網絡安全宣傳月安全團隊需要知道的關于PKI的九件事

作為網絡安全意識月的一部分，Keyfactor重點介紹了團隊如何适應組織中管理證書和機器身份的日益更新的挑戰。

直到最近，公鑰密碼學一直是一個相當小衆的實踐。然而，随着遠端工作、雲計算和物聯網裝置的出現，證書的數量和普及程度都出現了爆炸式增長。

這種日益增長的脆弱性正成為惡意行為者青睐的攻擊載體。與此同時，企業陷入了困境，争相評估整個組織的證書狀态，并實施保護和管理證書的長期政策。

​​Keyfactor的《2022年機器身份狀态報告》​​顯示，企業平均擁有269,562個公共和私有證書。

當将管理公開密鑰基礎設施(PKI)添加到您的團隊的主要職責中時，這是一項艱巨的任務。為了有效地管理和擴充PKI，安全團隊需要知道很多事情——這就是為什麼我們列出了您應該考慮的9件事情。

1. 可見性是關鍵，你的團隊可能沒有他們認為的那樣的洞察力。

Keyfactor和Ponemon在2021年釋出的一份報告顯示，50%的公司不知道自己到底有多少密鑰和證書。在Keyfactor的2022年機器身份狀态報告中，獲得所有證書的完全可見性是PKI和證書管理的首要任務。

這是PKI擴充的症狀——不同的團隊使用不同的證書頒發機構(平均21個)，沒有集中的中心來跟蹤和管理證書。為了增加複雜性，許多組織沒有在整個企業中建立明确的PKI所有權。

實作一個證書生命周期管了解決方案就是答案。Keyfactor Command是一個證書生命周期管理和自動化解決方案，它可以作為服務部署，也可以與雲托管的私有PKI(稱為PKI as-a- service)結合。無論選擇何種部署方式，您都能夠快速發現和管理環境中的現有證書，然後随着業務需求的增長擴充PKI操作。

2. 管理PKI是一項全職工作。

許多IT和安全團隊有太多其他優先級，無法将PKI管理納入他們的日常職責。在一天結束的時候，其他的職責對他們的角色本質來說更重要。PKI将在維護系統、響應事件和調查警報方面處于次要地位。根據Keyfactor的2022年機器識别狀态報告:

• 65%的企業擔心由于TLS證書壽命縮短而導緻的工作負載增加和中斷風險。
• 50%的人說他們沒有足夠的IT人員專門負責他們的PKI。
• 33%的組織将時間和預算不足列為采用企業級PKI管理政策的最大挑戰。

與此同時，證書的壽命正在縮短，以使企業免受證書洩露或被盜的威脅。自2020年以來，398天一直是證書的普遍使用壽命。然而，許多認證機構正在采用90天的有效期。

這些有效期将繼續縮短，這意味着證書将以更高的頻率過期，這将增加沒有可靠系統管理PKI的組織所面臨的風險。如果沒有足夠的PKI資源，維護過期證書的代價将越來越高。

3.管理PKI需要特定于PKI的專業知識。

“好吧，”您想，“我們隻需建立一個内部PKI團隊，由我們現有的IT和安全分析師組成。”

組織經常把PKI推給以前管理PKI經驗有限(有時甚至沒有)的人員。盡管您的IT和安全技術人員可能很有能力，但在不斷變化的PKI環境中，他們是從零起點開始的。

• 圍繞PKI的變化和不确定性水準是采用企業級PKI管理政策的最大挑戰。
• 缺乏技術人員是采用全企業戰略面臨的第二大挑戰。[Keyfactor 's 2022年機器識别狀态報告]

學習曲線太陡，風險太高，不能把您的PKI交給任何在PKI領域沒有經驗和知識的人。

要使PKI正确，首先要從設計開始。然而，有大量的PKI設計方面，一旦配置，在沒有完全重新部署的情況下是無法更改的。這些嚴格的方面對PKI的長期使用有重大影響。

4. 手工流程使PKI不可能有效地擴充。

專用的PKI人員和資源正變得至關重要。如果PKI必須落到負有其他重要責任的IT和安全專業人員手中，組織必須努力盡可能減少PKI管理的複雜性。

在任何環境中，手工過程都是現代化、規模和轉換的敵人。在PKI上下文中，手工處理加上缺乏PKI專業知識會導緻災難。

• 手動請求、生成和部署新證書的過程是非常繁瑣的，尤其是在不熟悉PKI的情況下。
• 42%的組織仍然使用電子表格來跟蹤和管理證書。然而，電子表格不能在證書到期或即将到期時通知您，也不能标記手動資料輸入帶來的錯誤。
• 手工過程使自己适合于團隊的特别的、不一緻的使用。這種标準化的缺乏使得推動和擴充最佳實踐非常困難。
• 當漏洞被發現時，迅速采取行動替換證書是至關重要的，但是手動過程使其無法以必要的速度進行響應。在發生CA妥協的情況下尤其如此，因為這需要大量頒發新證書。

