Waarom verlopen certificaten een groter securityrisico worden?

Spotify-gebruikers hebben dit voorjaar een securityissue ervaren dat ook voor bedrijven een groter risico begint te worden. Ze konden urenlang niet meer naar hun podcasts luisteren omdat een TLS-certificaat van de streamingaanbieder was verlopen. Deze certificaten, 'machine-identiteiten', vormen de basis voor het vertrouwen in de online wereld en worden een steeds grotere uitdaging om te kunnen managen. Digitale transformatieprojecten leiden namelijk tot een enorme uitbreiding van het aantal machine-identiteiten in de hele wereld. Dat is slecht nieuws voor de securityteams die verantwoordelijk zijn voor het dagelijkse beheer ervan. Als er maar één verloopt, kan er al chaos en imagoschade ontstaan.

Spotify is natuurlijk niet de eerste online serviceverlener die op deze wijze negatief wordt beïnvloed en zal ook zeker niet de laatste zijn. Er is een duidelijke trend zichtbaar: organisaties hebben een efficiëntere, geautomatiseerde manier nodig om de tienduizenden in gebruik zijnde identiteiten te beheren, als ze hun cybersecurity en servicebeschikbaarheid willen garanderen en optimaliseren.

Kostbare uitdaging

Terwijl de identiteit van mensen al decennia wordt geverifieerd en beveiligd via gebruikersnamen en wachtwoorden, gebruiken machine-identiteiten digitale sleutels en certificaten om alle informatie te valideren die tussen apparaten wordt gecommuniceerd. Ze worden ook gebruikte om de toegang van DevOps-tools en webtransacties te beveiligen, softwarecode te verifiëren en veilige externe toegang tot netwerken mogelijk te maken. Maar wat gebeurt er als zo’n identiteit verloopt? Een storing door een verlopen certificaat, zoals bij Spotify, leidt tot downtime en securityrisico's totdat het is opgelost.

Verlopen certificaten kunnen grote schade veroorzaken. Hoeveel precies staat ter discussie, omdat nauwkeurige data maar beperkt beschikbaar is. In een oud Gartner-onderzoek schat men de kosten op $ 5.600 per minuut IT-downtime. In een recenter onderzoek van ITIC  staat dat slechts één uur server-downtime in totaal $ 300.000+ kost voor 91% procent van de ondervraagde ondernemingen. Meer dan twee vijfde (44%) van de respondenten zei dat een uur zelfs ruim $ 1 miljoen kost. Om nog maar te zwijgen over de impact van een slechte klantervaring, lagere medewerkersproductiviteit, verstoring van de supply chain en andere gevolgen die uit een CIO-onderzoek naar voren kwamen.

Snelgroeiend aantal machine-identiteiten

Het slechte nieuws is dat het beheren van alle machine-identiteiten een grotere uitdaging wordt voor securityteams, als gevolg van een wildgroei aan digitale initiatieven. Uit een onderzoek blijkt dat tweederde (65%) van de ondervraagde bedrijven tijdens de pandemie hun uitgaven voor technologie hebben verhoogd. Ze investeerden in IoT-systemen om bedrijfsprocessen te ondersteunen, laptops en mobiele apparaten voor de hybride werknemers en zowel nieuwe interne als klantgerichte apps en websites om de gebruikerservaringen te verbeteren. Verder helpen in de cloud API’s en containers om DevOps en meer businessflexibiliteit te faciliteren. Al die nieuwe activa en digitale initiatieven vertrouwen volledig op machine-identiteiten voor de beveiliging.

Uit onderzoek naar het toenemend aantal digitale transformatie initiatieven blijkt dat bedrijven eind 2021 gemiddeld al bijna 250.000 machine-identiteiten gebruikten. Ook wordt er voorspeld dat deze voorraad tot zo’n 500.000 verdubbeld in 2024. Met zoveel digitale certificaten om uit te geven en te beheren, is het niet verrassend dat er af en toe eentje tussendoor schiet en onopgemerkt verloopt.

De beheeruitdaging neemt ook verder toe door ontwikkelingen in de markt. Populaire browsers eisen tegenwoordig namelijk dat organisaties hun machine-identiteit elk jaar veranderen, wat de roulatiefrequentie van certificaten gaat versnellen. Tevens geeft Let's Encrypt, momenteel 's werelds grootste certificeringsinstantie (CA), en enkele anderen alleen nog machine-identiteiten uit voor 90 dagen. Door certificaten sneller te vernieuwen is de schade door gehackte of verkeerd uitgegeven certificaten te beperken. Als securityteams de certificaatvernieuwingen vaker moeten afdwingen neemt echter ook de kans toe dat een vervaldatum wordt vergeten. Behalve het grotere risico op servicestoringen is een website dan kwetsbaarder voor man-in-the-middle- en phishing-aanvallen.

Certificaten geautomatiseerd beheren

Vele (tien)duizenden certificaten zijn niet meer handmatig te beheren. Zelfs bedrijven met beperkte digitale transformatieplannen zullen al snel merken dat het aantal benodigde sleutels en certificaten exponentieel toeneemt. De beste aanpak voor deze secrurityuitdaging is te investeren in een managementoplossing die het geautomatiseerd beheren van alle gebruikte machine-identiteiten tijdens hun volledige levensduur mogelijk maakt.

Intelligente automatisering levert organisaties en hun securityteams waardevolle voordelen op. Allereerst zijn ze te benutten om op een intuïtieve wijze alle bedrijfscertificaten te ontdekken in cloud-, virtuele en fysieke activa, en deze daarna te catalogiseren in een gecentraliseerde repository. Dat levert een realtime inzicht op. Vervolgens zijn controletools te gebruiken om geautomatiseerd de naleving van securitypolicies te verifiëren. Dus ervoor zorgen dat alle certificaten de juiste eigenaren, attributen en configuraties hebben, ongeacht welke CA ze heeft uitgegeven. Tenslotte en belangrijk voor de risicoreductie van verlopen geldigheidsdata, kunnen securityteams alle certificaten continu bewaken, waarschuwingen ontvangen als een certificaat bijna verloopt en automatisch verlengen.

Het binnen enkele seconden proactief kunnen installeren, configureren en valideren van certificaten voordat ze verlopen, reduceert zowel het securityrisico als de mogelijke financiële en imagoschade door een uitval. Zo’n geautomatiseerde beheeroplossing helpt securityprofessionals ook meer tijd te besteden aan werkzaamheden met een strategischere waarde. In een periode dat securitytalent schaarser wordt is dat misschien nog wel de belangrijkste reden om het beheren van alle machine-identiteiten zo efficiënt en slim mogelijk te automatiseren.

Kevin Bocek is Vice President of Security Strategy & Threat Intelligence bij Venafi