Alles draait om crypto agility
Om als bedrijf te gedijen in de digitale wereld zijn het internet en de machines die er verbinding mee maken van cruciaal belang. Maar naarmate het aantal aangesloten apparaten verder blijft toenemen, wordt ook het aanvalsoppervlak voor cybercriminelen steeds breder en neemt het risico op falen toe. Voor security- en IT operations-teams wordt het hierdoor steeds lastiger om IT-omgevingen veilig te houden. Net als mensen zullen machines - of het nu gaat om een algoritme, een stuk software of hardware, of een verbinding met de cloud - een identiteit moeten hebben om andere machines te laten zien wie zij zeggen te zijn. ‘Crypto agility’ wordt hierbij de sleutel tot succes.
Authenticatie van machine-identiteiten is vaak gebaseerd op digitale certificaten. Deze worden uitgegeven door Certificate Authorities (CA). Sinds het ontstaan van het internet is dit idee in feite onveranderd gebleven. Door recente verstoringen in de vertrouwensrelatie tussen CA’s en web browsers kunnen organisaties er echter niet langer van uitgaan dat hun vertrouwde CA er zal zijn om hun machines te beschermen. Nu er veranderingen aan de gang zijn, hebben organisaties behoefte aan wat we ook wel ‘crypto agility’ noemen. Dit is de mogelijkheid om het gebruik van certificaten binnen hun organisatie in realtime te beheren. Gebeurt dit niet, dan kunnen bedrijven te maken krijgen met grote verstoringen van de bedrijfsvoering, productiestoringen en risico’s voor de veiligheid en integriteit van klantgegevens. Hoe kan deze crypto agility worden bereikt?
CA’s in verwarring
Certificate Authorities geven ieder jaar miljoenen certificaten uit. Daarmee bieden zij de identiteiten die machines in staat stellen om op een veilige manier informatie uit te wisselen via het internet. Een CA geeft een certificaat uit om aan te geven dat het bedrijf echt is, dat het zijn webverbinding heeft beveiligd en dat een klant op die website moet kunnen vertrouwen. Zonder certificaten mislukt de communicatie tussen machines onderling. Als een certificaat gecompromitteerd is, kan deze communicatie gekaapt worden, waardoor hackers naar deze privé-communicatie kunnen luisteren en de kostbare gegevens kunnen stelen.
Maar ook CA’s leven in onzekere tijden. Dit jaar zijn we al getuige geweest van verschillende problemen rond CA’s die de beveiliging van certificaten hebben beïnvloed. In maart verstuurde de reseller van certificaten Trustico per ongeluk de privé-sleutels met betrekking tot 23.000 HTTPS-certificaten per e-mail. Dit betekende dat alle certificaten binnen 24 uur moesten worden ingetrokken. De betrokken websites waren hiermee in feite nutteloos gemaakt, totdat er een nieuw certificaat zou worden uitgegeven. In april begon Google Chrome met het ‘wantrouwen’ van Symantec-certificaten, nadat deze firma onbetrouwbare certificaten bleek uit te geven. Circa 103.000 Symantec-certificaten van de top 1 miljoen sites zoals Alexa deze in kaart brengt, zullen dit jaar na de lancering van Chrome 70 volledig zijn verwijderd.
Helaas zijn dit soort zaken geen geïsoleerde gevallen. Bedrijven en andere organisaties moeten zich ervan bewust zijn dat het verkrijgen van een certificaat niet de laatste stap is om een website te beveiligen. Sterker nog, het is eerder het begin. Deze gevallen suggereren een verandering waarbij bedrijven en consumenten niet langer blindelings kunnen vertrouwen op een certificaat dat ze de ene dag hebben gekocht. Of dat een certificaat dat ze vandaag gebruiken morgen ook nog veilig is. Bedrijven zullen daarom snel moeten handelen om klantgegevens en bedrijfscontinuïteit te beschermen. Voor veel organisaties is dat echter gemakkelijker gezegd dan gedaan.
