Public Key Infrastructure (PKI) er et system med prosesser, teknologier og retningslinjer for kryptering og signering av data. Det spiller en viktig rolle i autentisering av brukere, servere, enheter, programvare og digitale dokumenter. Likevel sliter bedrifter med det økende antallet PKI-sertifikater de må administrere, og mange vurderer PKI-automatisering for å løse dette problemet, ifølge en ny DigiCert-rapport.
Rapporten «State of PKI Automation 2021» utforsker hvordan organisasjoner håndterer utfordringen med PKI-sertifikatadministrasjon. Utløpte sertifikater er et problem fordi de deaktiverer kryptering og skaper en angrepsoverflate for hackere. DigiCert ga ReRez Research i oppdrag å kartlegge IT-ledere fra 400 globale organisasjoner med 1000 ansatte eller mer. Undersøkelsen fokuserte på spesialister som administrerer digitale sertifikater for brukere, servere og mobile enheter.
Rapporten avslørte at dagens organisasjoner administrerer mer enn 50 000 sertifikater, en kraftig økning fra tidligere år. Mer enn halvparten (61 prosent) er bekymret for tiden det tar å administrere sertifikater. Ifølge 37 prosent av respondentene har organisasjonen deres tre eller flere avdelinger som administrerer sertifikater, noe som lager siloer som skjuler sertifikater fra IT-sikkerhetsteam til noe går galt.
Mange uadministrerte nøkler er der ute
En typisk organisasjon har så mange som 1200 sertifikater som ikke er administrert, mens 47 prosent av organisasjonene sier de ofte oppdager useriøse sertifikater. Rogue sertifikater er i hovedsak en form for skygge-IT, sertifikater som bestilles utenfor IT-området eller -prosesser og ofte blir neglisjert og ikke administrert. Dette skaper store problemer for organisasjoner, som avbrudd på grunn av uventet utløp av sertifikater, noe to tredjedeler av respondentene har opplevd. Enda mer urovekkende er det at én av fire organisasjoner har opplevd fem til seks PKI-relaterte avbrudd i løpet av de siste seks månedene.
Organisasjoner som sliter med PKI-sertifikatadministrasjon mangler innsyn i sertifikatdistribusjonslandskapet og trenger PKI-automatisering. Faktisk tenker de fleste organisasjoner (91 prosent) på det. Bare 9 prosent av de spurte diskuterer ikke PKI-automatisering og har ingen planer om å gjøre det. For 70 prosent av de spurte vil en løsning trolig bli implementert innen 12 måneder. En fjerdedel av respondentene enten implementerer eller er ferdig med å implementere en løsning.
For å måle hvordan bedrifter nærmer seg PKI-automatisering, delte DigiCert respondentene inn i grupper av ledere og etternølere. Resultatene viste store forskjeller mellom de to gruppene. Ikke overraskende er det mer sannsynlig at 33 prosent av de i lederkategorien sier at PKI-automatisering er viktig.
Når de dykket dypere inn i dataene, fant rapporten at lederne er to eller tre ganger bedre til å redusere PKI-sikkerhetsrisikoer, unngå PKI-nedetid, minimere useriøse sertifikater, administrere digitale sertifikater og oppfylle PKI-tjenestenivåavtaler (SLAer). Derimot opplever etternølerne – de som ikke er dyktige til å administrere PKI-sertifikater – problemer med overholdelse, sikkerhet og forsinkelser. De er også mindre produktive, overarbeidede og taper inntekter.
Tømmer falske sertifikater
Videre er PKI-ledere mer ansvarlige for sertifikatbeholdningen sin, mens etternølere er mindre bekymret. Når de sammenlignet de to gruppene, rapporterte lederne færre sertifikatrelaterte avbrudd eller useriøse sertifikater.
Selv om de fleste organisasjoner mener PKI-automatisering er viktig, er overgangen ikke lett. Respondentene nevnte flere utfordringer knyttet til automatisering, som kostnad, kompleksitet, etterlevelse og motstand mot endringer fra ansatte og ledelse. Det er derfor DigiCert anbefaler organisasjoner å ta flere viktige skritt for å vurdere PKI-sertifikatadministrasjonen før automatisering. Organisasjoner bør:
Identifisere og opprette en beholdning av hele sertifikatlandskapet, fra TLS til kodesignering og klientsertifikater.
Utbedre nøkler. og sertifikater som ikke er i samsvar med bedriftens retningslinjer.
Beskytt med beste praksis for utstedelse og tilbakekall. Standardiser og automatiser påmelding, utstedelse og fornyelse.
Overvåk for nye endringer.
Vanlige sertifikatarbeidsflyter inkluderer webservere, enhetsidentitet, kodesignering, digitale signaturer og identitets- og tilgangsfunksjoner. Når du automatiserer sertifikatarbeidsflyter, anbefaler DigiCert at organisasjoner bør identifisere uadministrerte eller manuelle sertifikatarbeidsflyter, ta i bruk automatiseringsprogramvare som sentraliserer og administrerer sertifikatarbeidsflyter, og til slutt overvåke med sentralisert synlighet og kontroll over arbeidsflytene.
Databehandling | Sikkerhets-TV | CXO | Datasentre