自動化就是答案。使用集中的PKI管理平台，您不必照看您的證書。從持續監視和自動警報到API內建，再到允許終端使用者執行自己的證書流程，自動化PKI流程是實作規模的關鍵。

5. 正确的PKI管理對于現代營運需求至關重要。

遠端工作、物聯網、DevOps——傳統的網絡邊界已今非昔比。團隊成員需要安全通路系統和應用程式，以支援他們的工作流程。在遠端工作和物聯網方面，保護裝置安全的挑戰在于一系列不受你控制的新條件和因素。如果有人在遠端工作，他們通路您的伺服器的裝置和網絡可能在安全方面不合格。對于物聯網裝置，裝置必須連接配接到伺服器來驗證所有權，無論它在哪裡被激活。

對于DevOps來說，最重要的是規模和速度。上面描述的手工PKI流程對DevOps的發展勢頭和實作CI/CD提出了重大挑戰。精簡、高效的PKI可以加快開發周期，同時提高品質——而不犧牲安全性。

6. 加密靈活性正變得不僅僅是一種美好的擁有。

無論您現在的安全姿态有多強硬，它都會随着時間的推移而惡化。新技術和新威脅層出不窮。隻要有足夠的時間，任何安全實作都會失敗，沒有任何單獨的加密方法是無敵的。

業務靈活性意味着以最小的中斷快速适應的能力。在PKI上下文中，加密靈活性意味着您的企業可以在不破壞整個IT或安全基礎設施的情況下發展其PKI流程。加密靈活性允許組織在漏洞被破壞、破壞或遵從性懲罰暴露之前保持領先。

靈活性和适應性創造了可持續性—一個持久的PKI體系結構，它可以随您的企業一起成長，與不斷提高的法規遵從性保持同步，甚至有助于創新活動。

7. 好的PKI從設計開始。

圍繞PKI的用例和數量的激增需要一組新的最佳實踐。當從一開始就實作時，這些實踐可以保持PKI的完整性，并避免以後進行破壞性的重新部署。

有了PKI，就不需要在進行過程中進行虛構了。在邁出第一步之前，您需要有一個深入的路線圖。

• PKI在您的組織中是如何使用的?未來需要如何使用它?
• 在您的組織中，在證書的整個生命周期中管理證書的最佳政策和過程是什麼?
• 您将實施什麼控制來支援這些政策和過程?
• 您将如何捕獲、解釋和記錄計劃和PKI的更改?

用良好的設計建立PKI隻是一個開始。PKI需要大量的注意和維護才能保持功能。這對于專注于實作PKI但不專注于無限操作它的安全團隊來說是有風險的。

8. 審計、審計、審計。

在内部管理PKI時，您需要在您的PKI實踐中建構定期審計。稽核應該包括對所有PKI元件的證書政策和證書實踐聲明(CP/CPS)、業務連續性和災難恢複計劃中列出的所有内容進行審查和測試。如果有合理的變更需求，啟動變更控制以更新任何文檔。把它們看作是活的、呼吸的文檔，它們的發展是為了維護PKI預期的保證級别。

安排和執行自己内部審計的組織可以定期且容易地識别問題，回答外部審計師的問題，并提供所需保證水準的證明。PKI所有者還應該根據目前和新興的标準(包括CA/浏覽器論壇、WebTrust和行業監管機構)來監視和基準測試他們的企業PKI控制。這有助于組織走在可能導緻PKI缺陷的趨勢的前面。另一個最佳實踐是每年進行一次PKI運作狀況檢查，以發現組織可能沒有考慮到的任何内容。

9. 您可以解決PKI，并将其從您的安全團隊的盤子中移除。

在内部設計、實作、維護和發展PKI所需的資源成本高昂，技術壁壘很高，特别是在目前網絡安全勞動力短缺的情況下。

那麼，如何正确地處理PKI實作、管理企業中證書的大量湧現，以及在面對快速變化的環境時通過可見性、可追溯性和自動化來擴充PKI呢?

需要幫助推進網絡安全工作?