Machines in een netwerk dienen beter beveiligd te worden

Venafi

Op ieder netwerk zijn twee type gebruikers actief: mensen en machines. Tot de categorie ‘machines’ behoren zowel alle computers, smartphones, tablets en wearables als andere met het internet verbonden ‘things’. Denk bijvoorbeeld aan huishoudelijke apparatuur in een bedrijfskeuken, maar ook productiemachines, auto’s, camera’s en robots. En natuurlijk ook alle daarop geïnstalleerde software. Mensen identificeren zich voor de toegang tot applicaties en elektronische services met een gebruikersnaam en wachtwoord, of deels al met tweestapsverificatie. Machines daarentegen passen encryptiesleutels en certificaten toe. Uit onderzoek van Venafi blijkt dat apparatuur en software een groter cyberrisico zijn dan mensen, omdat ze structureel minder worden beveiligd. Een nieuwe security-richtlijn en het geautomatiseerd managen van alle machine-identiteiten helpen de beveiliging te verbeteren.

Het aantal mensen dat computers en mobiele communicatie-apparatuur gebruikt groeit weliswaar nog steeds, maar dat staat niet in verhouding tot de exponentiële groei van het aantal machines. Steeds meer zakelijke en huishoudelijke apparaten worden met het Internet of Things verbonden, terwijl apps en applicaties voortaan op virtuele servers in containers draaien. Die trend zal alleen nog maar toenemen met de komst van 5G. Dit leidt tot meer ingangen voor cybercriminelen, die weten dat ze minder worden beveiligd dan menselijke identiteiten.

Machines identificeren zich geautomatiseerd richting andere machines met encryptiesleutels en certificaten. Uiteraard worden die op basis van marktstandaarden en vertrouwde organisaties zo goed mogelijk beveiligd, maar het managen van die beveiliging wordt een steeds grotere uitdaging. Omdat cybercriminelen na het hacken van een vertrouwd apparaat andere apparaten kunnen misleiden, zijn ze een populair doelwit. In methoden om machines te hacken, wordt dan ook veelvuldig gehandeld. Op het dark web worden volop gehackte SSL/TLS machine-identiteiten verkocht.

Handel in identiteiten

Cybercriminelen stelen al decennia gebruikersnamen, wacht­woorden en andere waardevolle persoonlijke informatie, om deze te verhandelen op het dark web of om een vertrouwde ingang te krijgen tot organisaties. Ter preventie daarvan investeren organisaties wereldwijd zo’n tien miljard dollar per jaar in oplossingen voor het beschermen van menselijke identiteiten. Desondanks worden er nog regelmatig grote hoeveelheden gegevens van personen en bedrijven gestolen en verontrustende datalekken gemeld.

Machine-identiteiten worden structureel minder goed beveiligd dan menselijke identiteiten en zijn daardoor makkelijker te hacken ingangen voor cybercrimininelen. Behalve voor het stelen van concurrentieel gevoelige bedrijfsinformatie, maakt zo’n ingang ook het installeren van ransomware mogelijk, waarmee de systemen van bedrijven te gijzelen zijn totdat ze losgeld betalen.

Uit eerder onderzoek van Venafi blijkt dat er op het dark web een groeiende handel is in vertrouwde TLS/SSL-certificaten voor het imiteren van machine-identiteiten.

Waarom worden machines minder beveiligd?

Er zijn meerdere oorzaken waarom machine-identiteiten tot nu toe minder worden beveiligd. De belangrijkste daarvan is de snelheid waarmee IT-omgevingen veranderen. Steeds meer applicaties en e-services draaien tegenwoordig binnen containers in de cloud. Omdat zowel fysieke apparaten als daarop draaiende software machine-identiteiten gebruiken voor hun onderlinge authenticatie en communicatie, is de groei daarvan amper nog bij te houden. Helaas is dit een nieuwe realiteit die security professionals niet meer kunnen negeren.

Een andere oorzaak is het feit dat de risico’s met betrekking tot de beveiliging en bedrijfsvoering gerelateerd aan encryptiesleutels en certificaten onvoldoende worden begrepen. Tenslotte is er een gebrek aan concrete standaarden en richtlijnen die organisaties met preventief advies helpen hun machine-identiteiten op een consistente en inzichtelijke wijze goed te beschermen.

De implementatie van beveiligingsoplossingen voor menselijke identiteiten bevindt zich simpelweg in een verder gevorderd stadium dan machine-identiteiten.

Onderzoek naar beveiliging identiteiten

Venafi heeft eind 2019 de resultaten bekendgemaakt van een onderzoek onder 1.500 IT-security professionals naar het beveiligen van de identiteit van mensen en machines binnen hun organisaties. Samengevat zijn de belangrijkste resultaten:

  • 49% van de respondenten controleert de lengte en regelmatige vervanging van encryptiesleutels, terwijl 70% dat voor wachtwoorden doet
  • 55% heeft een beschreven policy voor hoe vaak certificaten en private keys vervangen moeten worden, terwijl 79% een vergelijkbare policy heeft voor wachtwoorden
  • 42% van de ondervraagde organisaties heeft een automatische routine voor het rouleren van TLS-certificaten, in vergelijking met 79% voor het veranderen van wachtwoorden
  • 53% controleert hoe vaak certificaten worden vervangen, versus 73% voor wachtwoorden

Toenemend bewustzijn en oplossingen

Hoewel er een toenemend bewustzijn is onder IT-security professionals dat machine-identiteiten een groot risico vormen, worstelen velen van hen nog met het implementeren, auditen en managen van de policies en oplossingen daarvoor. Gelukkig zijn er nieuwe richtlijnen op komst, zoals de NIST 1800-16B, die organisaties zowel een template voor policies als best-practices bieden om TLS machine-identiteiten beter te beschermen, gedurende hun totale levenscyclus. Een middelgroot bedrijf gebruikt er namelijk al snel vele duizenden.

Policies zijn een veelgebruikt preventiemiddel, maar op zichzelf nog geen effectieve oplossing om hackers tegen te houden. Organisaties die investeren in het geautomatiseerd centraal managen van alle certificaten en sleutels, verkleinen het risico op een cyberaanval door misbruik van machine-identiteiten aanzienlijk. Tevens kunnen zij veel sneller gecompromitteerde sleutels en certificaten vervangen, in vergelijking met organisaties die ze allemaal nog met handmatig bijgehouden spreadsheets proberen te managen.