Onderzoek: slechts 28% organisaties beveiligt code signing machine-identiteiten

Venafi heeft de resul­taten bekend­ge­maakt van een onderzoek naar het bevei­ligen van machine-iden­ti­teiten, onder 320 security-verant­woor­de­lijken in Canada, Europa en de Verenigde Staten. Daaruit blijkt dat maar 28% een procedure heeft voor het consis­tent bevei­ligen van ‘code signing’ certi­fi­caten. Dat zijn digitale hand­te­ke­ningen voor het onder­te­kenen van vertrouwde software en andere code. Verder blijkt dat secu­ri­ty­pro­fes­si­o­nals de risico’s gere­la­teerd aan code signing begrijpen, maar deson­danks onvol­doende actie onder­nemen om hun orga­ni­sa­ties te beschermen tegen cyber­aan­vallen met gestolen of nage­maakte code signing certificaten.

Belang­rijke onderzoeksresultaten:

• 50% van de respon­denten maakt zich zorgen dat cyber­cri­mi­nelen gestolen of nage­maakte code signing certi­fi­caten gebruiken voor cyber­aan­vallen op hun organisatie
• Wereld­wijd gebruiken slechts 28% van de onder­vraagde orga­ni­sa­ties secu­ri­ty­pro­ce­dures voor het consis­tent bevei­ligen van code signing en in Europa zelfs maar 14%
• 35% heeft geen duide­lijke eigenaren en verant­woor­de­lijken voor de private keys die binnen hun orga­ni­satie worden gebruikt voor code signing
• 69% verwacht de komende jaren een toenemend gebruik van code signing

Authenticiteit software-updates garanderen

Code signing processen worden gebruikt om de authen­ti­ci­teit van software-updates te bevei­ligen en te garan­deren. Waaronder de firmware van steeds meer slimme producten, operating systemen, mobiele appli­ca­ties en container images. Er zijn echter al meer dan 25 miljoen kwaad­aar­dige digitale bestanden onder­te­kend met code signing certi­fi­caten en cyber­cri­mi­nelen misbruiken deze graag in hun aanvallen. Zo is recent ontdekt dat cyber­cri­mi­nelen malware in updates van anti-virus tools verstoppen met geldige code signing certificaten.

Gevaarlijke cyberwapens

“Als code signing sleutels en certi­fi­caten die voor machine-iden­ti­teiten worden gebruikt in handen vallen van cyber­cri­mi­nelen, kunnen ze enorme schade aanrichten”, zegt Kevin Bocek, vice president security strategy & threat intel­li­gence bij Venafi. “Code signing certi­fi­caten stellen namelijk apps, updates en open source software in staat veilig te func­ti­o­neren. Als die echter niet worden beschermd zijn het gevaar­lijke cyber­wa­pens. Dankzij code signing certi­fi­caten waren de Stuxnet en Shad­Hammer hacks zo succesvol. Tegen­woordig is elke orga­ni­satie meer afhan­ke­lijk van software en het ontwik­kelen daarvan, waaronder alle banken, produc­tie­be­drijven en retailers. Elke orga­ni­satie die software program­meert, contai­ners gebruikt, of in de cloud draait, moet de risico’s gere­la­teerd aan code signing processen serieus nemen om de business te beschermen.”

Inzichtelijk maken en beveiligen

“Secu­ri­ty­ver­ant­woor­de­lijken en ontwik­ke­laars hebben tegen­ge­stelde belangen bij het gebruik van code signing”, vervolgt Bocek. “Ontwik­ke­laars maken zich in eerste instantie zorgen over vertra­gingen door secu­ri­ty­pro­ce­dures en ‑eisen. Als gevolg daarvan ontstaan soms chao­ti­sche situaties en moge­lijk­heden voor cyber­cri­mi­nelen om sleutels en certi­fi­caten te stelen. Om de eigen orga­ni­satie en klanten beter te beschermen moet eerst het gebruik van code signing inzich­te­lijk worden gemaakt en daarna beveiligd. Inclusief de inte­gra­ties tussen code signing processen en ontwik­kelom­ge­vingen. Alleen met zo’n aanpak is het bevei­li­gings­ri­sico substan­tieel te verkleinen, met behoud van de inno­va­tie­snel­heid die bedrijven en ontwik­ke­laars tegen­woordig nodig hebben.”