Hoppa till innehåll

Webinar: Registrera dig för vårt kommande webbinarium

Registrera nu

  1. Blog
    2. Fallstudie

Hur krypteringskonsulttjänster stärkte ett energiföretags säkerhet med PKI-bedömning och supporttjänster

Postat avShruti Chandan 09 minuter
Framgångssaga-banner
Innehållsförteckning

Företagsöversikt 

Detta ledande energiinfrastrukturföretag i Nordamerika strävar efter att tillhandahålla ren och ekonomisk energi och investera i hållbarhet. Det är en av nyckelaktörerna inom området och betjänar över 300 000 industriella, kommersiella och hushållsmässiga gaskunder samtidigt som det upprätthåller säkerhet och tillförlitlighet med miljömässig hållbarhet. 

Det fungerar smidigt med 1 000 anställda, med kundnöjdhet som högsta prioritet. Företaget är involverat i utveckling av innovativ energiinfrastruktur för att öka tillgången till hållbara energiresurser och förbättra sin kapacitet. För att fortsätta vara en viktig tjänsteleverantör är målet att upprätthålla operativ excellens. Därför prioriterar man starka säkerhetsprotokoll, riskhanteringspraxis och efterlevnad tillsammans med kryptografiska standarder för att skydda sin infrastruktur och sina data. Genom att upprätthålla åtkomstkontroller, implementera starka kryptering metoder och kontinuerlig övervakning fortsätter den att bygga förtroende och värde för sina kunder samtidigt som den bidrar till en renare energiframtid. 

Utmaningar 

Som ett gasleverantörsföretag insåg de behovet av att säkerställa att deras system är både tillförlitliga och skalbara. Detta inkluderar att tillämpa starka säkerhetsåtgärder för att skydda känsliga uppgifter. Framstegen inom cyberhot tvingade företaget att förbättra sin säkerhet. Ett sätt att uppnå detta var genom att stärka sin Public Key Infrastructure (PKI), vilket är ett system som används för att hantera digitala certifikat och krypteringsnycklar. PKI hjälper till att säkerställa att endast betrodda användare och enheter kan komma åt företagets system.  

För att uppnå detta var företaget tvunget att stärka sin befintliga PKI miljö för att hantera dessa certifikat och nycklar, vilket säkerställer att allt är säkert och följer korrekta krypteringsregler. Som ett resultat skulle företaget skydda sig mer effektivt mot digitala hot. 

Bedömningen avslöjade betydande brister i PKI inom organisationen. Det fanns otillräcklig övervakning och ineffektiv riskdetektering, och Certifikatåterkallningslista (CRL) uppdateringarna var inkonsekventa. Det avslöjades också att det fanns kritiska sårbarheter i deras säkerhetsåtgärder för att hantera de ökade hoten och nackdelarna i PKI-infrastrukturen, såsom användningen av utgångna certifikat, svaga kryptografiska algoritmer och risken för felkonfigurerade certifieringsmyndigheter (CA)Dessutom saknades loggningsmekanismer inom PKI-ekosystemet, vilket skapade problem vid avvikelsedetektering i logganalysen. 

Vi identifierade en brist på grundläggande policyer som t.ex. Certifikatpolicy (CP) och certifikatpraxis (CPS), vilket resulterade i inkonsekvenser i utfärdande och hantering av certifikat, vilket ökade risken för felkonfigurationer, obehörig åtkomst och säkerhetsbrister. Detta beror på att utan en etablerad CP och CPS kan olika individer eller team inom organisationen utfärda certifikat med olika giltighetsnivåer och användningsbegränsningar.

För att förvärra det hela hade organisationen inte fastställt specifika riktlinjer för viktiga säkerhetsinställningar, såsom vilka kryptografiska algoritmer som används för att generera krypteringsnycklar, lämpliga längder på krypteringsnycklar, metoder för att generera hashvärden och strukturen för digitala certifikat. Utan dessa definierade standarder kan olika system eller avdelningar anta olika tillvägagångssätt, vilket leder till interoperabilitetsproblem.  

PKI-verksamheten var inte centraliserad och ineffektiv i skalning som svar på ökande säkerhetskrav på grund av avsaknaden av en Target Operating Model (TOM). TOM är en väldefinierad modell eller ett strategiskt ramverk som beskriver hur en organisation bör fungera för att vara effektiv och ändamålsenlig i att leverera värde till sina kunder i en idealisk miljö. 

Olika sårbarheter relaterade till certifikatlivscykelhantering aktiviteter identifierades i bedömningen, inklusive manuella processer för certifikathanteringDenna brist på automatisering för certifikathantering ledde till ineffektivitet, mänskliga fel, ökade driftskostnader, begränsad skalbarhet av PKI-infrastrukturen och ohanterade certifikat som ledde till frekventa avbrott i tjänsten, vilket ytterligare ledde till en ökning av driftskostnaderna med 10 %, medan ofullständiga säkerhetskopierings- och återställningsprocesser gjorde organisationen sårbar för dataförlust. 

