Bedrijfsoverzicht
We hebben onze encryptiebeoordeling voor een van onze klanten, een Fortune 500-organisatie in de financiële sector. De portefeuille van de organisatie bestond uit verschillende banken en geldautomaten verspreid over het hele land, en ze waren gespecialiseerd in creditcards, autoleningen, bankieren en spaarrekeningen. De Amerikaanse bank werd tientallen jaren geleden opgericht en heeft meerdere vestigingen verspreid over het land. Hoewel de instelling in de loop van enkele decennia snel groeide en nieuwe vestigingen in de Verenigde Staten opende, ging de snelle groei gepaard met toenemende beveiligingsrisico's die steeds weer nieuwe beveiligingslekken veroorzaakten.
Met hun doel om hun groei in de komende jaren te versnellen, zochten ze een beoordeling die hen een volledig overzicht gaf van hun huidige beveiligingsarchitectuur, kwetsbaarheden identificeerde, een op maat gemaakte strategie en raamwerk liet bouwen om rekening te houden met hun uitbreidingsplannen en te voldoen aan alle noodzakelijke nalevingsvoorschriften, terwijl ze tegelijkertijd werden beschermd tegen externe factoren. bedreigingen.
Challenges
Voor banken die te maken hebben met financiële transacties en gegevens en die gevoelige gegevens beschermen, zoals PII en PCI, beveiliging heeft de hoogste prioriteit. De organisatie kampte met verschillende problemen in haar cryptografische framework, waarvoor een gestructureerde en strategische aanpak ontbrak.
Ze werden blootgesteld aan cyberaanvallen zoals Man in the Middle vanwege het gebrek aan encryptie van hun gevoelige gegevens via opslag, bestanden, databases of interne datacommunicatie tussen verschillende IT-componenten, zoals applicaties die verbinding maken met databases of services die intern binnen een systeem communiceren. Dit stelde hun gevoelige gegevens bloot aan onbevoegden die deze konden lezen of wijzigen.
Er was geen goede sleutelbeheer vastgestelde praktijken, waaronder gecentraliseerde sleutelbeheerpraktijken, aangezien native sleutelbeheermogelijkheden werden gebruikt door verschillende leverancierspecifieke opslag- en back-upapparaten met beperkte sleutelrotatie en generatiepraktijken.
Er werd gebruik gemaakt van wachtwoorden in plaats van veiligere sleutelgebaseerde SSH authenticatie. Cryptografische privésleutels werden opgeslagen zonder de minst bevoorrechte toegangscontroles af te dwingen. Bovendien stelde de afwezigheid van een gedefinieerd sleutelrotatiebeleid voor de SSH-sleutels het systeem bloot aan risico's die verband hielden met het langdurig gebruik van verouderde of gecompromitteerde sleutels.
Er werden inconsistente encryptiepraktijken toegepast voor verschillende cloudgebaseerde platforms, waaronder encryptiesleutels die werden gegenereerd en beheerd door de respectievelijke serviceproviders (AWS KMS en Azure Key Vaults). Als gevolg hiervan Breng uw eigen sleutel mee (BYOK) De mogelijkheid werd niet benut, waardoor de controle van de organisatie over de encryptiesleutels werd beperkt. Door deze inconsistenties waren gevoelige gegevens onvoldoende beschermd in de cloudopslag.
Het resultaat
Onze aanpak was gericht op het oplossen van alle geïdentificeerde uitdagingen door een gestructureerde encryptiebeoordeling te creëren die hun volledige cryptografische raamwerk evalueerde, inclusief certificaat- en sleutellevenscyclusbeheerpraktijken voor on-premises en multicloudomgevingen. We begonnen ons proces met het opbouwen van een diepgaand, alomvattend begrip van de cryptografische normen en analyseerden de uitdagingen op het gebied van de beveiligingsomgeving van de organisatie.
Dit werd gevolgd door een grondige evaluatie van bestaande cryptografische beleidsregels, processen en standaarden, evenals diepgaande workshops om al hun encryptiemogelijkheden te begrijpen. We hebben specifieke use cases ontwikkeld, zoals het versleutelen van databases en big data-platforms zoals Hadoop en Cassandra, en het inschakelen van TLS 1.2 en hogere protocollen voor data-overdracht. We hebben ook hiaten geïdentificeerd in alle aspecten van hun toegepaste cryptografische praktijken die verbetering behoefden.
