Hoppa till innehåll

47-dagarscertifikat kommer. Är du redo?

Agera nu →

  1. Blog
    2. Fallstudie

En framgångssaga om hur vi transformerade en ledande amerikansk vårdorganisations säkerhet med vår PKI-bedömning

Postat avAditi Goel 07 minuter
Framgångssaga-banner
Innehållsförteckning

Företagsöversikt

Vi har precis avslutat ett av de mest omfattande bedömning av infrastruktur för offentliga nycklar projekt med den ledande Minnesota-baserade hälsovårdsorganisationen, en ledare inom sitt område, fungerar som hem för mer än 7000 passionerade yrkesverksamma, dedikerade till att sätta nya standarder för apotek och utveckla behandlingar, i strävan att hitta botemedel mot sjukdomar. Årtionden har gått, och denna organisation blev ett exemplariskt namn, förenklade komplexiteter och levererade en exceptionell plattform för hembaserade apotekstjänster till miljontals människor över hela nationer. Ju större den växte, desto fler utmaningar uppstod, särskilt i hanteringen av dess Public Key Infrastructure.

Utmaningar

Under årens lopp hade deras PKI utvecklats utan en strukturerad metod för implementering Certifikatutfärdare (CA) och uppdatera listor över återkallelse av certifikat. Denna ad hoc-process blev mindre av ett säkerhetssystem och mer av ett lapptäcke, funktionell men inte skalbar.

Manuell hantering av livscykelprocesser, såsom utfärdande, förlängningoch återkallande Att hantera tusentals certifikat var svårt för organisationerna, vilket försenade verksamheten och ökade risken för avbrott på grund av att utgångna certifikat låg kvar i systemet. Det blev ett klassiskt fall av "det som fört dig hit kommer inte att föra dig hit i framtiden", och de insåg att det var dags för en förändring.

Vår säkerhetsarkitekt uttryckte det passande: ”Organisationens PKI-miljö hade utvecklats för att möta omedelbara säkerhetskrav, men utan en strategi som fokuserade på efterlevnad eller centraliserad tillsyn lämnade den kritiska luckor som kunde leda till kostsamma påföljder.” Dessa luckor lämnade certifikatrelaterade risker ouppmärksammade.

Dessutom fanns det inga formella policyer som certifikatpolicy (CP) eller certifikatpraxis (CPS) för att vägleda PKI-verksamheten. Root CA och utfärdande CA:s privata nycklar lagrades lokalt i programvarubaserade lösningar som saknade starka åtkomstkontroller.

I en hybridmiljö är det svårt att uppnå konsekvens. Med verksamheter både lokalt och molnbaserade plattformar, brottades organisationen med utmaningarna med att hantera konstant kryptografisk kontroller och policytillämpning med varierande säkerhetskrav.

En av de viktigaste intressenterna delade: ”Varje gång vi trodde att vi hade kontroll över säkerheten uppstod en ny blind fläck.” Bristen på insyn och operativa utmaningar, som avsaknaden av en regelbunden säkerhetskopieringsprocess för certifikatutfärdarens databaser, utsatte dem för dataförlust och certifikatupptäckt ägde aldrig rum på grund av att jokertecken- och självsignerade certifikat låg obemärkta i sin miljö, vilket ökade risken för certifikatavbrott.

Utan en underhållen certifikatinventering eller korrekt process för certifikatidentifiering, jokertecken och självsignerade certifikat skulle förbli dolda i miljön. Sådana certifikat skapade blinda fläckar vilket resulterade i obehörig åtkomst, bristande ansvarsskyldighet och potentiellt utnyttjande av oanvända certifikat.

PKI-miljön saknade också flexibiliteten att snabbt anpassa sig till framtida krav, eftersom den byggdes med ett beroende av en enda CA eller en rigid CA-strategi, vilket i slutändan låste organisationen till en leverantör. Detta gjorde det svårt att reagera på nya säkerhetstrender, regeländringar eller uppdateringar i kryptografiska standarder, såsom övergången från TLS 1.2-protokollet till TLS 1.3-protokollet.

Lösning

Efter att noggrant ha utvärderat olika PKI-bedömning plattformar valde organisationen vår strukturerade och etappvisa strategi som den ideala lösningen för att ta itu med deras akuta utmaningar, med erkännande av vår dokumenterade erfarenhet av att leverera skräddarsydda, effektiva och skalbara säkerhets- och efterlevnadstjänster.

Vi utvärderade PKI-infrastrukturens förmåga att stödja integrationer med flera certifikatutfärdare. Denna flexibilitet skulle göra det möjligt för organisationen att möta olika användningsområden, från interna certifikat till externa efterlevnadskrav, utan att vara bunden till en enda leverantör.

Med projektets omfattning tydligt definierad började vi med att granska deras befintliga policyer och standarder, inklusive dataklassificering, certifikat och nyckelhantering. Vi fick en tydlig förståelse för deras operativa utmaningar och säkerhetskrav, vilket hjälpte oss att fastställa användningsfallen, inklusive:

  • Säkra klient- och serverkommunikation
  • Aktivera principer för åtkomstkontroll med lägsta behörighet
  • Centraliserade och automatiserade certifikat och nyckelhantering
  • Implementera starka och kompatibla kryptografiska kontroller och standarder

Vi genomförde workshops med identifierade intressenter för att utvärdera deras befintliga PKI-miljö. Detta inkluderade att tillhandahålla detaljerad gap-analys för att bedöma deras PKI-status i befintligt skick kontra PKI-status i "blivande".

