Bedrijfsoverzicht
Het succesverhaal van het transformeren van beveiligingsoperaties met upgrades CipherTrust Manager draait om een Amerikaans telecommunicatiebedrijf dat in 2024 een marktkapitalisatie van meer dan $ 200 miljard had. Ze overtroffen andere grote spelers, waaronder China Mobile in Peking en een andere prominente Amerikaanse telecomgigant, door voortdurend grenzen te verleggen en maatregelen te nemen om een stap voor te blijven op het gebied van technologie en beveiliging. Met meer dan 1000 netwerkspecialisten in de telecomsector biedt deze organisatie de snelste 5G-netwerkdiensten aan haar klanten, of ze nu onderweg zijn, in de lucht zijn of gewoon supersnel thuisinternet willen ontdekken met een onbeperkt abonnement en de nieuwste apparaten.
Challenges
Het bereiken van operationele efficiëntie en beveiliging is onontbeerlijk in de telecomsector. Deze wereldleider had betrouwbare en schaalbare oplossingen voor sleutelbeheer nodig om zijn cryptografische infrastructuur uit te breiden.
De organisatie had verschillende oplossingen voor sleutelbeheer geïmplementeerd die geen standaard of consistent sleutelbeheerproces in een multi-cloudomgeving konden ondersteunen. Bijvoorbeeld, op het AWS-platform, KMS (sleutelbeheerservice) Met deze service konden gebruikers van de organisatie encryptiesleutels aanmaken en beheren voor diverse services, zoals het versleutelen van gevoelige gegevens die waren opgeslagen in S3-buckets of EBS-volumes. Het KMS verwerkte sleutelgeneratie, -rotatie, toegangsbeleid en andere sleutelbeheertaken zonder dat de gebruiker een aparte sleutelbeheeroplossing hoefde te implementeren.
Dit was in tegenspraak met een ander platform, waarbij het sleutelbeheer via een oplossing van derden werd afgehandeld. Deze oplossing configureerde de sleutelbeheertaken op een andere manier. De sleutelrotatieperiode was ook anders, waardoor het voor het beveiligingsteam van de organisatie lastig was om de verschillende encryptiebeleidsregels en -systemen op elk platform afzonderlijk bij te houden.
Verder stuitte het bedrijf op verschillende obstakels die verband hielden met het gebruik van de oude CipherTrust Manager, zoals in de vorige versie (2.0). Een dergelijk probleem deed zich voor toen een tweede datascan werd gestart om kwetsbaarheden in een dataopslag, zoals een database of bestandssysteem, te identificeren terwijl een eerdere scan nog bezig was. Als de nieuwe scan dezelfde dataopslag probeerde te scannen voordat de eerste scan was voltooid, mislukte de eerste scan herhaaldelijk. Dit probleem was problematisch voor het bedrijf omdat het de scanworkflows verstoorde en tijd en middelen verspilde. Als een scan voortijdig werd beëindigd telkens wanneer een tweede scan ermee overlapte, moest het bedrijf de scans opnieuw uitvoeren, wat onnodige vertraging opleverde.
In de vorige versie van CipherTrust Manager (2.0) leidde het gebrek aan standaardisatie in encryptieconfiguratie, -bewerkingen of -ondersteuning tot uitdagingen op het gebied van compatibiliteit en interoperabiliteit. Verschillende applicaties binnen de organisatie gebruikten verschillende cryptografische standaarden en protocollen. Zo werd één applicatie bijvoorbeeld versleuteld met AES-258 algoritme en sleutelgrootte, terwijl andere applicaties het AES 128-algoritme en de sleutelgrootte gebruikten. Dit inefficiënte sleutelbeheer veroorzaakte systeemvertragingen, wat de applicatieprestaties en de algehele gebruikerservaring van de organisatie beïnvloedde. Onze Senior Consultant gaf aan: "Deze latentie vertraagde niet alleen kritieke processen, maar veroorzaakte ook prestatieknelpunten, waardoor de normale werking van applicaties werd vertraagd."
De organisatie gebruikte de vorige versie van CipherTrust Manager waarin geen logs werden geregistreerd. Dit betekent dat als iemand binnen een dag na de laatste export een encryptiesleutel wilde exporteren, het systeem dat verzoek niet in de logs kon registreren. Hierdoor bleef er geen spoor van die actie over voor beveiligingsmonitoring of compliance. Dit gebrek aan logs maakte het voor de organisatie moeilijk om belangrijke exportactiviteiten te volgen en te controleren, wat mogelijk leidde tot hiaten in beveiligingsmonitoring en compliance.
