Hur Encryption Consultings PKI-bedömning och implementering hjälpte detaljhandeln 

Företagsöversikt 

Denna detaljhandelsorganisation är en framstående aktör på den globala marknaden. Den driver ett stort nätverk av butiker som erbjuder ett brett utbud av konsumentvaror, från kläder och elektronik till livsmedel och hushållsartiklar. Med en betydande online-närvaro har företaget också byggt upp ett rykte för bekvämlighet, kundservice och konkurrenskraftiga priser. Den har tusentals anställda över hela världen och är engagerad i hållbara och etiska affärsmetoder. 

Trots sin framgång och storlek har organisationen stött på utmaningar i att hantera sin Public Key Infrastructure (PKI), avgörande för att säkra sina omfattande digitala transaktioner och kommunikationer. Företaget kämpade med att utvärdera och driftsätta sina PKI-system, vilka är avgörande för kryptering och digital signering av känsliga uppgifter. Denna brist har medfört risker för dataintegritet och säkerhet, vilket potentiellt påverkar kundernas förtroende och affärsverksamheten. 

Problemen härrörde främst från föråldrad PKI-teknik som inte tillräckligt kunde stödja den omfattning av digitala transaktioner som behandlas dagligen. Dessutom hindrade bristen på kvalificerad personal som var bekant med moderna PKI-lösningar effektiv uppgradering och hantering av dessa system.

Företaget insåg dessa sårbarheter och har inlett arbete med att se över sitt PKI-ramverk. Syftet är att integrera avancerade säkerhetsåtgärder, utbilda personal i den senaste tekniken och etablera ett robust PKI-system som överensstämmer med gällande cybersäkerhetsstandarder för att skydda kunddata och bibehålla sitt marknadsledarskap. 

Utmaningar 

1. Brist på planering och uppföljning

    Strukturerad och väl genomtänkt planering är en av de bästa metoderna för PKI-distribution. Väldefinierad planering hjälper inte bara en organisation att hålla koll på sina certifikat, utan minskar också säkerhetsriskerna för PKI:n.

   När systemet har funnits ett tag, och om det inte har byggts upp på ett strukturerat sätt, kan din organisation lätt tappa koll på vilka certifikat som har utfärdats. Många organisationer är inte uppmärksamma på eller vet hur många certifikat de har, deras utgångsdatum, var de finns etc. Konsekvenserna av sådan misskötsel sträcker sig från misslyckade revisioner till missbruk av certifikat och nycklar som i slutändan kan äventyra en organisations system.

2. Att inte allokera kvalificerade interna resurser

    Det vanligaste misstaget vid implementering av PKI är att underskatta de resurser som behövs. Att driva en intern PKI kräver ansträngning, tid och pengar. Ett dedikerat team med kompetenta resurser krävs för att sköta arbetet. PKI-teamet bör ha tillräckliga resurser och kompetenta ägare som kan leda och reagera effektivt på ett avbrott eller en säkerhetsincident.

3. Säkerhet för rot-CA:n

   Säkerheten för rot-CA:n måste övervägas noggrant. I PKI-distributioner kommer alla förtroenden från Certifikatutfärdare (CA)CA utfärdar rotcertifikatet, vilket säkerställer kryptografiska nycklars giltighet för att verifiera autentiska identiteter. Rot-CA:n är grunden för förtroendet för varje certifikat som utfärdas i organisationens miljö. Om du inte kan lita på din rot-CA kan du inte lita på din PKI.

   Enligt säkerhetsriktlinjerna är det avgörande att specificera vem som kan få certifikatet och när certifikatet kommer att återkallas för att etablera och upprätthålla förtroende för certifikatutfärdare och undvika misstag vid PKI-distribution. En regelbunden granskning av relevanta certifikatutfärdare krävs för att säkerställa att certifikatpraxispolicyerna (CPS) implementeras korrekt och för att undvika nätverksrisker.

4. Hantering av felaktigt certifikatlivscykel

   Ett annat misstag vid PKI-distribution är bristande framtidsplanering för att hantera hela certifikatlivscykeln. Dålig hantering av utgångna certifikat kan orsaka avbrott och betydande kostnader. Att automatisera certifikatförnyelser kan hjälpa i detta fall. Om organisationen gör en manuell insats är det ett måste att övervaka certifikatens utgång.

5. Lagrar inte certifikat och nycklar säkert

    Hackare kan använda olika tekniker för att analysera och upptäcka nycklar medan de används eller transporteras. Det är nödvändigt att säkerställa att nycklarna förvaras säkert under FIPS 140-2 nivå 3-system.

Lösningar 

1. Den nuvarande PKI-infrastrukturen utvärderas med hjälp av PKI-bedömningen. En ny PKI-tjänst baserad på Microsoft ADCS 2016 R2 utformades också. Detta mildrade problemet med att rot-CA:n löper ut och driftsättningen av rot-CA:n på ADCS 2008, vars stöd närmar sig slutet.

2. CP- och CPS-dokument skapades samtidigt som utfärdande CA:er konsoliderades från 9 till 4 ICA:er. Detta mildrade organisationens brist på CP/CPS policy och brist på dokumentation och rutiner.

3. Installation och konfiguration av HSM för lagring av CA- och ICA-nycklar, tillsammans med att skapa procedurer för nyckelceremonier och definiera roller och ansvar för nyckelhantering, minskade problemet med förlust av HSM-nycklar till rot-CA:n och bristen på korrekt definierade roller och ansvar för PKI-förvaltare.

4. Implementera PKI-hierarki med offline rot-CA och fyra utfärdande CA:er kopplade till fyra domänskogar.

5. Validera befintliga certifikatmallar och skapa nya certifikatmallar för att uppfylla befintliga och kommande krav för digitala certifikat. Använd den befintliga HTTP-servern och LDAP för CDP (CRL-distributionspunkt).

Inverkan 

1. Det hjälpte organisationen genom att tillhandahålla ett väldefinierat PKI-system.

2. PKI-bedömningen och implementeringen definierade personer, processer och teknik för att hantera PKI-infrastrukturen.

3. Det ledde också till att konsolidera och ta bort redundanta ICA:er, vilket minskade infrastruktur- och underhållskostnader.

4. PKI-bedömningen och implementeringen gav till och med den information som krävs till revisorerna.

5. Denna specifika bedömning och implementering av PKI möjliggjorde stöd för nya krav på digitala certifikat, såsom MDM, VPN och IoT-krav.

6. Det möjliggjorde utfärdande av giltiga certifikat för befintliga internt vända webbappar och en giltig certifikatkedja.

Slutsats 

Implementering av krypteringskonsulttjänster PKI-bedömning och implementeringen visade sig vara transformerande för denna detaljhandelsorganisation och hanterade effektivt dess tidigare utmaningar med att hantera sin Public Key Infrastructure. Detaljhandelsföretaget har avsevärt förbättrat sin dataintegritet och sina säkerhetsåtgärder genom att omforma PKI-systemen med en moderniserad struktur och förbättrade säkerhetsprotokoll. Denna översyn inkluderade konsolidering av utfärdande certifikatutfärdare, implementering av en ny PKI tjänst baserad på Microsoft ADCS 2016 R2, och etablera rigorösa rutiner för nyckelceremonier, vilket har effektiviserat hanteringen av digitala certifikat och nycklar.