Behoefte aan crypto-agility
De CA is van cruciaal belang voor bedrijfsactiviteiten. Als een CA niet meer beschikbaar is of onbetrouwbaar wordt bevonden, dan zijn alle certificaten die deze heeft afgegeven ongeldig. Een website met een verlopen certificaat of een niet naar behoren functionerend certificaat zal ofwel een beveiligingswaarschuwing tonen wanneer een klant deze bezoekt, of de browser zal de toegang tot de site beperken. Hierdoor wordt het verkeer op de site verminderd en komt de reputatie van het betrokken bedrijf in gevaar. Bovendien geldt dat als de gecompromitteerde website afhankelijk is van betalingstransacties van gebruikers, de bankgegevens van duizenden klanten kunnen worden blootgesteld aan aanvallers. Het daaropvolgende wantrouwen van klanten kan een blijvende impact hebben op het succes van een bedrijf.
Onder dit soort omstandigheden hebben organisaties crypto agility nodig om gecompromitteerde certificaten te vervangen, in te trekken en te vernieuwen. Dit moet dus in realtime kunnen gebeuren. Probleem is alleen wel dat veel bedrijven niet weten hoeveel certificaten ze in gebruik hebben, laat staan waar deze zich bevinden. Daarmee weten zij dus ook niet of zij al deze certificaten binnen enkele seconden kunnen vinden en vervangen. Studies laten hierover ronduit alarmerende resultaten zien. Hooguit een kwart van de organisaties heeft er vertrouwen in dat zij inderdaad snel gecompromitteerde certificaten kunnen vinden en vervangen. Anders gezegd: meer dan driekwart van de organisaties brengen dus hun reputatie en hun klantgegevens in gevaar.
In 3 stappen naar crypto-agility
Het is voor bedrijven van groot belang om een plan te hebben dat aangeeft wat zij moeten doen als een CA gecompromitteerd lijkt te zijn. Bovendien is het belangrijk om niet van een CA afhankelijk te zijn. Organisaties moeten flexibel genoeg zijn om een certificaat te verwijderen, te wijzigen of toe te voegen op het moment van kennisgeving van problemen. Om dit te doen, moeten bedrijven drie belangrijke stappen zetten om ervoor te zorgen dat de identiteit van de machine wordt beschermd:
Wees je bewust van het probleem - Om het belang van sleutels en certificaten te begrijpen, moet het beheer van certificaten openlijk worden besproken. Bedrijven moeten zich inspannen om zich te informeren over wat een CA is, waarom certificaten zo belangrijk zijn en welke CA’s ze gebruiken. Zij moeten dan op de hoogte blijven van veranderingen in het landschap
Reageer snel en efficiënt - Bewustwording van veranderende regelgeving en mogelijke herroeping is een ding, maar bedrijven moeten snel en flexibel kunnen reageren op deze veranderingen. Hierbij is een vooruitziende blik nodig. We moeten precies weten wanneer nieuwe certificaten moeten worden vervangen, vernieuwd of uitgegeven.
Automatiseer het gehele proces - De laatste en misschien wel meest belangrijke stap is dat bedrijven investeren in een geloofwaardige technologie om de opvolging van certificaten te automatiseren. Het is niet langer haalbaar om dit handmatig te doen, daarvoor hebben we simpelweg te veel certificaten in gebruik. Dankzij deze technologie zullen ze snel kunnen vaststellen waar de certificaten zich bevinden en welke CA ze heeft uitgegeven voordat ze verlopen.
Met zoveel externe factoren in het spel is crypto agility nog nooit zo belangrijk geweest. Om een bedrijf in staat te stellen zichzelf en zijn klanten met vertrouwen te beschermen tegen cybercriminelen, moeten ze wendbaar zijn bij het reageren op veranderingen. De financiële resultaten en klantloyaliteit van de organisatie zijn in gevaar, tenzij bedrijven zich bewust worden van de externe factoren die van invloed zijn op de beveiliging van certificaten. Crypto agility en het automatiseren van de recatie op problemen rond certificaten zijn hierbij van cruciaal belang.
Mike Dodson is Global Head of Security Architects van Venafi