Bedrijfsoverzicht
Onze recente klant is een toonaangevende zorgaanbieder in Texas, die bekendstaat om het leveren van een breed scala aan medische diensten, van algemene zorg tot gespecialiseerde behandelingen voor kanker, hart- en vaatziekten, trauma en kindergeneeskunde.
Ze zijn de grootste aanbieder van zorgverzekeringen in de staat en werken samen met meer dan 150,000 artsen en andere zorgverleners, samen met meer dan 500 ziekenhuizen, om bijna 10 miljoen leden te bedienen. Ze bieden een breed scala aan zorgverzekeringen en -diensten, waaronder individuele polissen, collectieve en gezinspolissen van werkgevers, Medicaid, Medicare Advantage-polissen en tandheelkundige en oogheelkundige dekking.
Al meer dan een eeuw is deze organisatie een pijler van gezondheid en welzijn door in te spelen op persoonlijke, beroepsmatige en publieke gezondheidsbehoeften. Ze zetten zich in om ervoor te zorgen dat iedereen toegang heeft tot hoogwaardige gezondheidszorg via klinische zorg, welzijnsinitiatieven, outreach-programma's en verzekeringen en maatschappelijke ondersteuning, die 24/7 beschikbaar zijn.
Challenges
Voor onze klant, Publieke Sleutel Infrastructuur (PKI) vormde de ruggengraat van hun beveiligingsframework en speelde een cruciale rol bij het uitgeven van digitale certificaten voor onlinediensten, het authenticeren van externe toegang, het versleutelen van gevoelige gegevens en het waarborgen van de integriteit van interne communicatie. Hun PKI-omgeving was een hybride van on-premises en cloudgebaseerde modellen Ontworpen om de diverse behoeften van hun groeiende infrastructuur te ondersteunen. Naarmate de organisatie groeide en de digitale diensten complexer werden, kwamen echter bepaalde zwakke punten in hun bestaande PKI-infrastructuur aan het licht.
De root-CA bleef online en het domein werd toegevoegd, waardoor het aanvalsoppervlak groter werd en kwetsbaarder voor netwerkgebaseerde bedreigingen, privilege-escalatie en domeincompromissen. Deze blootstelling brengt de volledige PKI-infrastructuur in gevaar, omdat aanvallers die toegang krijgen tot de domeincontroller of het netwerk de root-CA kunnen manipuleren of controleren. Deze aanpak druist in tegen best practices en wettelijke vereisten in de branche, die benadrukken dat de root-CA offline en volledig geïsoleerd moet blijven om risico's te minimaliseren.
Het zorgbedrijf bewaarde zijn Root CA en de privésleutels van de uitgevende CA in een gecodeerd bestandssysteem op speciale servers. Deze methode was echter niet zo veilig als het gebruik van een speciaal systeem. Hardwarebeveiligingsmodule (HSM)omdat de privésleutels kwetsbaar werden als de encryptiesleutels gecompromitteerd werden of als een aanvaller ongeautoriseerde toegang tot de server zou krijgen.
De organisatie had geen gedefinieerde richtlijnen voor het aanmaken en gebruiken van zelfondertekende certificaten, waardoor gebruikers deze implementeerden zonder een effectief trackingmechanisme. Dit maakte het voor de organisatie lastig om ze te monitoren. Hierdoor verliepen sommige certificaten onopgemerkt, wat leidde tot certificaatuitval.
Bovendien was het bestand CAPolicy.inf niet op de hostserver geïnstalleerd vóór de installatie van de root-CA. CAPolicy.inf is een configuratiebestand dat de extensies, beperkingen en andere instellingen definieert, zoals de geldigheidsduur van certificaten en sleutellengtes, die van toepassing zijn op een root-CA-certificaat en alle certificaten die door de root-CA worden uitgegeven.
Zonder dit bestand werden de standaardinstellingen toegepast, waardoor de organisatie de PathLength niet kon configureren Basisbeperking, die het aantal ondergeschikte CA-niveaus beperkt dat kan worden gecreëerd. Deze oversight introduceerde kwetsbaarheden in de PKI-infrastructuur, omdat kwaadwillenden hierdoor malafide ondergeschikte CA's konden creëren onder de bestaande uitgevende CA's. Deze malafide CA's konden vervolgens ongeautoriseerde certificaten uitgeven, waardoor het vertrouwen in het gehele PKI-systeem werd ondermijnd.
