Waarom verlopen certificaten een groter securityrisico worden?

Kevin Bocek-400

Spotify-gebruikers hebben dit voorjaar een securityissue ervaren dat ook voor bedrijven een groter risico begint te worden. Ze konden urenlang niet meer naar hun podcasts luisteren omdat een TLS-certificaat van de streamingaanbieder was verlopen. Deze certificaten, 'machine-identiteiten', vormen de basis voor het vertrouwen in de online wereld en worden een steeds grotere uitdaging om te kunnen managen. Digitale transformatieprojecten leiden namelijk tot een enorme uitbreiding van het aantal machine-identiteiten in de hele wereld. Dat is slecht nieuws voor de securityteams die verantwoordelijk zijn voor het dagelijkse beheer ervan. Als er maar één verloopt, kan er al chaos en imagoschade ontstaan.

Spotify is natuurlijk niet de eerste online serviceverlener die op deze wijze negatief wordt beïnvloed en zal ook zeker niet de laatste zijn. Er is een duidelijke trend zichtbaar: organisaties hebben een efficiëntere, geautomatiseerde manier nodig om de tienduizenden in gebruik zijnde identiteiten te beheren, als ze hun cybersecurity en servicebeschikbaarheid willen garanderen en optimaliseren.

Kostbare uitdaging

Terwijl de identiteit van mensen al decennia wordt geverifieerd en beveiligd via gebruikersnamen en wachtwoorden, gebruiken machine-identiteiten digitale sleutels en certificaten om alle informatie te valideren die tussen apparaten wordt gecommuniceerd. Ze worden ook gebruikte om de toegang van DevOps-tools en webtransacties te beveiligen, softwarecode te verifiëren en veilige externe toegang tot netwerken mogelijk te maken. Maar wat gebeurt er als zo’n identiteit verloopt? Een storing door een verlopen certificaat, zoals bij Spotify, leidt tot downtime en securityrisico's totdat het is opgelost.

Verlopen certificaten kunnen grote schade veroorzaken. Hoeveel precies staat ter discussie, omdat nauwkeurige data maar beperkt beschikbaar is. In een oud Gartner-onderzoek schat men de kosten op $ 5.600 per minuut IT-downtime. In een recenter onderzoek van ITIC  staat dat slechts één uur server-downtime in totaal $ 300.000+ kost voor 91% procent van de ondervraagde ondernemingen. Meer dan twee vijfde (44%) van de respondenten zei dat een uur zelfs ruim $ 1 miljoen kost. Om nog maar te zwijgen over de impact van een slechte klantervaring, lagere medewerkersproductiviteit, verstoring van de supply chain en andere gevolgen die uit een CIO-onderzoek naar voren kwamen.

Snelgroeiend aantal machine-identiteiten

Het slechte nieuws is dat het beheren van alle machine-identiteiten een grotere uitdaging wordt voor securityteams, als gevolg van een wildgroei aan digitale initiatieven. Uit een onderzoek blijkt dat tweederde (65%) van de ondervraagde bedrijven tijdens de pandemie hun uitgaven voor technologie hebben verhoogd. Ze investeerden in IoT-systemen om bedrijfsprocessen te ondersteunen, laptops en mobiele apparaten voor de hybride werknemers en zowel nieuwe interne als klantgerichte apps en websites om de gebruikerservaringen te verbeteren. Verder helpen in de cloud API’s en containers om DevOps en meer businessflexibiliteit te faciliteren. Al die nieuwe activa en digitale initiatieven vertrouwen volledig op machine-identiteiten voor de beveiliging.

Uit onderzoek naar het toenemend aantal digitale transformatie initiatieven blijkt dat bedrijven eind 2021 gemiddeld al bijna 250.000 machine-identiteiten gebruikten. Ook wordt er voorspeld dat deze voorraad tot zo’n 500.000 verdubbeld in 2024. Met zoveel digitale certificaten om uit te geven en te beheren, is het niet verrassend dat er af en toe eentje tussendoor schiet en onopgemerkt verloopt.

