Voorkom storingen door verlopen certificaten en sleutels in drie stappen

Kevin Bocek, vice president Security Strategy & Threat Intelligence van Venafi

Er zijn weinig situaties die tot meer frustratie en stress leiden dan een computer- of softwarestoring. Toch zorgen die al decennialang voor problemen en productiviteitsverlies, zoals tijdens de onbereikbare services van Google, Apple en Salesforce. Steeds meer organisaties proberen storingen te voorkomen door hun flexibiliteit en schaalbaarheid te vergroten via de cloud. Daar komen ze echter ook voor, met mogelijk catastrofale gevolgen.  

Het kostbaarste gevolg van computer- en softwarestoringen is het directe omzetverlies. Retailers verliezen namelijk orders als de webwinkel offline is. Verder kan een storing lange termijn imagoschade veroorzaken. Nadat Salesforce in mei tijdelijk onbereikbaar was vroegen klanten zich af of ze dat bedrijf nog wel konden vertrouwen. In sterk concurrerende markten hebben klanten meerdere alternatieven. Meer dan de helft van alle bedrijven die tijdelijk onbereikbaar zijn door storingen verliest klanten.

Behalve verlies van klanten kunnen storingen ook operationele gevolgen hebben. Zoals het missen van deadlines, informatieverlies en vertragingen in de communicatie. Met als gevolg noodzakelijk overwerk tegen hogere arbeidskosten. Voor Global 5000 bedrijven heeft het Ponemon-instituut de kosten voor een gemiddelde storing op circa 15 miljoen Euro berekend. Een belangrijke veroorzaker van storingen waarvan bedrijven zich nog amper bewust zijn, is het verlopen van digitale certificaten!

Aantal storingen gaat toenemen

Elk IP-apparaat, variërend van mobiele telefoons tot bedrijfsservers, heeft een geldig certificaat en encryptiesleutel nodig om te kunnen functioneren. Dat zijn namelijk de ‘paspoorten’ voor hardware en software om elkaar te vertrouwen tijdens het communiceren en verwerken van online transacties.  Daarmee wordt alle e-commerce business en andere digitale transacties ondertekend. Door het snel toenemend aantal applicaties, servers en met Internet verbonden apparaten, groeit het aantal gebruikte certificaten de laatste jaren explosief. Niemand introduceert namelijk nog een applicatie die niet uniek te onderscheiden is van door hackers ontwikkelde softwaretools.

Gezien het snelgroeiend aantal gebruikte certificaten en encryptiesleutels worstelen steeds meer organisaties met het operationele beheer en de bescherming van hun waardevolste digitale assets. Omdat deze uit veiligheidsoverwegingen maar tijdelijk geldig zijn, houden apps en apparaten na verloop van tijd spontaan op met werken als ze niet tijdig worden vernieuwd. Daarbij speelt mee dat het proces van aanvragen, uitgifte, vernieuwing en installatie vrij complex is. Zelfs Microsoft Azure heeft dat enkele jaren geleden ervaren.

Bedrijven ondervinden zo’n twee keer per jaar een grote storing als gevolg van verlopen certificaten. Dat is begrijpelijk gezien het feit dat uit onderzoek onder IT-securityprofessionals blijkt dat er gemiddeld 16.500 onbekende digitale certificaten en encryptiesleutels binnen grote organisaties in gebruik zijn. Naarmate men meer apparaten, applicaties en cloud-services uitrolt neemt het risico op storingen dus verder toe, tenzij de oorzaak wordt aangepakt. Bedrijven met verlopen certificaten weten evenmin welke communicatie wel en niet te vertrouwen is, waardoor ze inbraakgevoelig worden.

Inzicht en grip krijgen

In de meeste organisaties wordt het eigendom en gebruik van digitale certificaten niet centraal beheerd, waardoor men die (deels) vergeet totdat het verlopen ervan een storing veroorzaakt. Door het groeiend aantal gebruikte certificaten, wordt het steeds moeilijker alle expiratiedata in de gaten te houden. In de meeste situaties begint dit probleem met ontbrekend inzicht. Stel dat bedrijf X een leverancier inhuurt voor het ontwerpen van een webapp. Om deze te kunnen gebruiken is een certificaat nodig die de leverancier bijvoorbeeld bij GoDaddy betrekt, zonder X daarover te informeren. Als de leverancier na oplevering van zijn webapp vertrekt laat die bij wijze van spreken een tikkende tijdbom achter.

Om storingen en scenario’s zoals hiervoor beschreven te voorkomen, is het belangrijk inzicht en grip te krijgen op alle gebruikte digitale certificaten en encryptiesleutels. Dat kan via drie eenvoudige stappen:

  1. Ken uw infrastructuur – dit lijkt vanzelfsprekend, maar is cruciaal om storingen te voorkomen. Een groot bedrijf gebruikt gemiddeld ruim 23.000 certificaten, zodat ze elk apparaat en software variërend van smartphone-apps tot backoffice-toepassingen, webservices en POS-systemen, moeten analyseren op certificaatgebruik. Dat is een uitdaging die door het toenemend aantal apparaten complexer wordt. Kennis van de ICT-infrastructuur en continu monitoren van alle veranderingen is echter de basis voor het voorkomen van storingen door verlopen certificaten.
  1. Neem verantwoording – na inzicht verwerven in het gebruik van elk certificaat en sleutel is het belangrijk verantwoording te nemen voor het operationele beheer ervan. Door tijdig te reageren op meldingen over expiratiedata en elke verandering. Anders treden ern a verloop van tijd alsnog storingen op. Omdat de meeste organisaties al snel honderden tot vele duizenden certificaten in spreadsheets beheren, lopen ze een grote kans dan de beheerder een fout maakt.
  1. Automatiseer – na het definiëren en invoeren van policies voor certificaatbeheer en -vervanging is het belangrijk die processen te automatiseren. Daardoor worden alle certificaten en sleutels automatisch gegenereerd en vervangen door betrouwbare CA’s en zowel veilig geïnstalleerd als gevalideerd. Met als gevolg dat fouten worden voorkomen. Automatisering verkleint zowel de kans op menselijke vergissingen, als de benodigde beheerkosten. Met automatisering vergroot men tevens op een veilige wijze de schaalbaarheid tot duizenden of meer dan 100.000 sleutels.

Automatisering van het certificaat- en sleutelbeheer kan bedrijven letterlijk van de ondergang redden. Onlangs zorgde een fout bij CA GlobalSign ervoor dat browsers alle uitgegeven certificaten niet meer vertrouwden. Met een automatiseringsoplossing kan een organisaties eenvoudig en snel de door GlobalSign voorgestelde oplossing implementeren of de niet-vertrouwde certificaten vervangen door andere. Zonder een automatiseringoplossing kan zo’n fout tot dagenlange chaos leiden, omdat men eerst moet uitzoeken welke certificaten en sleutels waarvoor worden gebruikt. Terwijl klanten ondertussen geen toegang hebben tot de betreffende online services.

Menselijke fouten zijn nooit volledig uit te sluiten en sommige storingen evenmin. Omdat de gevolgen en kosten zo groot zijn, moeten organisaties alle mogelijke voorzorgsmaatregelen treffen om langdurig onbereikbaar te zijn. Zolang het gebruik van certificaten en encryptiesleutels niet is geautomatiseerd, neemt men elke dag het risico dat één van de duizenden zonder voorafgaande melding verloopt.

Kevin Bocek is Vice President Security Strategy & Threat Intelligence bij Venafi

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *