Public Key Infrastructure (PKI) is een systeem van processen, technologieën en beleid voor het versleutelen en ondertekenen van gegevens. Het speelt een essentiële rol bij de authenticatie van gebruikers, servers, apparaten, software en digitale documenten. Toch worstelen bedrijven met het groeiende aantal PKI-certificaten dat ze moeten beheren, en velen overwegen PKI-automatisering om dit probleem aan te pakken, volgens een nieuw DigiCert-rapport.
Het rapport 'State of PKI Automation 2021' onderzoekt hoe organisaties omgaan met de uitdaging van PKI-certificaatbeheer. Verlopen certificaten vormen een probleem omdat ze codering uitschakelen en een aanvalsoppervlak voor hackers creëren. DigiCert heeft ReRez Research opdracht gegeven om IT-leiders van 400 wereldwijde organisaties met 1.000 werknemers of meer te onderzoeken. Het onderzoek richtte zich op specialisten die digitale certificaten beheren voor gebruikers, servers en mobiele apparaten.
Uit het rapport bleek dat de organisaties van vandaag meer dan 50.000 certificaten beheren, een sterke stijging ten opzichte van voorgaande jaren. Meer dan de helft (61 procent) maakt zich zorgen over de tijd die nodig is om certificaten te beheren. Volgens 37 procent van de respondenten heeft hun organisatie drie of meer afdelingen die certificaten beheren, waardoor silo's ontstaan die certificaten verbergen voor IT-beveiligingsteams totdat er iets misgaat.
Er zijn veel onbeheerde sleutels
Een typische organisatie heeft maar liefst 1.200 certificaten die niet worden beheerd, terwijl 47 procent van de organisaties zegt vaak frauduleuze certificaten te ontdekken. Rogue-certificaten zijn in wezen een vorm van schaduw-IT, certificaten die buiten de bevoegdheid of processen van IT worden besteld en vaak worden verwaarloosd en niet beheerd. Dit zorgt voor grote problemen voor organisaties, zoals uitval door onverwacht verlopen certificaten, waar tweederde van de respondenten mee te maken heeft gehad. Nog verontrustender is dat een op de vier organisaties in de afgelopen zes maanden vijf tot zes PKI-gerelateerde storingen heeft gehad.
Organisaties die worstelen met PKI-certificaatbeheer hebben geen inzicht in hun certificaatimplementatielandschap en hebben PKI-automatisering nodig. Sterker nog, de meeste organisaties (91 procent) denken erover na. Slechts 9 procent van de respondenten heeft het niet over PKI-automatisering en is ook niet van plan dit te doen. Voor 70 procent van de respondenten is een oplossing waarschijnlijk binnen 12 maanden geïmplementeerd. Een kwart van de respondenten implementeert of is klaar met het implementeren van een oplossing.
Om te peilen hoe bedrijven PKI-automatisering benaderen, heeft DigiCert de respondenten opgedeeld in groepen leiders en achterblijvers. De resultaten toonden grote verschillen tussen de twee groepen. Het is niet verrassend dat 33 procent van degenen in de categorie leiders eerder zegt dat PKI-automatisering belangrijk is.
Toen we dieper in de gegevens duiken, bleek uit het rapport dat de leiders twee of drie keer beter zijn in het verminderen van PKI-beveiligingsrisico's, het vermijden van PKI-downtime, het minimaliseren van frauduleuze certificaten, het beheren van digitale certificaten en het voldoen aan PKI-service level agreements (SLA's). Daarentegen ervaren de achterblijvers – degenen die niet bekwaam zijn in het beheren van PKI-certificaten – problemen met compliance, beveiliging en vertragingen. Ze zijn ook minder productief, overwerkt en lopen inkomsten mis.
Rogue certificaten in toom houden
Bovendien zijn PKI-managementleiders meer verantwoordelijk voor hun certificaatinventarissen, terwijl achterblijvers zich minder zorgen maken. Bij het vergelijken van de twee groepen rapporteerden de leiders minder certificaatgerelateerde storingen of frauduleuze certificaten.
Hoewel de meeste organisaties PKI-automatisering belangrijk vinden, is de overgang niet eenvoudig. Respondenten noemden verschillende uitdagingen met betrekking tot automatisering, zoals kosten, complexiteit, naleving en weerstand tegen verandering door personeel en management. Daarom raadt DigiCert organisaties aan een aantal belangrijke stappen te nemen om hun PKI-certificaatbeheer voorafgaand aan automatisering te beoordelen. Organisaties moeten:
Identificeren en maken een inventaris van het gehele certificaatlandschap, van TLS tot code-ondertekening en clientcertificaten.
Sleutels herstellen en certificaten die niet voldoen aan het bedrijfsbeleid.
Bescherm met best practices voor uitgifte en intrekking. Standaardiseer en automatiseer inschrijving, uitgifte en verlenging.
Controleer op nieuwe wijzigingen.
Veelgebruikte certificaatworkflows omvatten webservers, apparaatidentiteit, code-ondertekening, digitale handtekeningen en identiteits- en toegangsfuncties. Bij het automatiseren van certificaatworkflows raadt DigiCert organisaties aan om onbeheerde of handmatige certificaatworkflows te identificeren, automatiseringssoftware te gebruiken die de certificaatworkflows centraliseert en beheert, en ten slotte te monitoren met gecentraliseerde zichtbaarheid en controle van de workflows.
Gegevensbeheer | Beveiliging TV | CXO | Datacenters