De verouderde CipherTrust Manager maakte gebruik van onveilige cryptografische protocollen zoals TLS 1.0, waardoor systemen kwetsbaar waren voor Advanced Persistent Threats (APT's). Zonder het bijwerken van de encryptiemethoden groeide het aanvalsoppervlak van de organisatie en namen de beveiligingsrisico's toe.
De vorige versie van Key Manager ondervond meetbare downtime tijdens operationele activiteiten Zoals back-ups, systeemonderhoud of software-upgrades. Elke downtime, zelfs tijdens routinetaken, kan leiden tot verstoringen in het sleutelbeheer, beveiligingsrisico's en problemen met de applicatieprestaties.
Het bestaande CipherTrust Manager-systeem van de klant kampte met aanzienlijke uitdagingen, omdat het was gemarkeerd met de Einde van de levensduur (EOL) en Einde van de ondersteuning (EOS) status door de leverancier. Als gevolg hiervan ontving het systeem geen kritieke beveiligingspatches, updates of ondersteuning van de leverancier meer. Dit vormde een groot risico voor de beveiliging en naleving van de organisatie, aangezien eventuele kwetsbaarheden in het systeem niet konden worden verholpen.
Met de nieuwe upgradeversie 2.9 kon de organisatie de fysieke en virtuele vormfactoren van CipherTrust Manager benutten, die FIPS 140-2-compatibel tot niveau 3.
Het resultaat
Om de uitdagingen aan te pakken die werden veroorzaakt door de verouderde versie van CipherTrust Manager (CM), zijn we begonnen met een grondige beoordeling in de bestaande omgeving van de klant, inclusief cryptografische configuratie, netwerkinstellingen en coderingsprotocollenDit omvatte het verzamelen van informatie over de vraag of de organisatie on-premises, in de cloud of in een hybride omgeving (een combinatie van zowel on-premises als cloud) opereert. We evalueerden ook het aantal nodes dat de klant moest beheren om de oplossing te implementeren. Dit hielp ons de schaalbaarheidsvereisten te begrijpen en ervoor te zorgen dat de CM-versie optimaal zou werken binnen de beveiligingsparameters.
Op basis van de evaluatie hebben we de klant geholpen bij het selecteren van de gewenste versie van CipherTrust Manager die het beste aan hun beveiligingsvereisten voldeed. We hebben ook begeleiding geboden bij het upgradetraject van 2.0 tot 2.10 (2.0>2.4>2.6>2.8>2.9>2.10). Daarnaast is het essentieel om minimaal 35 GB vrije schijfruimte Beschikbaar om het upgradeproces succesvol uit te voeren. De klant had een groot aantal knooppunten en vereiste regionale distributie van CM over meerdere datacenters of cloudomgevingen. Wij raden de nieuwste versie 2.10 aan, die hoge beschikbaarheid en configuraties met meerdere regio's ondersteunt.
Om een upgrade van sleutels en beleid zonder downtime mogelijk te maken, gebruikten we PowerShell Scripts bij de integratie van het geüpgradede systeem met bestaande cloudplatforms en databases. Daarnaast werd een agentless discovery-module gebruikt om de zichtbaarheid van inventarisversleutelingssleutels in de hybride omgeving van de organisatie te garanderen.
We hebben de CTE (CipherTrust Encryption)-agenten Deze agents waren verantwoordelijk voor het versleutelen van data-at-rest op eindpunten of servers. Als de CTE-agents niet compatibel waren met de geüpgradede versie van CM, kon het versleutelingsproces mislukken of leiden tot problemen met de data-integriteit. Het updaten van de CTE-agents hield in dat ervoor moest worden gezorgd dat de agents de versie draaiden die overeenkwam met de nieuwe versie van CM (2.9) om de juiste communicatie en functionaliteit te behouden.
De upgrade elimineerde het gebruik van oude cryptografische protocollen zoals TLS 1.0 met minimale vereisten voor de geavanceerde protocollen zoals TLS 1.2Deze versie bevatte ook functies zoals volledige encryptieondersteuning voor microservices-architectuur. Voor multi-cloudomgevingen, waaronder AWS, Azure en Google Cloud, bood het zowel de Breng uw eigen sleutel mee (BYOK) en Hold Your Own Key (HYOK)-modellen. Deze vooruitgang zorgde ervoor dat de procedures van de organisatie met betrekking tot encryptie uniform bleven.