De Root CA en Issuing CA van de organisatie hanteerden een certificaatgeldigheidsduur van 25 jaar. Dit is langer dan aanbevolen procedures, maar het risico op inbreuk op de privésleutel is groter vanwege ontwikkelingen in computerkracht, zoals quantumcomputing, cryptografische kwetsbaarheden zoals zwakheden in SHA-1 of ontoereikende sleutelbeschermingsmaatregelen.
Bovendien kunnen kwetsbaarheden of onjuiste configuraties in de CA-infrastructuur tientallen jaren blijven bestaan, waardoor het hele systeem kwetsbaar is voor misbruik. Een certificaatgeldigheidsduur van 25 jaar betekent dat dezelfde privésleutel gedurende langere tijd wordt gebruikt, terwijl een kortere certificaatgeldigheidsduur ervoor zorgt dat de privésleutel wordt gewisseld en vervangen voordat deze verouderd of kwetsbaar wordt. Daarom bevelen best practices kortere certificaatgeldigheidsperiodes aan om frequentere sleutelwisselingen en tijdige updates van cryptografische algoritmen te garanderen, wat het risico op langdurige blootstelling vermindert.
Een belangrijke uitdaging in de PKI-omgeving van onze klant was het ontbreken van een duidelijk gedefinieerde matrix voor de beheerder van de sleutel voor de root-CA en de uitgevende CA. Hun bestaande configuratie stond één geautoriseerde persoon toe om wijzigingen aan te brengen zonder goed toezicht, wat het risico op verkeerde configuraties, beveiligingslekken of gecompromitteerde certificaten verhoogde. Zonder deze matrix was er geen duidelijke verdeling van verantwoordelijkheid en aansprakelijkheid voor het beheer, de beveiliging en de levenscyclus van de privésleutels die bij deze kritieke componenten horen.
Bovendien betekende het ontbreken van zowel een noodherstelplan als een bedrijfscontinuïteitsplan dat er geen strategie was voor het herstellen van IT-systemen na een cyberaanval, verstoring of datalek, noch een plan om ervoor te zorgen dat essentiële bedrijfsactiviteiten tijdens en na dergelijke gebeurtenissen konden worden voortgezet. Dit gebrek aan voorbereiding verhoogde het risico op langdurige uitval en operationele vertragingen, wat mogelijk het vertrouwen van klanten en het vermogen van de organisatie om effectief op dergelijke incidenten te reageren, zou kunnen aantasten.
Door de vele kwetsbaarheden in de bestaande PKI-configuratie bestond er een voortdurend risico dat gevoelige gegevens van de organisatie in handen van aanvallers zouden vallen, waardoor de zorgverlener kwetsbaar werd voor beveiligingsinbreuken.
Het resultaat
Toen de zorgverlener contact met ons opnam, zochten ze deskundige begeleiding bij het opzetten en implementeren van een veilige PKI-infrastructuur die hun activiteiten zou beschermen tegen cyberaanvallen, ongeautoriseerde toegang en datalekken. Ook zouden ze hiermee nalevingsgerelateerde problemen kunnen aanpakken.
We begonnen met het verzamelen van gedetailleerde informatie over de PKI-omgeving van de klant, waardoor we een uitgebreid startdeck konden ontwikkelen. Deze fase omvatte het evalueren van hun bestaande cryptografische omgeving, inclusief beveiligingsbeleid, procedures en standaarden, en het definiëren van use cases op basis van systeemvereisten zoals SSL/TLS-certificaten voor beveiligde communicatie, S/MIME voor beveiligde e-mail, client- en serverauthenticatie en code ondertekening, en het vaststellen van implementatietaken en tijdlijnen. Op basis van de verzamelde informatie presenteerden we verschillende ontwerpopties en werkten we nauw samen met de klant om de nieuwe PKI-architectuur te finaliseren, waarbij we ervoor zorgden dat deze voldeed aan hun use cases en beveiligingsbehoeften.
Vervolgens gingen we over tot de bouwfase, waarbij we ons niet alleen richtten op de technologische infrastructuur die ontworpen zou worden, maar ook op de integratie ervan. Hardware-beveiligingsmodules (HSM's) voor veilige sleutelopslag. Er werd een sleutelceremonie gehouden om het vertrouwen van de klant en de naleving van richtlijnen zoals HIPAA en FIPSWe hebben de ceremonie veilig uitgevoerd, cryptografische sleutels aangemaakt en opgeslagen in HSM's, en de toegang beperkt tot geautoriseerde personen. Alle privésleutels van root-CA's en tussenliggende CA's werden veilig opgeslagen in fraudebestendige HSM's om naleving en operationele integriteit te waarborgen.
