Företagsöversikt
Framgångssagan om att transformera säkerhetsverksamheten med uppgradering CipherTrust Manager kretsar kring ett USA-baserat telekommunikationsföretag som ledde marknadskapitalet på över 200 miljarder dollar år 2024. De överträffade andra stora aktörer, inklusive China Mobile i Peking och en annan framstående amerikansk telekomjätte, genom att kontinuerligt tänja på gränserna och vidta åtgärder för att ligga steget före när det gäller att anpassa teknik och säkerhet. Med över 1000 nätverksspecialister inom telekombranschen erbjuder denna organisation de snabbaste 5G-nätverkstjänsterna för sina kunder, oavsett om de är på resande fot, i luften eller helt enkelt vill upptäcka höghastighetsinternet i hemmet med obegränsat abonnemang och de senaste enheterna.
Utmaningar
Att uppnå effektivitet i drift och säkerhet är inte förhandlingsbart inom telekombranschen. Denna globala ledare behövde pålitliga och skalbara nyckelhanteringslösningar för att utöka sin kryptografiska infrastruktur.
Organisationen hade implementerat olika nyckelhanteringslösningar som inte kunde stödja en standardiserad eller konsekvent nyckelhanteringsprocess i en multimolnmiljö. Till exempel, i AWS-plattformen, KMS (nyckelhanteringstjänst) Tjänsten gjorde det möjligt för organisationens användare att skapa och hantera krypteringsnycklar för olika tjänster, såsom att kryptera känslig data som lagrats i S3-bucket- eller EBS-volymer. KMS hanterade nyckelgenerering, rotation, åtkomstpolicyer och andra nyckelhanteringsuppgifter utan att användaren behövde implementera den separata nyckelhanteringslösningen.
Detta stred mot en annan plattform där nyckelhanteringen hanterades via en tredjepartslösning som konfigurerade nyckelhanteringsuppgifterna annorlunda, nyckelrotationsperioden var annorlunda vilket gjorde det svårt för organisationens säkerhetsteam att hålla reda på olika krypteringspolicyer och system separat över varje plattform.
Dessutom stötte företaget på flera hinder kopplade till användningen av den äldre versionen av CipherTrust Manager, till exempel i den tidigare versionen (2.0). Ett sådant problem uppstod när en andra dataskanning initierades för att identifiera sårbarheter i ett datalager, till exempel en databas eller ett filsystem, medan en tidigare skanning fortfarande pågick. Om den nya skanningen försökte skanna samma datalager innan den första skanningen var klar, misslyckades den första skanningen upprepade gånger. Detta problem var problematiskt för företaget eftersom det störde skanningsarbetsflöden och slösade bort tid och resurser. Om en skanning avslutades i förtid varje gång en andra skanning överlappade den, var företaget tvunget att köra om skanningarna, vilket ledde till onödiga förseningar.
I den tidigare versionen av CipherTrust Manger (2.0) medförde bristen på standardisering av krypteringskonfiguration, -drift eller -support utmaningar med kompatibilitet och interoperabilitet. Olika applikationer inom organisationen använde olika kryptografiska standarder och protokoll. Till exempel krypterades en applikation med hjälp av AES-258 algoritm och nyckelstorlek, medan andra applikationer använde AES 128-algoritm och nyckelstorlek. Denna ineffektiva nyckelhantering orsakade systemförseningar, vilket påverkade applikationens prestanda och organisationens övergripande användarupplevelse. Vår seniorkonsult nämnde: "Denna latens försenade inte bara kritiska processer utan orsakade också prestandaflaskhalsar, vilket saktade ner applikationernas normala drift."
Organisationen använde den tidigare versionen av CipherTrust Manager där loggar inte registrerades. Detta innebär att om någon begärde att exportera en krypteringsnyckel inom en dag efter den senaste exporten, kunde systemet inte registrera den begäran i loggarna, vilket lämnade inga spår av åtgärden för säkerhetsövervakning eller efterlevnad. Denna brist på loggning gjorde det svårt för organisationen att spåra och granska viktiga exportaktiviteter, vilket potentiellt kunde leda till luckor i säkerhetsövervakning och efterlevnad.
