Waarom verlopen certificaten een groter securityrisico worden?

Kevin Bocek-400

Spotify-gebruikers hebben dit voorjaar een securityissue ervaren dat ook voor bedrijven een groter risico begint te worden. Ze konden urenlang niet meer naar hun podcasts luisteren omdat een TLS-certificaat van de streamingaanbieder was verlopen. Deze certificaten, 'machine-identiteiten', vormen de basis voor het vertrouwen in de online wereld en worden een steeds grotere uitdaging om te kunnen managen. Digitale transformatieprojecten leiden namelijk tot een enorme uitbreiding van het aantal machine-identiteiten in de hele wereld. Dat is slecht nieuws voor de securityteams die verantwoordelijk zijn voor het dagelijkse beheer ervan. Als er maar één verloopt, kan er al chaos en imagoschade ontstaan.

Spotify is natuurlijk niet de eerste online serviceverlener die op deze wijze negatief wordt beïnvloed en zal ook zeker niet de laatste zijn. Er is een duidelijke trend zichtbaar: organisaties hebben een efficiëntere, geautomatiseerde manier nodig om de tienduizenden in gebruik zijnde identiteiten te beheren, als ze hun cybersecurity en servicebeschikbaarheid willen garanderen en optimaliseren.

Kostbare uitdaging

Terwijl de identiteit van mensen al decennia wordt geverifieerd en beveiligd via gebruikersnamen en wachtwoorden, gebruiken machine-identiteiten digitale sleutels en certificaten om alle informatie te valideren die tussen apparaten wordt gecommuniceerd. Ze worden ook gebruikte om de toegang van DevOps-tools en webtransacties te beveiligen, softwarecode te verifiëren en veilige externe toegang tot netwerken mogelijk te maken. Maar wat gebeurt er als zo’n identiteit verloopt? Een storing door een verlopen certificaat, zoals bij Spotify, leidt tot downtime en securityrisico's totdat het is opgelost.

Verlopen certificaten kunnen grote schade veroorzaken. Hoeveel precies staat ter discussie, omdat nauwkeurige data maar beperkt beschikbaar is. In een oud Gartner-onderzoek schat men de kosten op $ 5.600 per minuut IT-downtime. In een recenter onderzoek van ITIC  staat dat slechts één uur server-downtime in totaal $ 300.000+ kost voor 91% procent van de ondervraagde ondernemingen. Meer dan twee vijfde (44%) van de respondenten zei dat een uur zelfs ruim $ 1 miljoen kost. Om nog maar te zwijgen over de impact van een slechte klantervaring, lagere medewerkersproductiviteit, verstoring van de supply chain en andere gevolgen die uit een CIO-onderzoek naar voren kwamen.

Snelgroeiend aantal machine-identiteiten

Het slechte nieuws is dat het beheren van alle machine-identiteiten een grotere uitdaging wordt voor securityteams, als gevolg van een wildgroei aan digitale initiatieven. Uit een onderzoek blijkt dat tweederde (65%) van de ondervraagde bedrijven tijdens de pandemie hun uitgaven voor technologie hebben verhoogd. Ze investeerden in IoT-systemen om bedrijfsprocessen te ondersteunen, laptops en mobiele apparaten voor de hybride werknemers en zowel nieuwe interne als klantgerichte apps en websites om de gebruikerservaringen te verbeteren. Verder helpen in de cloud API’s en containers om DevOps en meer businessflexibiliteit te faciliteren. Al die nieuwe activa en digitale initiatieven vertrouwen volledig op machine-identiteiten voor de beveiliging.

Uit onderzoek naar het toenemend aantal digitale transformatie initiatieven blijkt dat bedrijven eind 2021 gemiddeld al bijna 250.000 machine-identiteiten gebruikten. Ook wordt er voorspeld dat deze voorraad tot zo’n 500.000 verdubbeld in 2024. Met zoveel digitale certificaten om uit te geven en te beheren, is het niet verrassend dat er af en toe eentje tussendoor schiet en onopgemerkt verloopt.

