Profesjonaliści w dziedzinie bezpieczeństwa nie chronią kluczy i certyfikatów tak skutecznie, jak nazwy użytkowników i hasła

Badanie porównujące zabezpieczenia dla tożsamości ludzi i maszyn ujawnia niepokojący trend. Chociaż prawie wszystkie organizacje mają zasady regulujące długość haseł dla tożsamości ludzkich, tylko połowa ma pisemne zasady dotyczące długości i losowości kluczy dla tożsamości maszyn – to pomimo szybkiego rozprzestrzeniania się maszyn, które muszą się uwierzytelniać względem siebie, aby mogły komunikować się bezpiecznie.

Podczas uwierzytelniania się na komputerach ludzie polegają na nazwach użytkowników 
i hasłach, aby uzyskać dostęp do danych i usług. Podobnie maszyny muszą się uwierzytelniać, aby komunikować się w bezpieczny sposób. Maszyny wirtualne (VM), aplikacje, algorytmy, interfejsy API i kontenery, a nawet urządzenia IoT, polegają na kluczach kryptograficznych 
i certyfikatach cyfrowych, które służą jako tożsamości maszyn, które pozwalają im wiedzieć, że udostępnianie danych jest bezpieczne.

Badanie przez Venafi, firmy specjalizującej się w zabezpieczaniu kluczy kryptograficznych oraz certyfikatów cyfrowych, okazało się, że 85% organizacji ma politykę, która rządzi długością hasła dla ludzkich tożsamości. Ankieta przeprowadzona wśród 1500 specjalistów ds. Bezpieczeństwa IT z USA, Wielkiej Brytanii, Francji, Niemiec i Australii wykazała, że tylko 54% posiada pisemne zasady dotyczące długości i losowości kluczy do tożsamości maszyn.

Organizacje znalezione przez Venfai wydadzą w tym roku ponad 10 miliardów dolarów wyłącznie na ochronę ludzkiej tożsamości. Naukowcy stwierdzili, że wydatki na ochronę tożsamości maszyn pozostają „względnie płaskie” (nie podano dokładnej liczby), pomimo gwałtownego wzrostu liczby maszyn, które potrzebują tożsamości, w tym maszyn wirtualnych, aplikacji, algorytmów, interfejsów API i kontenerów.

„Ponieważ cyberprzestępcy rozumieją moc tożsamości maszyn i ich brak ochrony, atakują ich w celu wykorzystania” – powiedzieli ankieterzy.

Dodatkowe ustalenia obejmują:

• 49% organizacji kontroluje długość i losowość swoich kluczy, a 70% robi to w przypadku haseł.
• Tylko 55% posiada pisemne zasady określające, jak często należy zmieniać certyfikaty i klucze prywatne, a 79% ma równoważne zasady dotyczące haseł.
• Tylko 42% organizacji automatycznie wymusza rotację certyfikatów TLS, a 79% automatycznie wymusza rotację haseł.
• Tylko 53% kontroluje, jak często należy zmieniać certyfikaty i klucze prywatne, 
  w porównaniu z 73% w przypadku haseł.

Naukowcy twierdzą, że chociaż ataki przy użyciu tożsamości maszyn są stosunkowo nowe, są bardzo skuteczne. Ponadto luka między mechanizmami kontroli bezpieczeństwa stosowanymi w odniesieniu do tożsamości ludzkich a tymi stosowanymi w odniesieniu do tożsamości maszynowych naraża organizacje na ogromne ryzyko, szczególnie dla firm cyfrowych, które 
w dużym stopniu polegają na maszynach w codziennych operacjach o kluczowym znaczeniu.