U hrabrom potezu, Apple je objavio nacrt glasačkog listića za komentar na GitHub-u kako bi skratio certifikate Transport Layer Security (TLS) sa 398 dana na samo 45 dana do 2027. Appleov prijedlog će vjerovatno ići na glasanje na forumu pretraživača ovlaštenih za certificiranje (CA/B Forum) članova u narednim mjesecima.
Apple nije prvi od velikih igrača koji je predložio takav potez. Prošle godine, Google je najavio svoju namjeru da naloži 90-dnevne certifikate – nešto za što se očekuje da će stupiti na snagu svakog dana, što će značiti da će sve stranice koje se povezuju na Chrome morati obnavljati svoje identitete svakih 90 dana.
Stavljajući ovo pitanje na glasanje među članovima CA/B foruma i predlažući još kraće životne cikluse – Apple još više podiže prednost, jer CA/B forum ima značajan uticaj na sve glavne web pretraživače. Ali čak i ako glasanje ne uspije, ovi veliki igrači mogu prisiliti zajednicu ažuriranjem vlastitih pravila pretraživača – kao što su to činili u prošlosti.
Ne budite zabune, ove promjene su pozitivna vijest. Smanjenje životnog ciklusa smanjuje šanse da certifikat može biti kompromitovan od strane lošeg aktera i korišten u zlonamjerne svrhe. Ali promjene bi mogle stvoriti kratkoročnu bol za one koji nisu spremni. Svako preduzeće koje se povezuje na internet koristi TLS sertifikate. I svaki od ovih certifikata je potencijalna pojedinačna tačka kvara ako se njime ne upravlja na pravi način i ne osigurava. Stoga su implikacije za kompanije i vlade ogromne.
Koje su promjene i zašto su važne?
TLS certifikati se koriste za osiguranje i autentifikaciju komunikacije između stroja. Oni pružaju mašini – bilo da je to server, aplikacija, klaster ili radno opterećenje – sa identitetom. Upravo ovaj sistem omogućava vašem pretraživaču da zna da je stranica koju posjećujete zaista vaša lična banka, a ne stranica za krađu identiteta, na primjer.
Preduzeća koriste hiljade TLS mašinskih identiteta u svakom dijelu svoje infrastrukture, od cloud-a do podatkovnog centra. Prosečno preduzeće trenutno ima 3.730 TLS sertifikata, ali se očekuje da će to porasti na preko 5.000 u roku od dve godine – a to čak ni ne uzima u obzir ogroman broj TLS mašinskih identiteta povezanih sa kontejnerskim radnim opterećenjima, koja su eksponencijalno veća. Ako bilo koji od njih ostane da istekne, to može dovesti do kvara – i u tome leži izazov. Skraćivanje životnog ciklusa znači da identitete treba mnogo češće obnavljati ili zamjenjivati, povećavajući opterećenje programerskim i sigurnosnim timovima, a istovremeno povećavajući rizik od prekida rada i napada “čovjek u sredini”.
Predstoje nevolje…
Kada su nedavno upitani o njihovim stavovima o Googleovom prijedlogu za smanjenje životnog vijeka certifikata na 90 dana, 81% sigurnosnih lidera je reklo da vjeruje da će to pojačati postojeće izazove koje imaju oko upravljanja certifikatima. A skoro tri četvrtine (73%) reklo je da bi to moglo izazvati “haos”, a 75% je reklo da bi ih čak moglo učiniti manje sigurnim. Zabrinjavajuće je da 77% smatra da je više prekida rada „neizbežno“. S obzirom da Apple planira prepoloviti vijek trajanja certifikata, stvari bi mogle postati još haotičnije.
Kao što smo već vidjeli ove godine s velikim prekidima rada kao što je CrowdStrike, ovi incidenti nisu samo nezgodni – oni su skupi i razorni. Tokom perioda od 72 sata, prekid rada CrowdStrike-a izazvao je ukupno 5,4 milijarde dolara direktnih gubitaka za kompanije sa liste Fortune 500, sa preko 6.000 otkazanih termina u bolnici u Velikoj Britaniji i otprilike 16.896 letova širom svijeta.
Kako se povećava broj mašinskih identiteta kao što su TLS sertifikati i skraćuje period obnove za njihovu zamjenu, ispadi će vjerovatno postati nova normalnost – osim ako kompanije ne riješe problem. Da bi se spriječila reputacija i finansijska šteta, automatizacija mora biti centralna u strategijama sigurnosti identiteta mašine (MIS).
Kako se povećava broj mašinskih identiteta kao što su TLS sertifikati i skraćuje period obnove za njihovu zamjenu, ispadi će vjerovatno postati nova normalnost – osim ako kompanije ne riješe problem. Da bi se spriječila reputacija i finansijska šteta, automatizacija mora biti centralna u strategijama sigurnosti identiteta mašine (MIS).
Automatski prvi pristup
Dobra vijest je da je došlo do mnogo napretka u upravljanju identitetom i sigurnosti mašina koji mogu omogućiti glatku tranziciju. Ublažavanje ovih izazova zahtijevat će ugradnju automatizacije u upravljanje identitetom mašine. Implementacijom kontrolne ravni, organizacije mogu upravljati cijelim životnim ciklusom mašinskih identiteta i osigurati da sva digitalna sredstva mogu efikasno komunicirati jedni s drugima putem sigurnih veza.
Automatska rješenja za upravljanje identitetom strojeva moraju biti dizajnirana sa jedinstvenim i integriranim skupom sposobnosti. Kroz vidljivost inventara certifikata, uključujući ključne detalje kao što su ko ga posjeduje, gdje je instaliran, kada ističe i što je najvažnije, ako su identiteti u skladu sa sigurnosnim politikama, organizacije mogu lako identificirati i riješiti potencijalne probleme.
Osim toga, automatska funkcija obnove znači da IT timovi ne moraju brinuti o ažuriranju certifikata jer se sve to radi automatski. Uz praćenje i izvještavanje u realnom vremenu, svi certifikati mogu biti u skladu sa životnim vijekom od 45 dana, izbjegavajući zastoje i prekide uzrokovane certifikatima koji su istekli.
Idite ispred rizika
Uz Appleov nedavni prijedlog koji se zalaže za kraći vijek trajanja certifikata, digitalni krajolik se mijenja brže nego što su mnoge kompanije spremne. Organizacije koje ne reaguju suočit će se s još većim rizicima jer postaju sve ranjivije na prekide rada i sigurnosne incidente.
Kompanije moraju djelovati sada. Implementacijom automatizacije i razvojem robusne strategije sigurnosti mašinskog identiteta, organizacije mogu ostati ispred krivulje i zaštititi se od prekida i poremećaja koji su inače neizbježni. Ovo vjerovatno neće biti posljednji put da se skraćuje životni vijek certifikata, tako da je priprema sada od vitalnog značaja. Kompanije koje daju prioritet automatizaciji u upravljanju identitetom svojih mašina napredovaće u ovom novom okruženju, osiguravajući operativnu stabilnost i budući rast.
Izvor:Help Net Security