De beheeruitdaging neemt ook verder toe door ontwikkelingen in de markt. Populaire browsers eisen tegenwoordig namelijk dat organisaties hun machine-identiteit elk jaar veranderen, wat de roulatiefrequentie van certificaten gaat versnellen. Tevens geeft Let's Encrypt, momenteel 's werelds grootste certificeringsinstantie (CA), en enkele anderen alleen nog machine-identiteiten uit voor 90 dagen. Door certificaten sneller te vernieuwen is de schade door gehackte of verkeerd uitgegeven certificaten te beperken. Als securityteams de certificaatvernieuwingen vaker moeten afdwingen neemt echter ook de kans toe dat een vervaldatum wordt vergeten. Behalve het grotere risico op servicestoringen is een website dan kwetsbaarder voor man-in-the-middle- en phishing-aanvallen.

Certificaten geautomatiseerd beheren

Vele (tien)duizenden certificaten zijn niet meer handmatig te beheren. Zelfs bedrijven met beperkte digitale transformatieplannen zullen al snel merken dat het aantal benodigde sleutels en certificaten exponentieel toeneemt. De beste aanpak voor deze secrurityuitdaging is te investeren in een managementoplossing die het geautomatiseerd beheren van alle gebruikte machine-identiteiten tijdens hun volledige levensduur mogelijk maakt.

Intelligente automatisering levert organisaties en hun securityteams waardevolle voordelen op. Allereerst zijn ze te benutten om op een intuïtieve wijze alle bedrijfscertificaten te ontdekken in cloud-, virtuele en fysieke activa, en deze daarna te catalogiseren in een gecentraliseerde repository. Dat levert een realtime inzicht op. Vervolgens zijn controletools te gebruiken om geautomatiseerd de naleving van securitypolicies te verifiëren. Dus ervoor zorgen dat alle certificaten de juiste eigenaren, attributen en configuraties hebben, ongeacht welke CA ze heeft uitgegeven. Tenslotte en belangrijk voor de risicoreductie van verlopen geldigheidsdata, kunnen securityteams alle certificaten continu bewaken, waarschuwingen ontvangen als een certificaat bijna verloopt en automatisch verlengen.

Het binnen enkele seconden proactief kunnen installeren, configureren en valideren van certificaten voordat ze verlopen, reduceert zowel het securityrisico als de mogelijke financiële en imagoschade door een uitval. Zo’n geautomatiseerde beheeroplossing helpt securityprofessionals ook meer tijd te besteden aan werkzaamheden met een strategischere waarde. In een periode dat securitytalent schaarser wordt is dat misschien nog wel de belangrijkste reden om het beheren van alle machine-identiteiten zo efficiënt en slim mogelijk te automatiseren.

 

Kevin Bocek is Vice President of Security Strategy & Threat Intelligence bij Venafi

 

Lees ook
Fortinet lanceert Fortigate 90G, deze bevat de nieuwe Security Processor 5

Fortinet lanceert Fortigate 90G, deze bevat de nieuwe Security Processor 5

Fortinet kondigt de FortiGate 90G aan. Dit is de eerste Secure SD-WAN-appliance en next-generation firewall die is uitgerust met de nieuwe Security Processor 5 (SP5). Deze ASIC biedt energie-efficiëntie en prestaties tegen een concurrerende prijs.

Inzichten uit de wereld van cybersecurity: maak security awareness topprioriteit

Inzichten uit de wereld van cybersecurity: maak security awareness topprioriteit

Het is onbetwistbaar dat cybersecurity voor alle organisaties en sectoren noodzakelijk is. De toenemende digitalisering binnen het bedrijfsleven en de overheid biedt niet alleen nieuwe mogelijkheden en kansen, het zorgt ook voor nieuwe kwetsbaarheden. Een fabrikant die binnen zijn toevoerketen IoT-apparaten met het internet verbindt, verleent hier1

Dynatrace rapport: observability moet gecombineerd worden met security

Dynatrace rapport: observability moet gecombineerd worden met security

Europese CISO’s vinden het steeds moeilijker om hun software veilig te houden, naarmate hun hybride en multicloud-omgevingen complexer worden en teams blijven vertrouwen op handmatige processen. Daardoor wordt de kans vergroot dat kwetsbaarheden in productieomgevingen binnensluipen. Dit is een van de belangrijkste bevindingen in een nieuw onderzoe1