Kryptographie - Venafi Studie

Mangelnde Kryptographie-Sicherheitspraktiken bei DevOps

Mangelnde Kryptographie-Sicherheitspraktiken bei DevOps

Schwache Sicherheitskontrollen bei der Verschlüsselung

Venafi hat sich die Sicherheitspraktiken bei der Verschlüsselung in DevOps-Teams genauer angesehen und festgestellt, dass viele Unternehmen daran scheitern, vitale kryptographische Sicherheitsmechanismen in der DevOps-Umgebung einzubauen.

Dies birgt ein hohes Sicherheitsrisiko, das zu einer anfälligen Kompromittierung in Entwicklungs- oder Testumgebungen, bis hin zu den fertigen Produktions- und Anwendungssystemen führen kann.

Dies betrifft einerseits Unternehmen, die gerade mitten in der Adaptierung von DevOps-Praktiken sind, aber auch erfahrene Organisationen haben meist keine Sicherheitsmechanismen umgesetzt, die kryptographische Schlüssel und digitale Zertifikate schützen.

Kevin Bocek, Chief Security Strategist bei Venafi erläutert die Problematik an Hand der durchgeführten Studie.

Kevin Bocek, Chief Security Strategist bei Venafi

„Es ist klar, dass viele Unternehmen auch weiterhin damit ringen werden kryptographische Schlüssel und digitale Zertifikate, für die eindeutige Identifizierung von Maschinen, zu sichern,“ sagt Kevin Bocek, Chief Security Strategist bei Venafi. „Obwohl DevOps-Teams angeben, dass sie die Risiken verstehen, die mit TLS/SSL Schlüsseln und Zertifikaten verbunden sind, übersetzen sie dieses Verständnis nicht in einen wirkungsvollen Schutz. Diese Trägheit kann Unternehmen sowie deren Kunden und Partner extrem verwundbar gegenüber kryptographischen Gefahren werden lassen, die dann schwer zu detektieren und zu beheben sind. Im Zeitalter von DSGVO, Ransomware, IoT und Cloud müssen DevOps und Sicherheitsabteilungen nun zusammenarbeiten, um Maschinelle Identitäten besser zu schützen.“

Die wichtigsten Ergebnisse:

  • Die Hälfte der Befragten aus Europa (53,2 %) gaben an, dass die Unternehmenseigenen Schlüssel und Zertifikate Richtlinien konsistent befolgt werden.
  • Mehr als 35 Prozent der Befragten gab an, dass ihre DevOps-Teams konsistent die Test-Schlüssel und -Zertifikate mit solchen für die Produktion austauschen.
  • 57 Prozent der Befragten sagten aus, dass ihre DevOps-Teams sich über die Sicherheitskontrollen bewusst sind, die Unternehmen implementieren müssen, um sich gegen Angriffe mit kompromittierten Schlüsseln und Zertifikaten zu schützen.
  • Die gleiche Anzahl (57 %) bestätigte außerdem, dass ihre DevOps-Teams selbstsignierte Zertifikate einsetzen. Diese Zertifikate können schnell ausgestellt werden, machen es aber im weiteren Verlauf den Unternehmen schwer Maschinen sicher und vertrauensvoll zu identifizieren.
  • Die Wiederverwendung von Schlüsseln wird von 73,5 Prozent der Befragten gestattet. Auf der einen Seite spart dies Zeit, auf der anderen Seite ermöglicht es Cyberkriminellen nicht nur den Zugang zu einem Schlüssel, sondern automatisch zu vielen anderen Umgebungen oder Anwendungen, in denen der gleiche Schlüssel genutzt wird.

Mit der Zunahme der Geschwindigkeit und der Skalierung der Entwicklung von DevOps, explodiert die Nutzung von verschlüsselter Kommunikation geradezu. Ohne strenge Sicherheitsmaßnahmen und –Praktiken, können Angreifer erfolgreiche Attacken auf DevOps Schlüssel und Zertifikate starten. Sie verbergen sich dann im verschlüsselten Kommunikationsverkehr und können nicht detektiert werden. Nach den Ergebnissen eines aktuellen Reports von A10 Networks , nutzen 41 Prozent der Cyberangriffe Verschlüsselung, um sich vor den Sicherheitssystemen zu tarnen.

„Wenn die Schlüssel und Zertifikaten, die von DevOps-Teams eingesetzt werden, nicht vernünftig geschützt werden, sind Cyberkriminelle in der Lage SSL/TLS Schlüssel und Zertifikate zu nutzen, um ihre eigenen verschlüsselten Tunnel aufzubauen,“ sagt Tim Bedard, Director Threat Intelligence und Analyse bei Venafi. „Angreifer könnten auch SSH-Schlüssel nutzen, um in ein Netzwerk einzudringen, sich einen eigenen privilegierten Zugang ermöglichen, Malware installieren und große Mengen an sensiblen Unternehmens-Daten und IP herausschleusen, ohne, dass sie dabei detektiert werden.“

Die Studie wurde von Dimensional Research im November 2016 durchgeführt. Unter den Befragten waren 431 IT-Experten, die für kryptographische Assets in Unternehmen verantwortlich und in Unternehmen in den USA und Europe mit DevOps-Programmen tätig sind.

Mehr Infos zur Studie