Dessutom fanns inga fastställda riktlinjer för användningen av självsignerade och wildcard-certifikatDetta ledde till att det skapades blinda fläckar för obehörig åtkomst och orsakade störningar i verksamheten. Detta beror på att självsignerade certifikat inte utfärdas av betrodda certifikatutfärdare (CA) och därför resulterar i säkerhetsvarningar och misslyckad autentisering. Bristen på processer för nyckelförstöring, avregistrering och nyckelupptäckt ledde till ineffektivitet och orsakade brott mot efterlevnaden.      

Dessutom saknade organisationen en stark PKI och en formell riskbedömning eller efterlevnadsövervakning. Detta utsatte organisationen för oväntade säkerhetsintrång eftersom de inte kunde identifiera och åtgärda potentiella sårbarheter i sin infrastruktur proaktivt. På grund av detta kunde de inte säkerställa efterlevnad av branschstandarder och regler som National Institute of Standards and Technology (NIST), Federal Information Processing Standards (FIPS), Standard för säkerhet för betalningskortsindustri (PCI DSS), etc., vilket ledde till brotten mot efterlevnaden. 

PKI-tjänster för företag

Få komplett konsultstöd från början till slut för alla dina PKI-behov!

Läs mer

Lösning 

Krypteringskonsulting specialiserar sig på PKI-tjänster, inklusive PKI-bedömning och PKI-supporttjänsterDärför kontaktade organisationen oss för att få en bedömning av deras befintliga PKI-miljö och implementeringsplan för att åtgärda de identifierade bristerna.   

Vi inledde bedömningsprocessen genom att utvärdera befintliga kryptografiska policyer, standarder och PKI-arkitekturen och deras tillhörande användningsområden i hela organisationen för att bekräfta omfattningen. För att utveckla en första förståelse genomförde vi en granskning av deras befintliga procedurer, vilka inkluderar certifikat- och nyckelhanteringspolicyer och befintliga CP/CPS-dokument i deras miljö för lokala, moln- och hybrid-PKI. Efter detta genomförde vi workshops med relevanta intressenter för att utvärdera deras PKI-verksamhet.

Genom att analysera dessa aspekter identifierade vi viktiga förbättringsområden genom vår bedömning, såsom övervakning och riskdetektering, hantering av certifikatlivscykeln och efterlevnadsprocesser. Därför utformade vi en strategi och implementeringsplan för att åtgärda de identifierade bristerna och rekommenderade integration av lösningar utformade för att minska dessa säkerhetsbrister och göra det möjligt för organisationen att uppnå ett framtidsklart PKI-system.    

När organisationen framgångsrikt hade omsatt våra rekommendationer i praktiken bestämde de sig för att anmäla sig till våra PKI-supporttjänster dygnet runt. Detta är en prenumerationsbaserad tjänst, vilket innebär att de betalar en återkommande avgift för kontinuerlig hjälp. Som prenumerant får de personlig assistans anpassad till deras specifika behov, inklusive återställning av deras Public Key Infrastructure (PKI) vid fel, diagnostisering och åtgärd av problem, dvs. felsökning och ytterligare support vid behov. 

Efter att våra rekommendationer framgångsrikt implementerats prenumererade organisationen på våra PKI-supporttjänster, en prenumerationsbaserad supportmodell som är öppen dygnet runt. Tack vare detta fick de tillgång till anpassad support för sina olika behov, inklusive PKI-återställning, felsökning och hjälp vid behov.   

Oväntade PKI-relaterade driftstopp, såsom certifikatutgångar eller HSM fel kan vara dyra och orsaka kostsamma avbrott för detta branschledande företag. Genom att använda våra supporttjänster kunde organisationen därför snabbt återställa och minimera påverkan, vilket säkerställde affärskontinuitet. Detta resulterade i snabb responstid och djupgående återställningsplaner för att säkerställa att deras PKI kördes på nolltid. De mötte också utmaningar med certifikatdistribution över slutpunkter. För att hantera detta vägledde vi dem i implementeringen av Network Device Enrolment Service (NDES) för att säkerställa sömlös drift av certifikattillhandahållande och -hantering. 

Dessutom vår stöd service kom till undsättning för att hjälpa till i övergången till ett nytt HSM samtidigt som vi upprätthöll driften av organisationens befintliga Microsoft AD CS-baserade PKI-system. Vi tillhandahöll komplett assistans, från planeringsfasen till genomförandet av övergången genom våra supporttjänster, för att uppgradera deras HSM:er till nShield 5s-serien. 

