Zwakke sleutels en verouderd machine-identiteitsbeheer ondermijnen TLSv1.3 adoptie

Zwakke sleutels en verouderd machine-identiteitsbeheer ondermijnen TLSv1.3 adoptie

Venafi maakt de resultaten bekend van een onderzoek door security- en TLS-expert, Scott Helme. Het crawler rapport, dat gesponsord is door Venafi, evalueert het gebruik van encryptie in de top één miljoen sites in de wereld over de afgelopen zes maanden. Daaruit blijkt onder andere dat er behoefte is aan een oplossing om het beheer van machine-identiteiten in de steeds complexere cloud-omgevingen te automatiseren. Het onderzoek toont aan dat er op enkele gebieden vooruitgang is geboekt, maar dat nog meer voorlichting nodig is om ervoor te zorgen dat machine-identiteiten op de meest doeltreffende wijze worden gebruikt voor het beschermen van de online wereld.

Belangrijke onderzoeksresultaten

  • Het gebruik van TLSv1.2 is de afgelopen zes maanden met 13% gedaald, terwijl v1.3 in gebruik is bij bijna 50% van de onderzochte sites - ruim twee keer zoveel sites als v1.2. De v1.3-adoptie wordt gedreven door digitale transformatie-initiatieven, cloudmigratie en cloud-native stacks die standaard v1.3 gebruiken.
  • Hoewel organisaties sterkere TLS-protocollen invoeren, verzuimen ze dit te koppelen aan een overstap naar sterkere sleutels voor TLS-machine-identiteiten.
  • Industriestandaard ECDSA-sleutels worden nu door slechts 17% van de websites gebruikt - tegenover 14% zes maanden geleden. Langzamere, minder veilige RSA-sleutels worden nog steeds gebruikt door 39% van de top één miljoen websites.
  • De groei in het gebruik van HTTPS heeft zich gestabiliseerd op 72%, hetzelfde als in december.

Let's Encrypt blijft de voorkeur Certificaat Autoriteit (CA) voor de top één miljoen, maar Cloudflare is terrein aan het goedmaken. Deze toename lijkt de drijvende kracht achter de invoering van TLSv1.3 te zijn, waarbij 50% van de websites die v1.3 gebruiken dit via Cloudflare doen. De daling in het gebruik van Extended Validation (EV) certificaten heeft zich ook doorgezet, met een daling van 16% in de laatste zes maanden, na een verandering van browserfabrikanten die de waarde van EV-certificaten voor website-eigenaren drastisch hebben verminderd.

De analyse bevat goed nieuws. Alle data laat zien dat organisaties meer stappen ondernemen om hun machine-identiteitsomgevingen te beheren. Sinds december is er tevens een toename van 13% in het aantal sites dat gebruik maakt van Certificate Authority Authorization (CAA), wat bedrijven in staat stelt een lijst van goedgekeurde CA's op te stellen die binnen hun organisaties gebruikt mogen worden. De adoptie van deze controle is een positief teken dat organisaties zich bewust lijken van het belang van machine-identiteiten voor hun beveiliging en waakzamer zijn in de manier waarop zij deze beheren.

"Het feit dat bedrijven TLS v1.3 implementeren met machine-identiteiten die RSA-sleutels gebruiken, toont aan dat er nog veel vooruitgang te boeken valt met machine-identiteitsmanagement. Een sterk algoritme betekent namelijk weinig als het wordt gebruikt in combinatie met een zwakke sleutel - het is net zoiets als een stenen fort bouwen maar de houten poort onbeschermd laten," legt Scott Helme uit, beveiligingsonderzoeker en oprichter van Report URI. "De adoptie van modernere, efficiëntere en veiligere EDCSA-sleutels is de afgelopen zes maanden verwaarloosbaar geweest. Dit, in combinatie met het feit dat de adoptie van HTTPS de afgelopen zes maanden is gestagneerd, laat zien dat het internet niet veiliger is dan het een half jaar geleden was. Cybercriminelen zijn continu bezig de lat hoger te leggen, dus het is ontmoedigend om te zien dat bedrijven dit voorbeeld niet volgen."

"De recente hausse in cloudmigraties betekent dat elk bedrijf veel meer TLS-machine-identiteiten nodig heeft om alle communicatie tussen apparaten, clouds, software, containers en API's te beveiligen", zegt Kevin Bocek, vice president security strategy and threat intelligence bij Venafi. "Het feit dat steeds meer bedrijven gebruik maken van CAA's is een positief teken dat bedrijven aandacht krijgen voor de noodzaak van machine-identiteitsmanagement. De adoptie van CAA's onderstreept ook de dringende behoefte aan een ‘control plane’ voor machine-identiteitsmanagement, die het gebruik van machine-identiteiten in steeds complexere cloudomgevingen kan automatiseren."

Lees meer over dit onderzoek op: https://www.venafi.com/blog/top-1-million-analysis-june-2022

Lees ook
WatchGuard: gevaarlijkste dreiging komt exclusief via versleutelde verbindingen

WatchGuard: gevaarlijkste dreiging komt exclusief via versleutelde verbindingen

De gevaarlijkste dreiging van Q3 in 2022 werd uitsluitend via versleutelde verbindingen gedetecteerd. Daarnaast zijn adversary-in-the-middle-aanvallen (ook bekend als man-in-the-middle-aanvallen) steeds meer gemeengoed. Dat concludeert WatchGuard Technologies in zijn nieuwste Internet Security Report. Ook de aanvallen op industriële controlesystem1

Genetec publiceert ‘2022 State of Physical Security Report’

Genetec publiceert ‘2022 State of Physical Security Report’

Genetec Inc. (“Genetec”), een toonaangevende technologie-leverancier van oplossingen voor unified security, openbare veiligheid, operations en business intelligence, heeft de resultaten gepubliceerd van haar ‘2022 State of Physical Security Report’.

Senhasegura erkend als CVE Numbering Authority (CNA)

Senhasegura erkend als CVE Numbering Authority (CNA)

Senhasegura, leverancier van de gelijknamige, bekroonde privileged access management (PAM) oplossing, kondigt vandaag aan dat het door het CVE Program is erkend als een CVE Numbering Authority (CNA). Als CNA kan Senhasegura CVE's toewijzen aan kwetsbaarheden in zijn eigen producten. Senhasegura maakt nu deel uit van een elitegroep van CNA-organisa1