Anuncios
Hemos llevado a cabo con éxito nuestra evaluación de cifrado Para uno de nuestros clientes, una organización Fortune 500 del sector financiero. Su cartera incluía varios bancos y cajeros automáticos repartidos por todo el país, y se especializaba en tarjetas de crédito, préstamos para automóviles, servicios bancarios y cuentas de ahorro. El banco, con sede en EE. UU., se fundó hace décadas y cuenta con múltiples sucursales en todo el país. Si bien la institución creció rápidamente en pocas décadas, abriendo nuevas sucursales en Estados Unidos, este rápido crecimiento se vio acompañado de crecientes riesgos de seguridad que continuaron generando nuevas brechas de seguridad.
Con el objetivo de acelerar su crecimiento en los próximos años, buscaban una evaluación que les brindara una descripción general completa de su arquitectura de seguridad actual, identificar vulnerabilidades, obtener una estrategia y un marco personalizados para tener en cuenta sus planes de expansión y cumplir con todas las regulaciones de cumplimiento necesarias mientras los protegía de amenazas externas. amenazas.
Desafíos
Para los bancos que se ocupan de transacciones y registros financieros y protegen datos confidenciales como PII y PCILa seguridad es una prioridad absoluta. La organización enfrentaba varios problemas en su infraestructura criptográfica que carecían de un enfoque estructurado y estratégico.
Estuvieron expuestos a ataques de ciberseguridad como Man in the Middle debido a la falta de cifrado De sus datos confidenciales a través de almacenamiento, archivos, bases de datos o comunicaciones internas de datos entre diferentes componentes de TI, como aplicaciones que se conectan a bases de datos o servicios que se comunican internamente dentro de un sistema. Esto expuso sus datos confidenciales a terceros no autorizados que podrían leerlos o alterarlos.
No hubo una adecuada gestión de claves Se estableció una práctica, incluidas prácticas de administración de claves centralizadas, ya que las capacidades de administración de claves nativas fueron utilizadas por diferentes dispositivos de almacenamiento y respaldo específicos de cada proveedor que tienen prácticas limitadas de rotación y generación de claves.
Se utilizaron contraseñas en lugar de claves más seguras. SSH Autenticación. Las claves privadas criptográficas se almacenaron sin aplicar los controles de acceso con privilegios mínimos. Además, la ausencia de una política definida de rotación de claves SSH expuso el sistema a riesgos asociados con el uso prolongado de claves obsoletas o comprometidas.
Se implementaron prácticas de cifrado inconsistentes para varias plataformas basadas en la nube, incluidas claves de cifrado generadas y administradas por los respectivos proveedores de servicios (AWS KMS y Azure Key Vaults). Como resultado, el Traiga su propia llave (BYOK) No se aprovechó esta capacidad, lo que redujo el control de la organización sobre las claves de cifrado. Estas inconsistencias dejaron los datos confidenciales sin la protección adecuada en el almacenamiento en la nube.
Solución:
Nuestro enfoque se centró en resolver todos los desafíos identificados mediante la creación de una evaluación de cifrado estructurada que evaluó su marco criptográfico completo, incluyendo las prácticas de gestión del ciclo de vida de certificados y claves para entornos locales y multinube. Comenzamos nuestro proceso desarrollando un conocimiento profundo y completo de... criptográfico estándares y analizó los desafíos del entorno de seguridad de la organización.
A esto le siguió una revisión exhaustiva de las políticas, procesos y estándares criptográficos existentes, así como talleres exhaustivos para comprender todas sus capacidades de cifrado. Establecimos casos de uso específicos, como el cifrado de bases de datos y plataformas de big data como Hadoop y Cassandra, que habilitan protocolos TLS 1.2 y superiores para datos en tránsito. También identificamos deficiencias en todas las áreas de sus prácticas criptográficas aplicadas que necesitaban mejoras.
