Vier beveiligingsvragen voor machine-identiteiten

Wat hebben O2, Sennheiser en de VS-overheid met elkaar gemeen? Ze hebben alle drie te maken gehad met een omvangrijk cyberincident gerelateerd aan machine-identiteiten. Dat zijn cryptografische sleutels en digitale certificaten voor het beveiligen van de communicatie tussen ‘machines’, zijnde alle hardware, software, apps en websites die elke consument en bedrijf dagelijks gebruikt. Hoe zijn deze beter te beschermen?

Cyberaanvallen en storingen voorkomen

Eind 2018 veroorzaakte een verlopen digitaal certificaat een netwerkstoring voor tientallen miljoenen Britse O2-klanten, terwijl Sennheiser er onvoldoende in slaagde private sleutels te beveiligen, waardoor zowel bedrijfs- als klantgegevens in gevaar kwamen. Begin 2019 leidde de tijdelijke sluiting van de Amerikaanse overheid er tenslotte toe dat een groot aantal overheidswebsites ontoegankelijk werd, of voorzien van  beveiligingswaarschuwingen, vanwege problemen met de digitale certificaten. Machine-identiteiten zijn van vitaal belang om cyberaanvallen en storingen te voorkomen. Zeker voor organisaties die privacygevoelige gegevens willen beschermen en een veilige, betrouwbare service willen bieden aan hun klanten.

shutterstock_273128801-615x410

AI, containers, DevOps en IoT

Het snel toenemend gebruik van AI, containers, DevOps, IoT-apparaten en andere nieuwe technologieën in bedrijven leidt tot een explosieve groei van het aantal toegepaste certificaten. Maar liefst 70 procent van de IT-beslissers heeft echter toegegeven dat ze minder dan de helft van alle machine-identiteiten kunnen volgen. Dat is uitermate verontrustend, omdat een goede cyberbeveiliging afhankelijk is van de kennis en het inzicht van een organisatie over de gebruikte machine-identiteiten en daaraan gerelateerde sterke en zwakke punten. Gezien het enorme aantal zijn ze onmogelijk allemaal te managen, zodat organisaties een oplossing moeten  bedenken om te weten welke veilig zijn en wat te doen zodra zo’n identiteit onveilig blijkt te zijn?

Vier cruciale beveiligingsvragen

De volgende vier vragen helpen organisaties machine-identiteiten beter te beschermen en te managen:

  1. Waar worden ze gebruikt en beheerd? De simpele eerste stap richting het beter managen van alle machine-identiteiten, en dus ook kunnen reageren op eventuele incidenten, is weten waar ze worden gebruikt en beheerd. Er worden voortdurend certificaten aangemaakt en totdat bedrijven het gebruik daarvan hebben geïnventariseerd is het moeilijk om problemen te diagnosticeren en op te lossen. Bij O2 was het zoeken naar een speld in een gigantische hooiberg - en naarmate dat langer duurde werd de economische schade steeds groter.
  2. Weet u zeker wie de eigenaar is van het apparaat waarop de machine-identiteit wordt gebruikt? In veel organisaties kunnen meerdere gebruikers een machine-identiteit aanvragen voor verschillende systemen. Dat proces moet worden gecentraliseerd om IT- en securitymanagers het inzicht te geven dat nodig is om alle digitale identiteiten effectief te beheren. Centralisatie van de certificaatuitgifte biedt als voordeel dat wanneer er een beveiligingslek wordt gedetecteerd, zoals een zwak algoritme of een verlopend certificaat, de verantwoordelijke persoon sneller actie kan ondernemen.
  3. Zijn uw machine-identiteiten wel optimaal beveiligd? Encryptie is tegenwoordig gebaseerd op het gebruik van complexe sleutels - hoe complexer zo’n sleutel, hoe veiliger de encryptie. Naarmate de technologie zich ontwikkeld, wordt het echter waarschijnlijker dat oudere encryptiemethoden te kraken zijn. Met als gevolg dat machine-identiteiten die daarvan afhankelijk zijn, zwakker en kwetsbaarder worden voor misbruik. Nu er steeds vaker nieuwe kwetsbaarheden worden gevonden in de SSH- en TLS-protocollen, moeten organisaties op de hoogte zijn van actuele beveiligingsrisico's. Eén van de ernstigste kwetsbaarheden in de computergeschiedenis, Heartbleed, vereiste dat alle geïnfecteerde certificaten werden vervangen. Drie jaar later was dat nog steeds niet volledig gerealiseerd!
  4. Hoe zijn de machine-identiteiten geconfigureerd? Machine-identiteiten behoren zoveel mogelijk een eigen unieke configuratie te hebben. Vaak komen kwetsbaarheden namelijk voort uit een kwetsbare standaardconfiguratie, of fouten daarin. Door machine-identiteiten zo veilig mogelijk te configureren is het risico op incidenten en daaruit voortvloeiende bedrijfsrisico’s sterk te beperken.

Kennis, inzicht en automatisering

Het lokaliseren, beveiligen en zo veilig mogelijk configureren van alle machine-identiteiten, zijn cruciale eerste stappen om te voorkomen dat ze gehacked en misbruikt worden. Kennis van en inzicht hebben in het gebruik van alle machine-identiteiten vergroten ook de reactiesnelheid. Dan kunt u sneller een certificaat verwijderen, vervangen of toevoegen, bij veranderingen in de bedrijfsomstandigheden of het dreigingsniveau. Let vooral op het toenemend gebruik van risicovolle gratis certificaten, omdat iedereen die makkelijk kan kopen en daarmee de website van een ander bedrijf na te bootsen is. Tenslotte zijn zowel de beveiliging van het snel groeiend aantal machine-identiteiten als uw reactiesnelheid te verbeteren door het beheer ervan te automatiseren. Daarmee voorkomt u de volgende O2 of Sennheiser te worden, met vele boze klanten en partners.

Scott Carter, senior manager Venafi US