra det. För 70 procent av de tillfrågade kommer sannolikt en lösning att implementeras inom 12 månader. En fjärdedel av respondenterna implementerar antingen eller har implementerat en lösning färdigt.
För att bedöma hur företag närmar sig PKI-automatisering, delade DigiCert upp respondenterna i grupper av ledare och eftersläpande. Resultaten visade stora skillnader mellan de två grupperna. Inte överraskande är det mer sannolikt att 33 procent av dem i kategorin ledare säger att PKI-automatisering är viktig.
När de dykte djupare in i data fann rapporten att ledarna är två eller tre gånger bättre på att minska PKI-säkerhetsrisker, undvika PKI-stopptid, minimera oseriösa certifikat, hantera digitala certifikat och uppfylla PKI-servicenivåavtal (SLA). Däremot upplever eftersläpningarna – de som inte är skickliga på att hantera PKI-certifikat – problem med efterlevnad, säkerhet och förseningar. De är också mindre produktiva, överarbetade och förlorar intäkter.
Tjusar in oseriösa certifikat
Dessutom är PKI-ledningsledare mer ansvariga för sina certifikatinventeringar, medan eftersläpande är mindre bekymrade. När man jämförde de två grupperna rapporterade ledarna färre certifikatrelaterade avbrott eller oseriösa certifikat.
Även om de flesta organisationer anser att PKI-automatisering är viktig, är övergången inte lätt. Respondenterna nämnde flera utmaningar relaterade till automatisering, såsom kostnad, komplexitet, efterlevnad och motstånd mot förändringar från personal och ledning. Det är därför DigiCert rekommenderar organisationer att ta flera viktiga steg för att utvärdera sin PKI-certifikathantering innan automatisering. Organisationer bör:
Identifiera och skapa en inventering av hela certifikatlandskapet, från TLS till kodsignering och klientcertifikat.
Åtgärda nycklar. och certifikat som inte följer företagets policyer.
Skydda med bästa praxis för utfärdande och återkallelse. Standardisera och automatisera registrering, utfärdande och förnyelse.
Övervaka efter nya ändringar.
Vanliga certifikatarbetsflöden inkluderar webbservrar, enhetsidentitet, kodsignering, digitala signaturer samt identitets- och åtkomstfunktioner. Vid automatisering av certifikatarbetsflöden rekommenderar DigiCert att organisationer ska identifiera ohanterade eller manuella certifikatarbetsflöden, anta automatiseringsprogram som centraliserar och hanterar certifikatarbetsflöden, och slutligen övervaka med centraliserad synlighet och kontroll av arbetsflödena.
Datahantering | Säkerhets-TV | CXO | Datacenter