Venafi: encryptiesleutels en certificaten minder beveiligd dan gebruikersnamen en wachtwoorden

Venafi heeft de resul­taten bekend­ge­maakt van onderzoek naar het bevei­ligen van iden­ti­teiten van mensen en appa­ra­tuur. Mensen vertrouwen op een gebrui­kers­naam en wacht­woord om zich te iden­ti­fi­ceren en veilig te commu­ni­ceren, terwijl machine-iden­ti­teiten encryp­tie­sleu­tels en certi­fi­caten gebruiken. Slechts 54% van 1.500 onder­vraagde IT-secu­ri­ty­pro­fes­si­o­nals werkt met policies voor de lengte en regel­ma­tige vervan­ging van encryp­tie­sleu­tels voor machine-iden­ti­teiten, terwijl 85% een policy heeft voor de lengte van wacht­woorden die mede­wer­kers gebruiken. 

Samenvatting onderzoeksresultaten

• 49% van de respon­denten contro­leert de lengte en regel­ma­tige vervan­ging van encryp­tie­sleu­tels, terwijl 70% dat voor wacht­woorden doet
• 55% heeft een beschreven policy voor hoe vaak certi­fi­caten en private keys vervangen moeten worden, terwijl 79% een verge­lijk­bare policy heeft voor wachtwoorden
• 42% van de onder­vraagde orga­ni­sa­ties heeft een auto­ma­ti­sche routine voor het rouleren van TLS-certi­fi­caten, in verge­lij­king met 79% voor het veran­deren van wachtwoorden 
• 53% contro­leert hoe vaak certi­fi­caten worden vervangen, versus 73% voor wachtwoorden

Exponentiële groei machine-identiteiten 

Orga­ni­sa­ties besteden dit jaar ruim $ 10 miljard aan het beschermen van de iden­ti­teiten van mensen, terwijl maar een fractie van dat bedrag wordt besteed aan het beschermen van alle machine-iden­ti­teiten. Het aantal mense­lijke gebrui­kers van zakelijke netwerk­toe­pas­singen groei maar amper, terwijl het aantal machine-iden­ti­teiten expo­nen­tieel groeit. Onder machine-iden­ti­teiten vallen ook alle virtual machines, appli­ca­ties, algo­ritmen, API’s en contai­ners. Omdat cyber­cri­mi­nelen steeds beter de mogelijke invloed van machine-iden­ti­teiten en het minder bevei­ligen ervan begrijpen, proberen ze die vaker te misbruiken.

Effectieve targets

“Iden­ti­teiten zijn belang­rijke elementen in de secu­ri­ty­we­reld”, zegt Kevin Bocek, vice president security strategy & threat intel­li­gence bij Venafi. “Machine-iden­ti­teiten zijn relatief nieuwe en effec­tieve targets voor cyber­aan­vallen, mede gezien het grote verschil in hoe ze worden beveiligd in verge­lij­king met iden­ti­teiten van mensen. Omdat de digitale economie in toene­mende mate vertrouwt op artifical intel­li­gence, contai­ners, micro­ser­vices en IOT-appa­ra­tuur, moeten CISO’s en security-profes­si­o­nals meer aandacht besteden aan het bevei­ligen van alle machine-identiteiten.”