De beheeruitdaging neemt ook verder toe door ontwikkelingen in de markt. Populaire browsers eisen tegenwoordig namelijk dat organisaties hun machine-identiteit elk jaar veranderen, wat de roulatiefrequentie van certificaten gaat versnellen. Tevens geeft Let's Encrypt, momenteel 's werelds grootste certificeringsinstantie (CA), en enkele anderen alleen nog machine-identiteiten uit voor 90 dagen. Door certificaten sneller te vernieuwen is de schade door gehackte of verkeerd uitgegeven certificaten te beperken. Als securityteams de certificaatvernieuwingen vaker moeten afdwingen neemt echter ook de kans toe dat een vervaldatum wordt vergeten. Behalve het grotere risico op servicestoringen is een website dan kwetsbaarder voor man-in-the-middle- en phishing-aanvallen.

Certificaten geautomatiseerd beheren

Vele (tien)duizenden certificaten zijn niet meer handmatig te beheren. Zelfs bedrijven met beperkte digitale transformatieplannen zullen al snel merken dat het aantal benodigde sleutels en certificaten exponentieel toeneemt. De beste aanpak voor deze secrurityuitdaging is te investeren in een managementoplossing die het geautomatiseerd beheren van alle gebruikte machine-identiteiten tijdens hun volledige levensduur mogelijk maakt.

Intelligente automatisering levert organisaties en hun securityteams waardevolle voordelen op. Allereerst zijn ze te benutten om op een intuïtieve wijze alle bedrijfscertificaten te ontdekken in cloud-, virtuele en fysieke activa, en deze daarna te catalogiseren in een gecentraliseerde repository. Dat levert een realtime inzicht op. Vervolgens zijn controletools te gebruiken om geautomatiseerd de naleving van securitypolicies te verifiëren. Dus ervoor zorgen dat alle certificaten de juiste eigenaren, attributen en configuraties hebben, ongeacht welke CA ze heeft uitgegeven. Tenslotte en belangrijk voor de risicoreductie van verlopen geldigheidsdata, kunnen securityteams alle certificaten continu bewaken, waarschuwingen ontvangen als een certificaat bijna verloopt en automatisch verlengen.

Het binnen enkele seconden proactief kunnen installeren, configureren en valideren van certificaten voordat ze verlopen, reduceert zowel het securityrisico als de mogelijke financiële en imagoschade door een uitval. Zo’n geautomatiseerde beheeroplossing helpt securityprofessionals ook meer tijd te besteden aan werkzaamheden met een strategischere waarde. In een periode dat securitytalent schaarser wordt is dat misschien nog wel de belangrijkste reden om het beheren van alle machine-identiteiten zo efficiënt en slim mogelijk te automatiseren.

 

Kevin Bocek is Vice President of Security Strategy & Threat Intelligence bij Venafi

 

Lees ook
Driekwart van de Nederlandse bedrijven ziet directie als de belangrijkste voorvechter van beveiliging

Driekwart van de Nederlandse bedrijven ziet directie als de belangrijkste voorvechter van beveiliging

Nieuw onderzoek van Rackspace Technology laat zien wat de impact van de wereldwijde bedreigingen voor de IT-omgeving in de afgelopen vijf jaar is geweest op de relatie tussen IT-beveiligingsteams en directies van organisaties.

DCC Nederland presenteert innovatieve PAM-oplossing van Senhasegura op Cyber Security & Cloud Expo 2022

DCC Nederland, een Value Added Distributeur met oplossingen voor netwerkbeheer en -beveiliging, presenteert tijdens de Cyber Security & Cloud Expo, die plaatsvindt op 20 en 21 september in de RAI te Amsterdam, de innovatieve Privileged Access Management (PAM)-oplossing van Senhasegura. CIO’s, CISO’s en IT-beheerders leren tijdens een informatieve sessie hoe zij hun organisaties kunnen beschermen tegen gegevensdiefstal, onder meer door de handelingen van beheerders te volgen voor netwerken, servers, databases en apparaten.

KPN Security maakt programma NLSecure[ID] bekend

KPN Security maakt programma NLSecure[ID] bekend

Kennisdeling is cruciaal om de digitale weerbaarheid van Nederland te vergroten. Daarom organiseert KPN Security op 20 september voor de vijfde keer NLSecure[ID], hét event voor de Nederlandse securitycommunity. Het hoofdthema van de aankomende editie is ‘Let’s be prepared!’.