De verbetering verbeterde de prestaties bij cryptografische taken voor de realtime bescherming van gegevens die worden verzonden via bedrijfskritische systemen. Dit was met name belangrijk in omgevingen met grote volumes, waar vertragingen operationele verstoringen konden veroorzaken. Bovendien tokenization en versleutelingsmogelijkheden maakten de controle over belangrijke handelingen op grote schaal mogelijk.
Door te upgraden naar de nieuwste versie van CipherTrust Manager 2.10 kreeg de klant weer toegang tot technische ondersteuning van de leverancier en regelmatige beveiligingspatches die de End-of-Life (EOL)-problemen oplosten. Bovendien bood het verbeterde systeem mogelijkheden ter ondersteuning van een post-kwantum cryptografisch algoritme.
De Impact
De upgrade van de CipherTrust Manager De manier waarop de organisatie haar activiteiten beveiligde en aan de wettelijke normen voldeed, is fundamenteel veranderd. Deze verbeteringen hebben niet alleen bestaande kwetsbaarheden aangepakt, maar ook een solide basis gelegd voor schaalbaarheid en beveiliging op de lange termijn.
De organisatie verkeert nu in een veel sterkere positie om nieuwe cyberbeveiligingsuitdagingen het hoofd te bieden en zich aan te passen aan de veranderende eisen van de sector.
De organisatie is er aanzienlijk in geslaagd de risico's van geavanceerde persistente bedreigingen (APT's) en andere vormen van cyberaanvallen te beperken door verouderde cryptografische protocollen te vervangen door geavanceerde standaarden.
De upgrade zorgde ervoor dat de aanpak van de organisatie ten aanzien van encryptie in lijn was met belangrijke nalevingsnormen zoals Nationaal instituut voor normen en technologie (NIST) Speciale publicatie 800-57, Betaalkaart Industrie Gegevensbeveiligingsstandaard (PCI DSS) versie 4.0 en Cybersecurity Maturity Model Certification (CMMC) versie 2.0, waardoor hiaten die leidden tot mislukte encryptie-audits, werden gedicht. Naleving van wettelijke maatregelen en normen verkleinde de kans op boetes, sancties of reputatieschade.
Het verbeterde systeem hielp bij het bereiken van uniforme encryptie en sleutelbeheer in multi-cloud- en hybride systemen. Het maakte veilige, schaalbare communicatie tussen services mogelijk in de microservices-architecturen en stelde de organisatie in staat effectiever te werken in cloudomgevingen.
De upgrade leidde tot een vermindering van de latentie, wat met name cruciaal was in omgevingen met een hoog volume aan bewerkingen. Met de gemoderniseerde Key Lifecycle Management-oplossing verminderde de organisatie de behoefte aan handmatige processen en verlaagde ze de operationele kosten. De automatiseringsfunctionaliteiten, waaronder automatische sleutelrotatie, zorgden ervoor dat de organisatie voldeed aan alle procedures voor sleutelbeheer, wat de beveiliging verbeterde en het risico op menselijke fouten verkleinde.
Door het oplossen van end-of-life (EOL)-problemen werd de organisatie veilig en veerkrachtig genoeg om opkomende bedreigingen het hoofd te bieden. Ook de ondersteuning van de post-kwantum cryptografie algoritme maakte de organisatie weerbaar tegen de ontwikkelingen op het gebied van bedreigingen door quantumcomputing.
Conclusie
Met de juiste ondersteuning kan elke beveiligingsuitdaging worden omgezet in een kans om uw verdediging te versterken en uw activiteiten toekomstbestendig te maken. Dat is precies wat deze organisatie heeft bereikt door samen te werken met Encryption Consulting. Geconfronteerd met de dubbele druk van verouderde encryptiesystemen en evoluerende cyberbeveiligingsdreigingen, grepen ze de kans om onmiddellijke kwetsbaarheden aan te pakken en een veerkrachtig, schaalbaar beveiligingsframework voor de toekomst te bouwen.
Met het oog op de toekomst hebben we geavanceerde cryptografische protocollen, geautomatiseerd beheer van de levenscyclus van sleutels en multi-cloudintegraties geïntroduceerd. Deze verbeteringen hebben de organisatie voorzien van een infrastructuur die haar beschermt tegen toekomstige bedreigingen, terwijl ze tegelijkertijd veilig kan schalen en zich kan aanpassen aan voortdurend veranderende beveiligingsmogelijkheden. Met de juiste begeleiding hebben ze de uitdaging omgezet in een routekaart voor duurzame beveiliging en groei.