Onze beoordeling werd uitgevoerd om de belangrijkste beveiligingsdoelen van de organisatie te realiseren, waaronder het centraliseren en automatiseren van hun certificaat- en belangrijke levenscyclusbeheerprocessen om functionaliteitsproblemen op te lossen. Dit leidde tot minder operationele inefficiënties, het garanderen van tijdige verlengingen en het minimaliseren van het risico op uitval.
We hebben hun gegevensversleuteling gestandaardiseerd op alle technologische niveaus, waaronder applicatie-, database-, bestands- en mapniveaus. We hebben ook gezorgd voor consistent gebruik van TLS 1.2 of hogere protocollen om gegevensoverdracht en -overdracht te beveiligen, en voor het gebruik van de principes voor toegang met de laagste privileges.
We hebben er ook voor gezorgd dat aan alle vereiste nalevings- en regelgevingsnormen werd voldaan, zoals: FIPS 140-2 / 3, NIST 2,0, NIS-2, DORA en meer door de cryptografische controles en normen te herzien, evalueren en bijwerken en deze te implementeren binnen het cryptografische raamwerk van de organisatie.
Impact
Gedurende het project hebben we een sterk communicatiekanaal met de klant opgebouwd, zodat we de kern van alle beveiligingsproblemen konden achterhalen en de kloof tussen de huidige omgeving en de beveiligingsdoelen konden dichten. We hebben hun strategie aangepast om alle beveiligingslekken in hun cryptografische framework te dichten en een herstelplan op te stellen dat niet alleen helpt om al hun directe uitdagingen te beperken, maar hen ook op weg helpt om te voldoen aan hun beveiligings- en compliance-eisen op de lange termijn. Onze strategie was gericht op het versterken van toegangscontrole, het verbeteren van risicomanagement en het integreren van best practices in hun dagelijkse activiteiten.
Dit zijn enkele van de vele voordelen die ze ervoeren en die uiteindelijk hebben geleid tot het bereiken van hun doel: een veilige, efficiënte en schaalbare beveiligingsarchitectuur. Ze profiteerden van minder ongeautoriseerde toegang dankzij Identity and Access Management (IAM) en Role Based Access Control (RBAC). We hebben de kosten aanzienlijk verminderd. menselijke fouten factoren uit de beveiligingsvergelijking door al hun certificaat- en sleutelbeheerprocessen te centraliseren en automatiseren.
We hebben al hun cryptografische beleidsregels en standaarden grondig herzien en bijgewerkt. Dit heeft bijgedragen aan een beter begrip en heeft hen op weg geholpen om zich beter aan te passen aan geavanceerde cryptografische controles die aan alle noodzakelijke nalevings- en regelgevingsnormen voldoen. Door alle noodzakelijke beveiligingsmaatregelen in het cryptografische raamwerk van hun organisatie te implementeren, konden we hen helpen de capaciteit te ontwikkelen om crypto-agile te worden en kwantumveilige algoritmen in hun architectuur te integreren, zodat ze toekomstige veranderingen konden doorstaan.
We hebben ervoor gezorgd dat er een schaalbaar cryptografisch raamwerk is opgezet dat zowel hun on-premises- als multi-cloudomgevingen ondersteunt (bijv. AWS, Azuur, enz.). We hebben de organisatie ook ondersteund bij het verbeteren van haar vermogen om cryptografische controles te beheren en te standaardiseren, zoals het gebruik van TLS 1.2 of hogere protocollen om gegevens die onderweg zijn voor meerdere toepassingen en platforms te beveiligen. Hierdoor kunnen ze zich veel beter aanpassen aan de schaal van de groeiende operationele eisen en tegelijkertijd de steeds geavanceerdere bedreigingen op afstand houden.
Conclusie
Voor financiële instellingen staat vertrouwen centraal in alles wat ze doen. Encryptiebeoordeling was succesvol in het bereiken van het doel van de instelling om encryptie te transformeren van een vangnet naar een strategisch bezit, inclusief het versterken van sleutelbeheerpraktijken, het verbeteren van encryptietechnologieën en het garanderen dat digitale certificaten en sleutels levenscyclus management De werkwijzen zijn afgestemd op de beste praktijken in de sector. We hebben de organisatie geholpen bij het transformeren van haar cryptografische framework naar een veilige, schaalbare en toekomstbestendige basis, waarmee we de organisatie op weg hebben geholpen naar een veiligere toekomst.