Organisationen stod inför olika problem gällande styrning, med tanke på saknade viktiga policyer som certifikatpolicy (CP) och certifikatpraxisutlåtanden (CPS). För att åtgärda sårbarheterna använde organisationen därför våra supporttjänster för att skapa en certifikatpolicy (CP), ett dokument som definierar de regler och praxis som organisationen använder för att utfärda och använda digitala certifikat, och certifikatpraxisutlåtanden (CPS) för att definiera hur certifikatutfärdaren ska implementera de policyer som nämns i CP:n.   

Våra supporttjänster omfattade även skapande och publicering av Certifikatåterkallningslistor, vilket gjordes genom att underlätta listan över återkallade certifikat för att säkerställa att sådana certifikat inte längre används för autentisering eller kryptering av data. Vårt team rekommenderade bästa praxis, inklusive implementering av starka nyckelhanteringspolicyer, tillämpning av automatisering av certifikatlivscykeln och strikt åtkomstkontroll för skydd av privata nycklar för att säkerställa att organisationen följde branschstandarder och regulatoriska frågor när det gäller certifikathantering. 

För att minska driftseffektiviteten hjälpte vi organisationen att automatisera alla viktiga processer för certifikatförnyelser, CRL-uppdateringar och övervakning av certifikatstatus. Denna automatisering av processer skulle eliminera mänsklig inblandning och därmed minimera risken för mänskliga fel, såsom felaktiga CRL-uppdateringar, missade förnyelsedatum etc. För detta ändamål rekommenderade vi implementeringen av vår certifikathanteringslösning, CertSecure-hanterare

Inverkan 

Till följd av vår PKI-bedömning och kontinuerliga supporttjänster omvandlade organisationen sin infrastruktur till en säker, effektiv och skalbar infrastruktur samtidigt som resursutnyttjandet förbättrades. Genom att etablera ett starkt styrningsramverk säkerställs att PKI-miljön uppfyller branschstandarder och gör det möjligt för organisationen att uppfylla ständigt föränderliga säkerhetskrav och regelefterlevnad, vilket leder till minskade driftskostnader. 

Införandet av en PKI-modell baserad på mikrotjänster förbättrade säkerhetsnivån, flexibiliteten och automatiseringen i hanteringen av certifikatlivscykeln. Genom att separera PKI-funktioner i oberoende tjänster kunde organisationen skala upp processer för utfärdande, återkallelse och validering av certifikat på begäran. Detta förbättrade effektiviteten och prestandan i affärsverksamheten och förbättrade den övergripande säkerheten. 

Våra supporttjänster har förbättrat de kritiska operativa processerna, inklusive automatisering av certifikatförnyelser och återkallelser. Som ett resultat minskade manuella fel, vilket förbättrade den operativa effektiviteten och möjliggjorde en smidigare verksamhet och förbättrade affärskontinuiteten. Dessutom gav centraliserad hantering av kryptografiska tillgångar bättre insyn och kontroll och hjälpte organisationen att upprätthålla kritisk verksamhet, minskade serviceavbrott och förbättrad affärsflexibilitet.     

Etableringen av realtidsövervakningsfunktioner hjälpte organisationen att proaktivt upptäcka och reagera på risker. Detta underlättar därför tjänsternas tillgänglighet samtidigt som exponeringen för risker minimeras. De olika åtgärder som vidtagits för hanteringen av CRL stärkte säkerheten genom att möjliggöra snabb avvisning av föråldrade eller komprometterade certifikat. Detta ledde till ökat förtroende i systemen och ytterligare ökat kundförtroende. 

Med vårt kontinuerliga stöd förbättrar organisationen sin säkerhetsställning och säkerställer kontinuerliga uppdateringar av de senaste kryptografiska standarderna och bästa praxisen.

Slutsats 

När vi på Encryption Consulting ställs inför säkerhetsutmaningar omvandlar vi dem till tillväxtmöjligheter. Vi är engagerade i att förse organisationer med olika utvärderingar och utrusta dem med de verktyg och verktyg som behövs. stöd service de behöver för att säkra verksamheten idag och för de ständigt växande cybersäkerhetsutmaningarna. 

Därför samarbetade de med oss ​​och kunde etablera sig som en mycket säker, skalbar och motståndskraftig organisation. Vårt team arbetade dygnet runt för att identifiera kritiska sårbarheter, rekommenderade handlingsplaner för att åtgärda dem och skapade en framtidssäker grund för deras infrastruktur. Därför levererade vi till dem ett ständigt utvecklande och ständigt växande, framtidssäkert, säkert system mot hot som skulle kunna anpassas till vidare utveckling.  

Utforska

Fler ämnen