Bezpečnostní profesionálové nechrání klíče a certifikáty stejně účinně jako uživatelská jména a hesla

Studie srovnávající bezpečnostní kontroly lidské a strojní identity odhaluje znepokojující trend. Zatímco téměř všechny organizace mají politiku upravující délku hesla pro uživatele (lidské identity), pouze polovina má písemnou politiku týkající se délky a náhodnosti klíčů pro strojové identity, navzdory rychlému šíření strojů, které se musí navzájem autentizovat, aby mohly bezpečně komunikovat.

Při autentizaci na strojích se lidé spoléhají na uživatelská jména a hesla, aby získali přístup k datům nebo službám. Kvůli bezpečné komunikaci se podobně musí navzájem autentizovat i stroje. Virtuální stroje (VM), aplikace, algoritmy, API a kontejnery, a dokonce i zařízení IoT, se spoléhají na kryptografické klíče a digitální certifikáty, které slouží jako identity strojů, které jim poskytují informace o tom, že je sdílení dat bezpečné.

Průzkum společnosti Venafi, která se specializuje na zabezpečení kryptografických klíčů a digitálních certifikátů, zjistil, že 85% organizací má politiku upravující délku hesla pro lidské identity. Průzkum 1 500 odborníků v oblasti IT bezpečnosti z USA, Velké Británie, Francie, Německa a Austrálie ukázal, že pouze 54% má písemnou politiku týkající se délky a náhodnosti pro klíče pro identifikaci strojů.

Venfai našel organizace, které utratí letos více než 10 miliard dolarů výhradně na ochranu lidských identit. Výdaje na ochranu identity strojů zůstávají „relativně ploché“, uvedli vědci (není uvedeno přesné číslo), a to navzdory exponenciálnímu nárůstu počtu počítačů, které potřebují identity, včetně virtuálních strojů, aplikací, algoritmů, API a kontejnerů.

"Protože kybernetičtí zločinci chápou sílu strojových identit a jejich nedostatečnou ochranu, zaměřují je na jejich využití," uvedli průzkumníci.


Mezi další nálezy patří:

  • 49% organizací kontroluje délku a náhodnost svých klíčů, zatímco 70% tak činí pro hesla.

  • Pouze 55% má písemnou politiku stanovující, jak často by se měly měnit certifikáty a soukromé klíče, zatímco 79% má stejnou politiku pro hesla.

  • Pouze 42% organizací automaticky vynucuje střídání certifikátů TLS, zatímco 79% automaticky vynucuje střídání hesel.

  • Pouze 53% kontroluje, jak často by se měly měnit certifikáty a soukromé klíče, ve srovnání se 73% u hesel.


Vědci tvrdí, že ačkoli útoky využívající identity strojů jsou relativně nové, jsou velmi účinné. Kromě toho propast mezi bezpečnostními kontrolami používanými na lidské identity a kontrolami používanými na strojní identity vystavuje organizace nesmírným rizikům, zejména pro digitální podniky, které se při každodenním provozu velmi spoléhají na stroje.