Nažalost, neupravljane kriptografske ili nevidljive kriptografske konfiguracije koje se generiraju kroz zasjenjene IT (shadow IT) procese otvaraju vrata tihoj provali podataka, prijevarama ili neočekivanim zastojima. Ključni elementi koji kriptografske slojeve čine sigurnima uključuju algoritme, ključeve, knjižnice i certifikate.
Organizacije često ograničavaju opseg kriptografske vidljivosti na mrežne pakete šifri i certifikate koje koriste njihove web usluge usmjerene na javnost. Ovom pristupu nedostaju osnovne kriptografske komponente koje se koriste za održavanje povjerenja i zaštitu kritičnih informacija od kraja do kraja, od krajnjih točaka do pozadinske ili privatne infrastrukture u oblaku. Neupravljana kriptografija obično uključuje tvrdo kodirane privatne ključeve, neupravljane SSH ključeve, certifikate u sjeni i/ili izumrle istekle kriptografske knjižnice. Za poboljšanje ukupnog sigurnosnog položaja IT organizacije potreban je sveobuhvatan uvid u potpunu i točnu reviziju cjelokupnog kriptografskog inventara. Cilj je prikazati sve skrivene kriptografske elemente i provjeriti njihovu usklađenost s propisima i sigurnosnim standardima.
Slabo nadzirana kriptografija stvara značajne ranjivosti uglavnom zbog:
Nedostatak vidljivosti
Kriptografija bez nadzora dovodi osjetljive podatke i/ili infrastrukturu u opasnost jer može unijeti skrivene kritične ranjivosti ili prekršiti usklađenost, a da nitko toga nije svjestan. U idealnom slučaju, organizacije je potrebno cjelovito razumijevanje svog oslanjanja na kriptografiju u cijeloj svojoj kritičnoj infrastrukturi, uključujući:
– Web usluge javne i interne mreže
– Virtualna okruženja koja izvode kritične poslovne operacije
– Poslovne aplikacije koje imaju pristup osjetljivim podacima
– Infrastruktura u oblaku s poslovno osjetljivim sustavima
Neodgovarajuće provedbe
Suvremene IT prakse poput DevOps-a, IoT-a, okruženja u oblaku ili više oblaka, ostavljaju kritične kriptografske odluke u rukama nestručnjaka za kriptografiju. Iako su možda stručnjaci za moderno računarstvo, moguće je da im nedostaje potrebna stručnost za pravilnu uporabu ključeva, algoritama, certifikata ili kriptografskih knjižnica. Idealno, tim za informatičku sigurnost (InfoSec) trebao bi uspostaviti kriptografske politike kao dio zahtjeva organizacije za sigurnost i usklađenost, kao što su:
– Svi certifikati moraju se oslanjati na algoritme sigurnog potpisa i javnog ključa
– Svi certifikati moraju se nadzirati i njima se mora upravljati kako bi se spriječio njihov istek
– Svi privatni ključevi moraju se držati u tajnosti
– Svi parovi ključeva za šifriranje moraju koristiti sigurne algoritme i veličinu ključa
– Svi parovi ključeva moraju se rotirati
– Sve kriptografske knjižnice moraju biti ažurirane
– Svi kriptografski algoritmi moraju zadovoljavati najnovije standarde
Mogućnost ozbiljne štete
Iako se kriptografija prema zadanim postavkama smatra sigurnom, složena je i njome se mora pravilno upravljati, slično kao i vrhunskim kućnim sigurnosnim sustavom koji je pogrešno instaliran. Nedostaci u načinu na koji se sigurno upravlja kriptografijom ili jedna greška unutar konfiguracije mogu imati značajan utjecaj, uključujući:
– Otkrivanje tajnih privatnih ključeva ugrađenih u aplikacije
– Neočekivani zastoji uzrokovani neupravljanim certifikatima koji ističu
– Kršenje usklađenosti zbog oslanjanja na naslijeđene algoritme
– Curenje podataka povezano s korištenjem ranjivih kriptografskih knjižnica
– Neovlašteni pristup i prijevara nastala iskorištavanjem skrivenih SSH ključeva
Prema Nacionalnom institutu za standarde i tehnologiju (NIST), “alati su hitno potrebni kako bi se olakšalo otkrivanje gdje i kako se kriptografija s javnim ključem koristi u postojećoj tehnološkoj infrastrukturi”. Da bi se poboljšala kibernetička otpornost organizacije, postalo je potrebno nadzirati kriptografiju, uključujući ključeve, certifikate, algoritme i knjižnice u čitavom digitalnom prostoru. Dodatni bonus je što će kriptografski inventar biti obavezan za planiranje prelaska na kriptografsku agilnost i kvantnu sigurnost.
Vidljivost se mora pomaknuti izvan mreže da se otkrije kriptografija kojom se ne upravlja i koja se krije u kritičnim poslovnim operativnim sustavima i aplikacijama. Nakon što ih otkriju, organizacije mogu procijeniti njihovu kriptografsku otpornost i održavanje usklađenosti te izraditi strategiju sanacije. S digitalnim ekosustavom koji se stalno razvija, odgovarajuća kriptografska higijena postala je obvezna za kontrolu cyber rizika.
Ovo rješenje donosimo s našim partnerom Entrust!
Kontaktirajte nas ako želite preuzeti kontrolu nad svojom kriptografijom!
