Meer prioriteit voor certificaat- en sleutelmanagement

venafi-r1-105mm-x-148mm

Het snelgroeiend gebruik van digitale certificaten en encryptie biedt kansen en bedreigingen. Kansen voor bedrijven en consumenten om zich beter te beschermen tegen cybercriminaliteit. Bedreigingen omdat criminelen dezelfde technologie kunnen benutten om onzichtbaar aan te vallen. Venafi’s Chief Security Strategist Kevin Bocek pleit ervoor certificaten en encryptiesleutels meer prioriteit te geven op de agenda van ICT- en securityverantwoordelijken, onder andere voor DevOps-ontwikkelingen.

Verkeerde, verlopen en nagemaakte certificaten

De laatste jaren worden steeds meer securityincidenten veroorzaakt door verkeerde, verlopen of nagemaakte certificaten. Zo is Symantec onlangs nog op de vingers getikt vanwege het uitgeven van ruim 100 verkeerde certificaten van juli 2016 tot januari 2017. Daarmee hebben ze de integriteit van versleuteld en geauthentiseerd Internetverkeer in diskrediet gebracht. “Meerdere CA’s, waaronder GlobalSign, Symantec en WoSign, hebben de afgelopen jaren kostbare fouten veroorzaakt met het uitgeven van certificaten”, licht Bocek toe. “Een trend die de komende jaren gaat toenemen door de groei van het Internet of Things, omdat fabrikanten voor hele series apparaten dezelfde certificaten gebruiken. Tegelijkertijd groeit op het dark web tevens de handel in nagemaakte certificaten.”

Voor zowel commerciële als non-profit organisaties is het belangrijk zichzelf en alle (klant)relaties beter te gaan beschermen tegen securityincidenten veroorzaakt door digitale certificaten en sleutels. Dat kan alleen als men in staat is ongeautoriseerde certificaten snel te ontdekken en te vervangen, of indien nodig van CA te veranderen. “Als organisaties van één CA afhankelijk zijn kunnen de gevolgen van een securityincident groot zijn, zoals onder andere bij het Nederlandse Diginotar is gebleken”, vervolgt Bocek. “Een ander voorbeeld is het vervangen van 9000 certificaten door GoDaddy omdat die door een softwarebug niet goed waren gevalideerd. Al deze incidenten ondermijnen het vertrouwen in digitale certificaten, waarop de Internet-security voor alle organisaties en mensen is gefundeerd.”

Achterdeurtjes, malware en ransomware

Andere grote veroorzakers van cybersecurityincidenten zijn alle achterdeurtjes in mobiele apps, desktopapplicaties, webservices en beveiligingsoplossingen en natuurlijk malware en ransomware. Wanneer de ontwikkelaar van soft- en hardware via een achterdeurtje toegang creëert tot de eigen producten, is het slechts een kwestie van tijd voordat cybercriminelen, ethische hackers en nationale veiligheidsdiensten dat ook kunnen. Achterdeurtjes leiden dus vrijwel altijd tot securityincidenten. De meeste organisaties hebben al decennialang securityoplossingen in gebruik die ze daartegen zouden moeten beschermen. Inderdaad ‘zouden moeten’, want als ICT-systemen en securityoplossingen zelf zwakheden bevatten, wordt elke gebruiker daarvan onbewust en ongewild kwetsbaar.

Een actueel achterdeurtje is de toegang van Facebook tot alle versleutelde Whatsapp-communicatie. Hoewel Facebook het bestaan daarvan ontkent, krijgen veel mensen het gevoel: waar rook is, is vuur. “Vanwege het grote aantal gebruikers is de kans op misbruik van een kwetsbaarheid in Whatsapp’s encryptie enorm”, zegt Bocek. “Gezien verschillende reacties hierover lijkt het slecht managen van alle encryptiesleutels een risico te zijn. Dit potentiële beveiligingslek in een app die meer dan een miljard mensen dagelijks gebruikt, moet voor bedrijven een duidelijke waarschuwing zijn voor de mogelijke businessimpact. Daar kan men zich alleen tegen beschermen met een systeem dat encryptiesleutels effectief beschermt of snel geautomatiseerd vervangt bij een incident.”

Kortere ontwikkel- en implementatiecycli

kevin-bocek-venafi-206x300 Kevin Bocek

Securityverantwoordelijken staan dagelijks voor de uitdaging om zowel hun beveiligingsfundering te versterken als zo snel mogelijk te reageren op een toenemend aantal cyberincidenten. Tegelijkertijd verandert het ontwikkellandschap voor IT-toepassingen sterk, waardoor nieuwe risico’s ontstaan. Bedrijven hebben anno 2017 behoefte aan IT-services en -omgevingen die schaalbaar en snel zijn. Oftewel Amazon AWS-achtige functionaliteit en snelheid, voor de interne en externe IT-toepassingen. Om die behoefte in te vullen implementeren steeds meer bedrijven processen en tools voor tijdelijk te gebruiken virtuele machines, containers en micro-services, in plaats van oplossingen met een lange levenscyclus. Die ‘snelle’ toepassingen moeten echter wel de centrale security ondersteunen.

“Voor het snel kunnen implementeren van nieuwe ICT-toepassingen is een nauwe samenwerking tussen ontwikkeling en beheer nodig, afgekort als DevOps”, vervolgt Bocek. “Op DevOps-projecten worden aparte teams gezet, die zoveel mogelijk gebruik maken van bestaande automatiseringstools. Dezelfde aanpak is voor de security te gebruiken, namelijk een apart team voor het versterken en beheren van de aanwezige beveiligingsoplossingen en een SWAT-team dat direct kan reageren op incidenten. Daarbij is het noodzakelijk dat alle digitale sleutels en certificaten geautomatiseerd worden beheerd in een oplossing zoals het Venafi Trust Protection Platform. Dan kunnen securityverantwoordelijken namelijk alle policies centraal definiëren voor het gebruik ervan door de DevOps-teams.”

Snelle security voor snelle IT

Venafi’s Trust Protection platform biedt organisaties de mogelijkheid alle voordelen van snelle IT te benutten, zonder de beveiliging ervan in gevaar te brengen. Securityverantwoordelijken kunnen daarin centraal alle benodigde policies definiëren via de Venafi API, om DevOps te helpen correct gebruik te maken van securitypolicies en ‘best practices’. Oftewel voor DevOps faciliteren vanaf het begin ingebouwde security toe te passen. Daarvoor biedt het platform als voordelen:

  • Unieke sleutels en certificaten zijn binnen seconden uit te geven
  • Hetzelfde centrale platform is zowel te gebruiken door DevOps-teams als securityverantwoordelijken en systeembeheerders
  • Eenduidig inzicht in de securitypositie en -compliance via integratie met helpdesksystemen en SIM/SIEM-omgevingen
  • Geautomatiseerde sanering en nieuwe uitrol bij veranderende policies en standaarden
  • Automatische meldingen over gedetecteerde afwijkingen binnen of buiten de organisatie
  • Vrijwel ongelimiteerde schaalbaarheid zonder extra administratieve overhead