Den föråldrade CipherTrust Manager använde osäkra kryptografiska protokoll som TLS 1.0, vilket gjorde system sårbara för avancerade ihållande hot (APT). Utan att uppdatera krypteringsmetoder växte organisationens attackyta och säkerhetshoten ökade.
Den tidigare versionen av Key Manager upplevde mätbara driftstopp under operativ verksamhet som säkerhetskopiering, systemunderhåll eller programuppgraderingar. All driftstopp, även under rutinuppgifter, kan leda till viktiga hanteringsstörningar, säkerhetsrisker och problem med applikationernas prestanda.
Klientens befintliga CipherTrust Manager-system stod inför betydande utmaningar eftersom det var märkt med Uttjänt (EOL) och Slut på support (EOS) status av leverantören. Som ett resultat fick systemet inte längre kritiska säkerhetsuppdateringar, uppdateringar eller leverantörssupport. Detta utgjorde en stor risk för organisationens säkerhets- och efterlevnadsstatus, eftersom eventuella sårbarheter som upptäcktes i systemet inte kunde åtgärdas.
Med den nya uppgraderingen version 2.9 kunde organisationen utnyttja de fysiska och virtuella formfaktorerna hos CipherTrust Manager, vilka är FIPS 140-2-kompatibel upp till nivå 3.
Lösning
För att hantera utmaningarna som orsakats av den föråldrade versionen av CipherTrust Manager (CM) inledde vi vår grundliga bedömning i kundens befintliga miljö, inklusive kryptografisk konfiguration, nätverksinstallation och krypteringsprotokollDetta inkluderade att samla in information om huruvida organisationen arbetar lokalt, i molnet eller i en hybridmiljö (en kombination av både lokalt och molnet). Vi utvärderade också antalet noder som klienten behövde hantera för att driftsätta lösningen. Detta hjälpte oss att förstå skalbarhetskraven och säkerställa att CM-versionen skulle fungera optimalt inom säkerhetsparametrar.
Baserat på utvärderingen hjälpte vi kunden att välja den version av CipherTrust Manager som bäst skulle uppfylla deras säkerhetskrav. Vi guidade också genom uppgraderingsprocessen från 2.0 till 2.10 (2.0>2.4>2.6>2.8>2.9>2.10). Dessutom är det viktigt att ha minst 35 GB ledigt diskutrymme tillgänglig för att genomföra uppgraderingsprocessen. Klienten hade ett stort antal noder och krävde regional distribution av CM över flera datacenter eller molnmiljöer. Vi rekommenderar den senaste versionen 2.10 som stödde hög tillgänglighet och konfigurationer för flera regioner.
För att möjliggöra en uppgradering av nycklar och policyer utan driftstopp använde vi PowerShell-skript när vi integrerade det uppgraderade systemet med befintliga molnplattformar och databaser. Dessutom användes en agentlös identifieringsmodul för att säkerställa synligheten av inventeringsnycklar i hela organisationens hybridmiljö.
Vi har uppgraderat CTE-agenter (CipherTrust Encryption) också. Dessa agenter var ansvariga för att kryptera data i vila på slutpunkter eller servrar. Om CTE-agenterna inte var kompatibla med den uppgraderade versionen av CM kan krypteringsprocessen misslyckas eller resultera i problem med dataintegriteten. Uppdatering av CTE-agenterna innebar att säkerställa att agenterna körde den version som överensstämmer med den nya versionen av CM (2.9) för att upprätthålla korrekt kommunikation och funktionalitet.
Uppgraderingen eliminerade användningen av gamla kryptografiska protokoll som TLS 1.0 med minimikrav på avancerade protokoll som TLS 1.2Den här versionen inkluderade även funktioner som fullständigt krypteringsstöd för mikrotjänstarkitektur. För multimolnmiljöer, inklusive AWS, Azure och Google Cloud, erbjöd den både Ta med egen nyckel (BYOK) och HYOK-modeller (Hold Your Own Key). Denna utveckling säkerställde att organisationens rutiner gällande krypteringsmetoder förblev enhetliga.
