Sean Thomas
Sean Thomas
maart 31, 2022

Gecompromitteerde beschikbaarheid

De moderne digitale onderneming wordt omringd door een vijandige wereld. Het primaire vertrouwen op haar eigen terrein, in haar mensen, processen en technologie, wordt uitgehold als gevolg van steeds geraffineerdere bedreigingen en toch is vertrouwen van het allergrootste belang.

Scroll down

De grootste bedreiging voor zakelijke cryptografie

Door Sean Thomas.  Vertrouwen speelt op steeds creatievere manieren een rol. IJskoud, hard, wiskundig gestaafd vertrouwen, in de vorm van een keurig X509v3-certificaatpakket, is de norm geworden om vertrouwen te attesteren. Dit pakket bewijst wie u bent, beschermt wat u zegt en maakt wat u als mens of machine binnen het systeem hebt gezegd onveranderlijk. Het is een absolute must voor elke organisatie die in de wereld van vandaag opereert. De noodzaak om vertrouwelijkheid en integriteit te garanderen wordt ingegeven door compliancy- en een groot aantal andere, praktische kwesties. Heel vaak wordt hierbij echter de factor beschikbaarheid over het hoofd gezien.

CIA: Cryptografie, Integratie en Availability, maar hoe zit het met dat laatste?

Cryptografie, in de vorm van een PKI (Public Key Infrastructure), maakt feitelijk vertrouwelijkheid door encryptie en integriteit door ondertekening mogelijk. De resulterende cryptografische output die van de cryptomachine worden verlangd, sluiten aan bij elke waardestroom van het moderne digitale bedrijf. Zakelijke PKI kan en moet worden beschouwd als kritieke infrastructuur. Zoals elke kritieke infrastructuur vormt ze een risico voor de algemene beschikbaarheid van de organisatie als ze niet optimaal werkt. Wanneer de beschikbaarheid in het gedrang komt, kunnen er kwalitatieve en kwantitatieve verliezen optreden. Een PKI-systeem kan enorm veel afhankelijkheden creëren van zijn crypto-outputs en toch kunnen gebruikers van wie de reden voor het gebruik niet onmiddellijk duidelijk is, de uiteindelijke veiligheid van het bedrijf ondermijnen door misbruik en misverstanden. Het aantal van dit soort gebruikers kan oplopen tot enorme en tegelijk onzichtbare aantallen. Ondanks het geïntegreerde karakter van cryptografische systemen in het faciliteren van de beveiliging van waarde toevoegende zakelijke workloads, wordt de factor beschikbaarheid vaak over het hoofd gezien. Wanneer de beschikbaarheid onbedoeld negatief wordt beïnvloed door vooroordelen op het gebied van vertrouwelijkheid en integriteit bij het ontwerp en de exploitatie, kunnen de doelstellingen en diensten van de onderneming negatief worden beïnvloed.

Waar te beginnen?

In plaats van te pleiten voor een programma of een product dat op miraculeuze wijze een kant-en-klare oplossing biedt voor alle PKI-problemen, is het beter om een mentaliteit van begrip en end-to-end ownership aan te moedigen. Door de pijnpunten aan te wijzen en de noodzaak van verandering te erkennen, kan de weg naar de voortdurende zelfverbetering beginnen, specifiek gericht op de behoeften van uw bedrijf.

Inventarisatie – Een nauwkeurige en volledige inventarisatie is van fundamenteel belang voor de beschikbaarheid, en niet alleen van certificaten. Er dient een inventarisatie te worden gedaan van de betrokken mensen, processen en technologie. Als we niet weten wie of wat deze drie zijn en hoe ze op elkaar inwerken, kunnen we niet eens beginnen met het doorgronden van afhankelijkheden en concrete gebruikssituaties. Spreadsheets zijn de de facto industriestandaard voor certificaatbeheer, terwijl ze in feite slechts de eerste stap op weg naar een beter overzicht zijn. Een beperkte blik beperkt het zicht op het grotere probleem. Geautomatiseerde hulpmiddelen kunnen technologie (x509) in kaart brengen, maar niet volledig rekening houden met de mensen en processen die deze technologieën gebruiken, en zijn dus geen wondermiddel. Zonder een begrijpelijke inventarisatie wordt het interne aanvalsoppervlak voor een ‘gecompromitteerde beschikbaarheid’ vergroot, gewoon omdat de organisatie zichzelf niet kent.

Bewaking – Door een oordeelkundige toepassing van de kennis die is verkregen uit de inventarisatie kan een bewaking in de vorm van een triage worden ingesteld. Uitgaande van de meest kritieke diensten, moet de vervaldatum tactvol worden bewaakt. Het niet bewaken van de geldigheid van certificaten kan leiden tot uitval, met alle negatieve gevolgen van dien voor het hele digitale bedrijf. De uitval in 2018 van het centrale netwerk van 02 in het VK, veroorzaakt door een verlopen certificaat in door Ericsson geleverde software, is hier een goed voorbeeld van. Meer recentelijk liet de uitval van Google voice in 2021 zien dat zelfs de ‘grote spelers’ kwetsbaar zijn voor de meest voorkomende bedreiging van PKI.