Nadat we de infrastructuur van de klant grondig hadden geëvalueerd en hun beveiligingsvereisten en belangrijkste uitdagingen hadden vastgesteld, ontwierpen en implementeerden we een betrouwbare en schaalbare tweelaagse Microsoft PKI-infrastructuur. Deze infrastructuur bestaat uit een veilige offline root-CA, die als vertrouwensbasis fungeert, en twee online sub-CA's voor de uitgifte van machine- en gebruikergebaseerde certificaten.
We hebben uitgebreide PKI-documentatie opgesteld voor architectuur, Key Ceremony-procedures, certificaatbeleid en Certificate Practice Statement. Deze documenten boden duidelijke richtlijnen en gestandaardiseerde processen voor het veilig beheren en schalen van de PKI-infrastructuur. Vervolgens hebben we kennisoverdrachtsessies met de klant gehouden, waarin een gedetailleerd plan voor PKI-activiteiten en noodherstelprocedures werd besproken om ervoor te zorgen dat de infrastructuur veerkrachtig en veilig bleef tegen opkomende bedreigingen.
We hebben het bestand CAPolicy.inf geconfigureerd voor de root-CA en uitgevende CA's, waarbij we de basisbeperking PathLength specificeerden om het aantal ondergeschikte CA-niveaus te beperken. Dit verkleinde het risico op malafide ondergeschikte CA's en verbeterde de beveiliging en het vertrouwen van het PKI-systeem.
Om de beveiliging van de privésleutels van de Root CA en de uitgevende CA te verbeteren, hebben we een matrix voor sleutelbewaarders gedefinieerd. Zo zorgen we ervoor dat geen enkele beheerder volledige controle heeft over de cryptografische sleutels. Sleutelbeheer Voor alle bewerkingen, waaronder het genereren, openen en herstellen van sleutels, was goedkeuring van meerdere beheerders nodig, waardoor scheiding van taken werd afgedwongen. Dit hielp het risico op ongeautoriseerde wijzigingen, bedreigingen van binnenuit en beveiligingsproblemen te verminderen en tegelijkertijd de verantwoording en het toezicht te verbeteren.
We hebben ook duidelijke richtlijnen geïmplementeerd voor het genereren en beheren van zelfondertekende certificaten, zodat deze worden bijgehouden, regelmatig aan het relevante team worden gerapporteerd en indien nodig correct worden ingetrokken. We hebben ook een goedkeuringsproces geïmplementeerd voor het genereren van zelfondertekende certificaten, zodat alleen geautoriseerde personen deze kunnen aanmaken.
We hebben de beveiliging van het PKI-systeem verbeterd en het apparaatbeheer eenvoudiger gemaakt door de integratie van de Netwerkapparaatinschrijvingsservice (NDES) om veilig certificaten uit te geven aan mobiele apparaten die beheerd worden door de infrastructuur van de klant. Om te dienen als een reverse proxy voor NDES-inschrijving, hebben we een Web Application Proxy (WAP)-server in het perimeternetwerk geïnstalleerd en NDES geïmplementeerd op het interne bedrijfsnetwerk. Om te garanderen dat alle communicatie via beveiligde HTTPS-verbindingen verloopt, zijn firewallregels ingesteld om alleen noodzakelijk verkeer op poort 443 toe te staan. Om effectief en veilig beheer van certificaatintrekking te bieden, hebben we ook een Online Certificaat Status Protocol (OCSP) Responder kan de status van certificaten in realtime controleren.
Functionele tests waren cruciaal om de integriteit en betrouwbaarheid van het systeem te garanderen. We ontwikkelden testcases en voerden grondige functionele tests uit om te bevestigen dat elk onderdeel van het systeem volgens plan werkte. Alle gevonden afwijkingen werden direct gecorrigeerd, waardoor we zeker wisten dat het systeem functioneerde zoals gepland.
Onze dienstverlening stopte daar niet. We ontwikkelden en implementeerden ook een noodherstel- en businesscontinuïteitsplan voor de PKI-infrastructuur. Deze plannen waren essentieel om snel herstel na verstoringen, cyberaanvallen of datalekken te garanderen en de continuïteit van de bedrijfsvoering te waarborgen. We adviseerden Hardware Security Modules (HSM's) voor het veilig opslaan van cryptografische sleutels, evenals geplande back-ups van alle PKI-gerelateerde gegevens en configuraties. Bovendien voegden we redundantie- en failoversystemen toe om ervoor te zorgen dat de PKI-infrastructuur up-and-running blijft, zelfs bij een systeemstoring.