Nuestra evaluación se realizó para cumplir con los principales objetivos de seguridad de la organización, incluida la centralización y automatización de sus procesos de gestión del ciclo de vida de certificados y claves para resolver sus problemas de funcionalidad, lo que a su vez redujo sus ineficiencias operativas, garantizando renovaciones oportunas y minimizando el riesgo de interrupciones.
Estandarizamos el cifrado de datos en las capas tecnológicas, incluyendo, entre otras, las de aplicación, base de datos, archivo y carpeta. También garantizamos el uso consistente de protocolos TLS 1.2 o superiores para proteger los datos en tránsito y en tránsito, y el uso de los principios de acceso con privilegios mínimos.
También garantizamos el cumplimiento de todos los estándares regulatorios y de cumplimiento requeridos, tales como: FIP 140-2 / 3, NIST 2,0, NIS-2, DORA y más, revisando, evaluando y actualizando los controles y estándares criptográficos e implementándolos dentro del marco criptográfico de la organización.
Impacto
A lo largo del proyecto, construimos un sólido canal de comunicación con el cliente para llegar a la raíz de todos sus problemas de seguridad y cerrar la brecha entre su entorno actual y sus objetivos de seguridad. Personalizamos su estrategia Para cerrar todas las vulnerabilidades de seguridad en su marco criptográfico y desarrollar un plan de remediación que no solo ayude a mitigar todos sus desafíos inmediatos, sino que también los encamine a cumplir con sus requisitos de seguridad y cumplimiento a largo plazo. Nuestra estrategia se centró en fortalecer el control de acceso, optimizar la gestión de riesgos e integrar las mejores prácticas en sus operaciones diarias.
Estos son algunos de los muchos beneficios que experimentaron y que finalmente les permitieron alcanzar su objetivo de una arquitectura de seguridad segura, eficiente y escalable. Se beneficiaron de la reducción del acceso no autorizado mediante el uso de la Gestión de Identidad y Acceso (IAM) y el Control de Acceso Basado en Roles (RBAC). Redujimos considerablemente error humano factores de la ecuación de seguridad al centralizar y automatizar todos sus procesos de gestión de certificados y claves.
Revisamos y actualizamos exhaustivamente todas sus políticas y estándares criptográficos, lo que les permitió comprender mejor la situación y orientarlos hacia una mejor alineación con controles criptográficos avanzados que cumplían con todos los estándares regulatorios y de cumplimiento necesarios. Al incorporar todas las medidas de seguridad necesarias en el marco criptográfico de su organización, pudimos ayudarles a desarrollar la capacidad de ser más criptoágiles e incorporar algoritmos de seguridad cuántica en su arquitectura para que pudieran adaptarse a los cambios futuros.
Nos aseguramos de que se implementara un marco criptográfico escalable que respaldara tanto sus entornos locales como sus entornos multinube (por ejemplo, AWS, Azure, etc.). También apoyamos a la organización en la mejora de su capacidad para gestionar y estandarizar controles criptográficos como el uso de protocolos TLS 1.2 o superiores para proteger los datos en tránsito para múltiples aplicaciones y plataformas, lo que les permite estar en una posición mucho mejor para adaptarse a la escala con sus crecientes demandas operativas mientras mantienen a raya las amenazas cada vez más sofisticadas.
Conclusión
Para las instituciones financieras, la confianza es la base de todo lo que hacen. Nuestra Evaluación de cifrado Tuvo éxito en cumplir el objetivo de la institución de transformar el cifrado de una red de seguridad a un activo estratégico, lo que incluyó fortalecer las prácticas de gestión de claves, avanzar en las tecnologías de cifrado y garantizar que los certificados digitales y las claves gestión del ciclo de vida Nuestras prácticas se alinean con las mejores prácticas de la industria. Ayudamos a la organización a transformar su infraestructura criptográfica en una base segura, escalable y preparada para el futuro, encaminándola hacia un futuro más seguro.