Automatisering Automatisering verlaagt de TCO van het cryptosysteem van uw bedrijf en verhoogt de algemene beschikbaarheid.  Er bestaan verschillende tools en protocollen in de zakelijke cryptoruimte die helpen automatiseren, en met name ACME- en EST- protocollen automatiseren het laatste stuk van het zakelijke cryptotraject: het (her)enrollment-proces.  Door het enrollment-proces te automatiseren, wordt veel handwerk geëlimineerd en worden veel potentiële uitvallen beperkt.  Dit zijn waardevolle onderdelen van een grotere oplossing, maar ze mogen niet geïsoleerd worden bekeken.  De zakelijke processen en de workflowlogica moeten worden aangepakt.  Een suite voor het beheer van de volledige levenscyclus van certificaten kan dergelijke logica en workflows leveren om veel van de cryptocomponenten van de organisatie te bundelen.  Deze suites hebben over het algemeen echter een stevig prijskaartje en kunnen onevenredig sterk lijken in verhouding tot het probleem dat ze oplossen.  Wanneer ze correct worden toegepast, kunnen deze suites echter heel wat geld besparen door het aantal FTE te verminderen van diegenen die direct en indirect betrokken zijn bij het cryptosysteem van de organisatie.  Daarnaast kunnen ze imagoschade (en daaropvolgende merkschade) afwenden door uitval te vermijden.

Training – PKI en digitale certificaten kunnen verwarrend zijn voor wie niet vaak met deze technologie werkt. De meeste technici hebben over het algemeen maar af en toe een certificaat nodig voor een service, en ze moeten dat dan moeizaam, met een hoop bureaucratische rompslomp, ophalen, en soms is zelfs dit proces onduidelijk. Interacties met het cryptosysteem van degenen die er niet ‘mee vertrouwd zijn’, zijn vaak een traag en foutgevoelig proces. Dit leidt in het beste geval tot veel hergebruik en in het slechtste geval tot een dubieuze neiging om alternatieven te gebruiken, zoals het gebruik van zelfondertekende certificaten, het gebruik van niet-gesanctioneerde aanbieders (bv. Lets Encrypt) of het eenvoudigweg uitschakelen van certificaatvalidatie. Een bekend voorbeeld van dit laatste is de inbraak bij Equifax in 2017, toen certificaatvalidatie werd uitgeschakeld voor een verlopen certificaat dat werd gebruikt voor HTTPS-inspectie, waardoor aanvallers vervolgens 76 dagen lang de detectie konden omzeilen. Training en het delen van informatie binnen de organisatie worden vaak over het hoofd gezien en kunnen nadelig zijn voor de verschillende interne systemen die goed samenwerken voor het uiteindelijke slagen van de bedrijfsdoelstellingen. Een eenvoudig, gestroomlijnd en open proces kan ervoor zorgen dat de certificaten van de cryptoassemblagelijn blijven rollen en beschikbaar blijven door de toepassingen waarvoor ze nodig zijn. Dat vertaalt zich in een aanzienlijke winst tegen de prijs van wat slimme interne PR.

Het vraagt om een holistisch begrip van wat de sterke en zwakke punten van de cryptomachine zijn en hoe die de moderne digitale onderneming beïnvloeden. Essentieel is daarbij dat we eerst begrijpen hoe afhankelijk de organisatie is van de outputs van de cryptomachine en dan te beginnen met kleine incrementele stappen om de situatie te verhelpen in een iteratief proces.Afhankelijk van de onderneming kan de toeleveringsketen van de cryptowaarde zich uitstrekken over vele bedrijfseenheden die geografische, taal- en culturele grenzen kunnen overschrijden, en dat is van belang. Het eigenaarschap en de verantwoordelijkheid over de bedrijfseenheden heen moeten duidelijk worden gemaakt, zodat er verantwoordelijkheid en motivatie is om vooruit te gaan.

Iemand moet daar voor gaan staan, en Traxion is er om u te helpen bij uw crypto-benodigdheden.

Sean Thomas is security consultant bij Traxion, provider van Identity Centric Security Services with over 130 highly qualified professionals. Traxion is part of the Swiss IT Security Group.

 

Over de auteurs
  • Sean Thomas

    Sean Thomas is a Security consultant at Traxion, provider of Identity Centric Security Services in the Netherlands and Belgium with over 130 highly qualified professionals. Traxion is part of Swiss IT Security Group.

Confidental Infomation