Hoe de PKI-beoordeling en -implementatie van Encryption Consulting de detailhandel heeft geholpen 

Bedrijfsoverzicht 

Deze retailorganisatie is een prominente speler op de wereldmarkt. Het exploiteert een uitgebreid netwerk van winkels met een breed assortiment consumentengoederen, van kleding en elektronica tot boodschappen en huishoudelijke artikelen. Met een aanzienlijke online aanwezigheid heeft het bedrijf ook een reputatie opgebouwd voor gemak, klantenservice en concurrerende prijzen. Het heeft wereldwijd duizenden werknemers en streeft naar duurzame en ethische bedrijfsvoering. 

Ondanks het succes en de omvang van de organisatie, heeft de organisatie te maken gehad met uitdagingen bij het beheren van haar Publieke Sleutel Infrastructuur (PKI), cruciaal voor de beveiliging van zijn uitgebreide digitale transacties en communicatie. Het bedrijf worstelde met de beoordeling en implementatie van zijn PKI-systemen, die essentieel zijn voor de encryptie en digitale ondertekening van gevoelige gegevens. Deze tekortkoming heeft geleid tot risico's voor de data-integriteit en -beveiliging, wat mogelijk van invloed is op het vertrouwen van klanten en de bedrijfsvoering. 

De problemen werden voornamelijk veroorzaakt door verouderde PKI-technologie die de omvang van de dagelijks verwerkte digitale transacties niet adequaat kon ondersteunen. Bovendien belemmerde het gebrek aan gekwalificeerd personeel dat bekend is met moderne PKI-oplossingen de effectieve upgrade en het beheer van deze systemen.

Het bedrijf heeft deze kwetsbaarheden onderkend en is begonnen met het vernieuwen van zijn PKI-framework. Het doel is om geavanceerde beveiligingsmaatregelen te integreren, personeel te trainen in geavanceerde technologieën en een robuust PKI-systeem te implementeren dat voldoet aan de huidige cybersecuritynormen om klantgegevens te beschermen en zijn marktleiderschap te behouden. 

Challenges 

1. Gebrek aan planning en tracking

    Gestructureerde en weloverwogen planning is een van de beste praktijken voor PKI-implementatie. Een goed gedefinieerde planning helpt een organisatie niet alleen om haar certificaten bij te houden, maar vermindert ook de beveiligingsrisico's voor de PKI.

   Als het systeem al een tijdje draait en niet gestructureerd is opgebouwd, kan uw organisatie gemakkelijk het overzicht verliezen over welke certificaten er zijn uitgegeven. Veel organisaties letten niet op het aantal certificaten dat ze hebben, de vervaldatums ervan, waar ze te vinden zijn, enz. De gevolgen van dergelijk wanbeheer variëren van mislukte audits tot misbruik van certificaten en sleutels, wat uiteindelijk de systemen van een organisatie in gevaar kan brengen.

2. Het niet toewijzen van geschoolde interne middelen

    De meest voorkomende fout bij de implementatie van PKI is het onderschatten van de benodigde resources. Het runnen van een interne PKI kost moeite, tijd en geld. Een toegewijd team met deskundige medewerkers is nodig om de klus te klaren. Het PKI-team moet over voldoende middelen en deskundige eigenaren beschikken die een storing of beveiligingsincident kunnen leiden en er effectief op kunnen reageren.

3. Beveiliging van de root-CA

   De beveiliging van de root-CA moet goed worden overwogen. Bij PKI-implementaties komen alle trusts van de Certificaatautoriteit (CA)De CA geeft het rootcertificaat uit, dat de geldigheid van de cryptografische sleutels garandeert om de authentieke identiteit te verifiëren. De root-CA vormt de basis van vertrouwen voor elk certificaat dat in de omgeving van de organisatie wordt uitgegeven. Als u uw root-CA niet kunt vertrouwen, kunt u uw PKI ook niet vertrouwen.

   Volgens de beveiligingsrichtlijnen is het cruciaal om te specificeren wie het certificaat kan verkrijgen en wanneer het certificaat wordt ingetrokken. Dit is cruciaal om vertrouwen in certificeringsinstanties te creëren en te behouden en fouten bij de implementatie van PKI te voorkomen. Een regelmatige audit van relevante certificeringsinstanties is vereist om te garanderen dat de Certificate Practice Statements (CPS) correct worden geïmplementeerd en om netwerkrisico's te voorkomen.

