Venafi heeft de resultaten bekendgemaakt van een onderzoek naar het beveiligen van machine-identiteiten, onder 320 security-verantwoordelijken in Canada, Europa en de Verenigde Staten. Daaruit blijkt dat maar 28% een procedure heeft voor het consistent beveiligen van ‘code signing’ certificaten. Dat zijn digitale handtekeningen voor het ondertekenen van vertrouwde software en andere code. Verder blijkt dat securityprofessionals de risico’s gerelateerd aan code signing begrijpen, maar desondanks onvoldoende actie ondernemen om hun organisaties te beschermen tegen cyberaanvallen met gestolen of nagemaakte code signing certificaten.
Belangrijke onderzoeksresultaten:
- 50% van de respondenten maakt zich zorgen dat cybercriminelen gestolen of nagemaakte code signing certificaten gebruiken voor cyberaanvallen op hun organisatie
- Wereldwijd gebruiken slechts 28% van de ondervraagde organisaties securityprocedures voor het consistent beveiligen van code signing en in Europa zelfs maar 14%
- 35% heeft geen duidelijke eigenaren en verantwoordelijken voor de private keys die binnen hun organisatie worden gebruikt voor code signing
- 69% verwacht de komende jaren een toenemend gebruik van code signing
Authenticiteit software-updates garanderen
Code signing processen worden gebruikt om de authenticiteit van software-updates te beveiligen en te garanderen. Waaronder de firmware van steeds meer slimme producten, operating systemen, mobiele applicaties en container images. Er zijn echter al meer dan 25 miljoen kwaadaardige digitale bestanden ondertekend met code signing certificaten en cybercriminelen misbruiken deze graag in hun aanvallen. Zo is recent ontdekt dat cybercriminelen malware in updates van anti-virus tools verstoppen met geldige code signing certificaten.
Gevaarlijke cyberwapens
“Als code signing sleutels en certificaten die voor machine-identiteiten worden gebruikt in handen vallen van cybercriminelen, kunnen ze enorme schade aanrichten”, zegt Kevin Bocek, vice president security strategy & threat intelligence bij Venafi. “Code signing certificaten stellen namelijk apps, updates en open source software in staat veilig te functioneren. Als die echter niet worden beschermd zijn het gevaarlijke cyberwapens. Dankzij code signing certificaten waren de Stuxnet en ShadHammer hacks zo succesvol. Tegenwoordig is elke organisatie meer afhankelijk van software en het ontwikkelen daarvan, waaronder alle banken, productiebedrijven en retailers. Elke organisatie die software programmeert, containers gebruikt, of in de cloud draait, moet de risico’s gerelateerd aan code signing processen serieus nemen om de business te beschermen.”
Inzichtelijk maken en beveiligen
“Securityverantwoordelijken en ontwikkelaars hebben tegengestelde belangen bij het gebruik van code signing”, vervolgt Bocek. “Ontwikkelaars maken zich in eerste instantie zorgen over vertragingen door securityprocedures en -eisen. Als gevolg daarvan ontstaan soms chaotische situaties en mogelijkheden voor cybercriminelen om sleutels en certificaten te stelen. Om de eigen organisatie en klanten beter te beschermen moet eerst het gebruik van code signing inzichtelijk worden gemaakt en daarna beveiligd. Inclusief de integraties tussen code signing processen en ontwikkelomgevingen. Alleen met zo’n aanpak is het beveiligingsrisico substantieel te verkleinen, met behoud van de innovatiesnelheid die bedrijven en ontwikkelaars tegenwoordig nodig hebben.”