Förbättringen ökade prestandan i kryptografiska uppgifter för att skydda data som överförs i realtid mellan verksamhetskritiska system. Detta var särskilt viktigt i miljöer med hög volym verksamhet, där förseningar kunde orsaka driftstörningar. Dessutom, höghastighets tokenization och krypteringsfunktioner underlättade kontrollen av nyckeloperationer i stor skala.
Genom att uppgradera till den senaste versionen av CipherTrust Manager 2.10 återfick kunden tillgång till leverantörens tekniska support och regelbundna säkerhetsuppdateringar som löser problemen med slutet av livscykeln (EOL). Dessutom erbjöd det förbättrade systemet funktioner som stödde en post-kvantkryptografisk algoritm.
Inverkan
Uppgraderingen av CipherTrust Manager förändrade fundamentalt hur organisationen säkrade sin verksamhet och upprätthöll efterlevnaden av regelverk. Dessa förbättringar åtgärdade inte bara befintliga sårbarheter utan lade också en stark grund för skalbarhet och långsiktig säkerhet.
Nu är organisationen i en betydligt starkare position för att mildra framväxande cybersäkerhetsutmaningar och anpassa sig till branschens ständigt föränderliga krav.
Organisationen lyckades avsevärt minska riskerna med avancerade ihållande hot (APT) och andra former av cyberattacker genom att ersätta föråldrade kryptografiska protokoll med avancerade standarder.
Uppgraderingen säkerställde att organisationens tillvägagångssätt för kryptering var i linje med viktiga efterlevnadsstandarder som National Institute of Standards and Technology (NIST) Specialpublikation 800-57, Betalningskortsindustris datasäkerhetsstandard (PCI DSS) version 4.0 och Cybersecurity Maturity Model Certification (CMMC) version 2.0, vilket hjälpte till att eliminera luckor som ledde till misslyckanden med krypteringsrevisioner. Efterlevnad av regelverk och standarder minskade sannolikheten för böter, påföljder eller anseendeskador.
Det uppgraderade systemet bidrog till att uppnå enhetlighet i kryptering och nyckelhantering över multimoln- och hybridsystem. Det möjliggjorde säker och skalbar kommunikation mellan tjänster i mikrotjänstarkitekturerna och gav organisationen möjlighet att arbeta mer effektivt i molnmiljöer.
Uppgraderingen ledde till minskade latenser, vilket var särskilt viktigt i miljöer med hög volym verksamhet. Med den moderniserade Key Lifecycle Management-lösningen på plats minskade organisationen behovet av manuella processer och sänkte driftskostnaderna. Automatiseringsfunktionerna, inklusive automatiserad nyckelrotation, säkerställde att organisationen följde alla nyckelhanteringsrutiner, vilket förbättrade säkerheten och minskade risken för mänskliga fel.
Genom att lösa problem med uttjänta produkter (EOL) blev organisationen tillräckligt säker och motståndskraftig för att möta nya hot. Dessutom stödet från post-kvantkryptografi algoritmen gjorde organisationen motståndskraftig mot framstegen inom kvantberäkningshot.
Slutsats
Med rätt stöd kan alla säkerhetsutmaningar omvandlas till en möjlighet att stärka ert försvar och framtidssäkra er verksamhet. Det är precis vad den här organisationen uppnådde genom att samarbeta med Encryption Consulting. Inför den dubbla pressen från föråldrade krypteringssystem och ständigt föränderliga cybersäkerhetshot tog de chansen att åtgärda omedelbar sårbarhet och bygga ett motståndskraftigt, skalbart säkerhetsramverk för framtiden.
Framöver har vi introducerat avancerade kryptografiska protokoll, automatiserad nyckellivscykelhantering och multimolnintegrationer. Dessa förbättringar har utrustat organisationen med en infrastruktur som skyddar den mot kommande hot samtidigt som den kan skala upp säkert och anpassa sig till ständigt föränderliga säkerhetsfunktioner. Med rätt vägledning förvandlade de utmaningen till en färdplan för varaktig säkerhet och tillväxt.