4. Levenscyclusbeheer van slechte certificaten

   Een andere fout bij de implementatie van PKI is een gebrek aan vooruitplanning voor het beheer van de volledige certificaatlevenscyclus. Slechte afhandeling van verlopen certificaten kan uitval en aanzienlijke kosten veroorzaken. Het automatiseren van certificaatvernieuwingen kan in dit geval helpen. Als de organisatie handmatige taken uitvoert, is het monitoren van de vervaldatum van certificaten een must.

5. Certificaten en sleutels niet veilig opslaan

    Hackers kunnen verschillende technieken gebruiken om sleutels te analyseren en te detecteren tijdens gebruik of overdracht. Het is noodzakelijk om ervoor te zorgen dat de sleutels veilig worden opgeslagen volgens FIPS 140-2 niveau 3-systemen.

Oplossingen 

1. De huidige PKI-infrastructuur wordt beoordeeld met behulp van de PKI Assessment. Er is ook een nieuwe PKI-service ontwikkeld, gebaseerd op Microsoft ADCS 2016 R2. Dit verzachtte het probleem van het verlopen van root-CA's en de implementatie van root-CA's op ADCS 2008, waarvan de ondersteuning bijna afloopt.

2. CP- en CPS-documenten werden gecreëerd tijdens de consolidatie van uitgevende CA's van 9 naar 4 ICA's. Dit verzachtte het gebrek aan CP/CPS beleid en gebrek aan documentatie en procedures.

3. Door de installatie en configuratie van HSM voor het opslaan van CA- en ICA-sleutels, samen met het opstellen van Key Ceremony-procedures en het definiëren van rollen en verantwoordelijkheden voor sleutelbeheer, werd het probleem van het verlies van HSM-sleutels aan de Root CA en het ontbreken van de juiste rollen en verantwoordelijkheden voor PKI-beheerders opgelost.

4. Implementeer PKI-hiërarchie met een offline root-CA en 4 uitgevende CA's die verbonden zijn met vier domeinforests.

5. Valideer de bestaande certificaatsjablonen en maak nieuwe certificaatsjablonen om te voldoen aan bestaande en toekomstige vereisten voor digitale certificaten. Gebruik de bestaande HTTP-server en LDAP voor CDP (CRL-distributiepunt).

Impact 

1. Het hielp de organisatie door een goed gedefinieerd PKI-systeem te bieden.

2. Bij de PKI-beoordeling en -implementatie werden mensen, processen en technologie gedefinieerd voor het beheer van de PKI-infrastructuur.

3. Het leidde ook tot het consolideren en verwijderen van overbodige ICA's, waardoor de infrastructuur- en onderhoudskosten werden verlaagd.

4. De PKI-beoordeling en -implementatie leverden zelfs de benodigde informatie op voor de auditors.

5. Deze specifieke beoordeling en implementatie van PKI maakte ondersteuning mogelijk voor nieuwe eisen op het gebied van digitale certificaten, zoals MDM, VPN en IoT-vereisten.

6. Hierdoor konden geldige certificaten voor bestaande intern gerichte web-apps en een geldige certificaatketen worden uitgegeven.

Conclusie 

Implementatie van Encryption Consulting's PKI-beoordeling en Implementatie bleken een transformatieve verandering voor deze retailorganisatie en pakten effectief de eerdere uitdagingen aan met betrekking tot het beheer van de Public Key Infrastructure. Het retailbedrijf heeft zijn data-integriteit en beveiligingsmaatregelen aanzienlijk verbeterd door de PKI-systemen opnieuw te ontwerpen met een gemoderniseerde structuur en verbeterde beveiligingsprotocollen. Deze revisie omvatte het consolideren van uitgevende certificeringsinstanties, de implementatie van een nieuwe PKI service gebaseerd op Microsoft ADCS 2016 R2 en het vaststellen van strenge Key Ceremony-procedures, waardoor het beheer van digitale certificaten en sleutels is gestroomlijnd.