Analysen identifierade förbättringsområden inom certifikatlivscykelhantering process, nyckelhanteringspraxis, certifikatpolicy och dokumentation av certifikatpraxis.

Denna utvärdering genomfördes med hjälp av ett anpassat PKI-ramverk, utformat i linje med bästa praxis i branschen och efterlevnadsstandarder, såsom NIST 2.0 och FIPS 140-2 / 3.

För att identifiera luckor och förbättringsområden fungerade den som referensmodell för att bygga en strategisk åtgärdsplan för en framtidsklar PKI-miljö.

Efter att ha genomfört bedömningen utformade vi en skräddarsydd strategi som prioriterade efterlevnad av regelverk, såsom NIST SP 1800-16, säkerställde nyckelgenerering (t.ex. med nyckelbitstorlek 2048 eller högre) och implementerade principer för åtkomstkontroller med lägsta privilegium för att förhindra obehörig åtkomst.

PKI-tjänster för företag

Få komplett konsultstöd från början till slut för alla dina PKI-behov!

Läs mer

Vår PKI-bedömningsmetod fokuserade på att automatisera certifikat- och viktiga livscykelhanteringsprocesser, minska manuell arbetsbelastning och minimera risken för certifikatavbrott. Till exempel hjälper automatiserade certifikatutgångsaviseringar till att meddela intressenter i realtid, vilket säkerställer proaktiva och automatiserade förnyelser.

Dessutom rekommenderade vi en automatiserad säkerhetskopieringsprocess för CA-databaser för att säkerställa dataåterställning som gav förbättrad synlighet. standardiserade PKI-policyer för konsekvent certifikathantering med målet att fasa ut riskfyllda självsignerade och ohanterade jokerteckencertifikat.

Vår gapanalys betonade också vikten av att centralisera certifikatinventeringen för att spåra och övervaka certifikat i både lokala och molnmiljöer. Vår chefs mål var att uppnå en enda överblick, vilket skulle möjliggöra spårning och övervakning av certifikatstatus, ägarskap och beroenden, åtgärda blinda fläckar och förbättra ansvarsskyldigheten.

Inverkan

Under hela projektet prioriterade vi att identifiera grundorsaken till deras säkerhetsutmaningar och att överbrygga klyftan mellan deras nuvarande PKI-miljö och långsiktiga säkerhetsmål. Vår strategi fokuserade på att tillhandahålla en strategi och en detaljerad åtgärdsplan eller rekommendationer för att automatisera CLM processer och integrera bästa praxis i den dagliga verksamheten.

Organisationen uppnådde betydande förbättringar i stärkandet av säkerhetsställningen genom att automatisera certifikatlivscykelprocessen från utfärdande till förnyelse och nyckelhanteringsprocesser, vilket minimerade beroendet av manuella ingrepp. Ett anmärkningsvärt resultat var deras förmåga att aktivt hantera certifikatförnyelser för att förhindra tjänsteavbrott orsakade av utgångna certifikat.

Organisationen uppnådde kontinuerlig drift utan avbrott i tjänsten tack vare automatiserade aviseringar och en process för certifikatförnyelse.

Dessutom lagrades och hanterades root- och utfärdande CA:s privata nycklar säkert med hjälp av Hårdvarusäkerhetsmodul (HSM)Starka åtkomstkontroller säkerställdes, med tydligt definierade moral- och ansvarsfördelningar inom organisationen för att säkerställa förtroende för certifikatverksamheten.

Som ett resultat av vår bedömning antog organisationen en lösenordsfri metod för att stärka säkerheten och förenkla användarautentisering. Certifikat distribuerades på alla slutpunkter, inklusive bärbara datorer, mobiltelefoner, interna webbservrar och IoT-enheter.

Organisationen etablerade standardiserade och centraliserade processer för att hantera sin PKI. Detta inkluderade att hantera hur begäranden om certifikatsignering genererades, godkännanden hanterades och certifikat spårades och övervakades i certifikatinventariet.

Organisationen fokuserade på att skapa ett centraliserat certifikathanteringssystem som hjälper teamet att säkerställa vilka certifikat som är aktiva, vem som äger dem och vilka som behöver omedelbar uppmärksamhet.

Genom att hålla ett öga på kommande utgångsdatum undviker organisationen oväntade problem som avbrott i tjänsten.

Slutsats

Där digitalt förtroende är grunden för varje organisation handlar effektiv PKI-hantering inte bara om att hålla saker och ting igång smidigt, utan är också en strategisk nödvändighet. Vår omfattande PKI-bedömning gjorde det möjligt för sjukvården att övergå från en fragmenterad PKI till en säker och skalbar PKI.

Organisationens övergång till standardiserad PKI miljön har förbättrat insynen i deras PKI, vilket hjälper dem att hantera kommande certifikatutgångar och undvika kostsamma avbrott. Denna metod visar hur ett enkelt, välplanerat system kan göra stor skillnad och säkerställa förtroende och säkerhet under kommande år.

Framöver planerar organisationen att utöka dessa funktioner genom att automatisera distribution och hantering av certifikat, integrera PKI med befintliga identitets- och åtkomsthanteringssystem och utnyttja PKI för nya användningsområden, såsom säkerhet för IoT-enheter.

Utforska

Fler ämnen