Dankzij deze brede, gefaseerde aanpak konden we een betrouwbare, schaalbare en conforme PKI-infrastructuur leveren die voldeed aan de directe behoeften van de klant en die hen tegelijkertijd voorbereidde op toekomstig succes.
Impact
Encryption Consulting pakte alle belangrijke uitdagingen aan en implementeerde met succes een tweelaagse Microsoft PKI-infrastructuur om deze op te lossen. Met de nieuwe infrastructuur elimineerden ze alle operationele inefficiënties en compliance-lacunes en verminderden ze de risico's van datalekkenen waren klaar voor groei en veiligheid op de lange termijn.
De veilige offline Root CA, samen met de online ondergeschikte CA's, garandeerde de integriteit en betrouwbaarheid van alle digitale certificatenDe offline Root CA en veilige sleutelopslag in HSM's ervoor gezorgd dat hun privésleutels en gevoelige bewerkingen nu beschermd zijn tegen ongeautoriseerde toegang.
Goede, uitgebreide documentatie voorzag de zorginstelling van duidelijke, gedetailleerde richtlijnen voor het beheer en de werking van hun PKI. Het maakte het dagelijkse beheer efficiënter, vereenvoudigde de schaalbaarheid en maakte het systeem robuuster en betrouwbaarder.
Door de geldigheidsduur van certificaten te verkorten en sleutelbeheerders in te voeren, verkleinde de organisatie de kwetsbaarheid voor aanvallers. Dit maakte het moeilijk om ongeautoriseerde wijzigingen aan te brengen en zorgde ervoor dat potentiële problemen direct werden gesignaleerd en opgelost.
Door duidelijke richtlijnen op te stellen voor het beheer van zelfondertekende certificaten kon de klant meer controle houden over de uitgifte en het gebruik van certificaten, wat hielp bij het minimaliseren van risico's. Regelmatige monitoring en rapportage aan het beveiligingsteam zorgden voor een goed beheer van de levenscyclus van certificaten en voorkwamen dat verlopen certificaten downtime of operationele verstoringen veroorzaakten. Dit gestroomlijnde proces verminderde ook de administratieve overhead en operationele inefficiënties door ervoor te zorgen dat certificaten up-to-date waren en goed werden bewaakt.
Met het noodherstel- en bedrijfscontinuïteitsplan had het bedrijf nu een vangnet waarmee het zich snel kon herstellen van onverwachte verstoringen en de activiteiten kon voortzetten met minimale downtime. Door geplande back-ups en redundantiemaatregelen te implementeren, zorgden ze ervoor dat gevoelige gegevens en operationele systemen altijd beschermd waren en snel konden worden hersteld in geval van een storing. Dit gaf hen gemoedsrust, wetende dat hun kritieke systemen zelfs tijdens noodsituaties operationeel zouden blijven.
Over het geheel genomen voegde de PKI-opstelling een sterke beschermingslaag toe aan hun digitale omgeving. Het risico op ongeautoriseerde toegang en datalekken werd verminderd doordat alle communicatie en gevoelige gegevens veilig werden versleuteld en geauthenticeerd. Door een solide en schaalbaar PKI-systeem te implementeren, hebben we alle kwetsbaarheden die hen belemmerden effectief aangepakt en hen voorbereid op toekomstig succes.
Conclusie
Door de implementatie van onze uitgebreide PKI kon de zorgaanbieder zijn dienstverlening verbeteren en tegelijkertijd het vertrouwen van stakeholders en klanten behouden. Deze oplossing stelde hen bovendien in staat een effectief beveiligingsframework te bouwen en hun schaalbaarheid te vergroten.
Ze hebben een concurrentievoordeel op de markt verworven en hebben niet alleen voldaan aan de nalevingsvereisten, waardoor ze zich kunnen richten op het leveren van hoogwaardige patiëntenzorg. Ook kunnen ze in de toekomst vertrouwen in hun digitale diensten garanderen.
Een vaste stof PKI-infrastructuur kan de oplossing zijn als u de beveiliging van uw gegevens wilt verbeteren, uw openbare sleutelinfrastructuur wilt optimaliseren en wilt voldoen aan de veranderende regelgeving. Laten we praten over hoe wij u kunnen helpen bij het opzetten van een PKI systeem dat is afgestemd op uw behoeften!