Venafi stellt die Ergebnisse einer Studie zu Kryptographie-Sicherheitspraktiken von DevOps-Teams aus Europa vor. Insgesamt wurden 100 Experten aus ganz Europa befragt. Sicherheitsrisiken in Zusammenhang mit Kryptographie verstärken sich in DevOps-Einstellungen, über die sich Kompromittierungen in Entwicklungs- oder Testumgebungen hin zu Produktionssystemen und –Anwendungen verbreiten können.
Aufgrund der Studienergebnisse lässt sich festhalten, dass viele Unternehmen daran scheitern, vitale kryptographische Sicherheitsmechanismen in ihre DevOps-Umgebungen einzubauen. Diese Probleme sind vor allem in den Unternehmen akut, die gerade mitten in der Adaptierung von DevOps-Praktiken sind. Doch auch Unternehmen, die überzeugt sind, dass ihre DevOps-Praktiken ausgereift sind, haben keine Sicherheitsmechanismen umgesetzt, die kryptographische Schlüssel und digitale Zertifikate schützen.
„Es ist klar, dass viele Unternehmen auch weiterhin damit ringen werden kryptographische Schlüssel und digitale Zertifikate, für die eindeutige Identifizierung von Maschinen, zu sichern,“ sagt Kevin Bocek, Chief Security Strategist bei Venafi. „Obwohl DevOps-Teams angeben, dass sie die Risiken verstehen, die mit TLS/SSL-Schlüsseln und -Zertifikaten verbunden sind, übersetzen sie dieses Verständnis nicht in einen wirkungsvollen Schutz. Diese Trägheit kann Unternehmen sowie deren Kunden und Partner extrem verwundbar gegenüber kryptographischen Gefahren werden lassen, die dann schwer zu detektieren und zu beheben sind. Im Zeitalter von DSGVO, Ransomware, IoT und Cloud müssen DevOps und Sicherheitsabteilungen nun zusammenarbeiten, um maschinelle Identitäten besser zu schützen.“
Die wichtigsten Ergebnisse:
- Die Hälfte der Befragten aus Europa (53,2 %) gaben an, dass die Unternehmenseigenen Schlüssel und Zertifikate Richtlinien konsistent befolgt werden.
- Mehr als 35 Prozent der Befragten gab an, dass ihre DevOps-Teams konsistent die Test-Schlüssel und -Zertifikate mit solchen für die Produktion austauschen.
- 57 Prozent der Befragten sagten aus, dass ihre DevOps-Teams sich über die Sicherheitskontrollen bewusst sind, die Unternehmen implementieren müssen, um sich gegen Angriffe mit kompromittierten Schlüsseln und Zertifikaten zu schützen.
- Die gleiche Anzahl (57 %) bestätigte außerdem, dass ihre DevOps-Teams selbstsignierte Zertifikate einsetzen. Diese Zertifikate können schnell ausgestellt werden, machen es aber im weiteren Verlauf den Unternehmen schwer Maschinen sicher und vertrauensvoll zu identifizieren.
- Die Wiederverwendung von Schlüsseln wird von 73,5 Prozent der Befragten gestattet. Auf der einen Seite spart dies Zeit, auf der anderen Seite ermöglicht es Cyberkriminellen nicht nur den Zugang zu einem Schlüssel, sondern automatisch zu vielen anderen Umgebungen oder Anwendungen, in denen der gleiche Schlüssel genutzt wird.
Mit der Zunahme der Geschwindigkeit und der Skalierung der Entwicklung von DevOps, explodiert die Nutzung von verschlüsselter Kommunikation geradezu. Ohne strenge Sicherheitsmaßnahmen und .Praktiken, können Angreifer erfolgreiche Attacken auf DevOps-Schlüssel und -Zertifikate starten. Sie verbergen sich dann im verschlüsselten Kommunikationsverkehr und können nicht detektiert werden. Nach den Ergebnissen eines aktuellen Reports von A10 Networks, nutzen 41 Prozent der Cyberangriffe Verschlüsselung, um sich vor den Sicherheitssystemen zu tarnen.
„Wenn die Schlüssel und Zertifikaten, die von DevOps-Teams eingesetzt werden, nicht vernünftig geschützt werden, sind Cyberkriminelle in der Lage SSL/TLS-Schlüssel und -Zertifikate zu nutzen, um ihre eigenen verschlüsselten Tunnel aufzubauen,“ sagt Tim Bedard, Director Threat Intelligence und Analyse bei Venafi. „Angreifer könnten auch SSH-Schlüssel nutzen, um in ein Netzwerk einzudringen, sich einen eigenen privilegierten Zugang ermöglichen, Malware installieren und große Mengen an sensiblen Unternehmens-Daten und IP herausschleusen, ohne, dass sie dabei detektiert werden.“
Die Studie wurde von Dimensional Research im November 2016 durchgeführt. Unter den Befragten waren 431 IT-Experten, die für kryptographische Assets in Unternehmen verantwortlich und in Unternehmen in den USA und Europe mit DevOps-Programmen tätig sind.
Weitere Informationen finden sich unter: https://www.venafi.com/research/mature-devops-study
#Netzpalaver #Venafi #Devops
