Sigurno upravljanje tajnama uz Thales CipherTrust Secrets Management

Posljednjih pet do sedam godina većina organizacija prolazi kroz proces digitalne transformacije. Uz dugačak popis benefita, ovaj proces uključuje i sve veće ”curenje” tajni te posljedične sigurnosne rizike. Pogrešno upravljanje tajnama, primjerice API ili SSH ključevima, tokenima ili sertifikatima, često dovodi do ulaska napadača u interne sisteme organizacije. Takvi su proboji najčešće rezultat ljudske pogreške i vrlo ih se lako moglo izbjeći.

Kredencijali, sertifikati, enkripcijski ključevi i API tokeni spadaju u kategoriju tajni, a svaka takva tajna može otvoriti put do internih resursa. Ako se nađe u krivim rukama, tajna može postati ozbiljna prijetnja za organizacije.

M2M (eng. machine to machine) proces autorizacije svakodnevno širi površinu napada. Pritom su ukradeni kredencijali bili i ostali glavno oruđe u rukama napadača. Prema recentnim istraživanjima, čak 61% svih proboja u interne sisteme organizacija uključuje ukradene kredencijale. Vrijeme je da se organizacije ”obračunaju” s tim problemom te zaštitu tajnih podataka postave kao prioritet.

Što sve spada u kategoriju tajni?

Da bi se poslovanje nesmetano odvijalo, mikro servisi, aplikacije i radna opterećenja moraju međusobno komunicirati. Ti komunikacijski protokoli, međutim, spadaju u kategoriju tajni.

Moderno poslovanje oslanja se na ”putovanje” podataka iz jednog okruženja u drugo, primjerice iz jednog oblaka u drugi, zbog čega su tajne raspršene. Tajne se tako nalaze u CI/CD cjevovodima (eng. CI/CD pipelines), slack kanalima i na mnoštvo drugih mjesta. Kako bi se organizacije zaštitile, upravljanje tajnama treba biti centralizirano.

Broj DevOps timova raste, a tako se i baze softverskih kodova. Sigurno upravljanje tajnama postaje ključno za zaštitu mikroservisa, razvojnih alata, kontejnera, orkestratora i API-je. Bez optimalne zaštite, njihovo je pravilno funkcioniranje ugroženo.

Bez pravilnog upravljanja tajnama, jedini način na koji se softverskim sistemima može omogućiti međusobni pristup je manualno dijeljenje tajni unutar timovima i njihovo ugrađivanje u kod. Takva situacija u praksi često rezultira upotrebnom slabih lozinki i njihovim korištenjem u više različitih sistema. Sve to otežava čuvanje tajni.

Zašto je upravljanje tajnama krucijalno?

Mnoštvo je razloga zbog kojih upravljanje tajnama treba postati prioritet organizacija, a glavni su:

• Povećani zahtjevi u kontekstu upravljanja podacima

Očekuje se da će Global DataSphere (IDC-jev sistem kvantificiranja i analiziranja količine stvorenih, snimljenih i repliciranih podataka u bilo kojoj godini diljem svijeta) duplo narasti u  periodu od 2022. do 2026. Pritom treba dodati da samo 54% organizacija zna gdje su njihovi osjetljivi podaci pohranjeni.

• Povećani zahtjevi o usklađenosti

Broj zakona i regulacija o zaštiti podataka svakodnevno raste. Pritom je 43% osjetljivih podataka u oblaku nekriptirano.

• Otežano upravljanje

39% ispitanika istaknulo je da je kompleksnost glavni izvor problema prilikom zaštite podataka. 52% podataka unutar organizacije je neklasificirano.

• Povećane povrede zaštite podataka

Broj proboja u podatke i interne sisteme organizacija raste, a pritom samo 53% organizacija ima kontrolu nad enkripcijskim ključevima te pristup kriptiranim podacima u oblaku.

Na sreću, Thales ima rješenje koje otklanja takve vrste izazova.

Thales CipherTrust  Secrets Management

CipherTrust Secrets Management omogućuje učinkovito upravljanje, pohranu i pristup tajnama. Rješenje pritom osigurava automatiziranu rotaciju tajni i usklađenost s regulativama.

Ključne funkcije CipherTrust Secrets Management uključuju:

• Centralizirano upravljanje tajnama
• Sigurna pohrana uz enkripciju
• Kontrola pristupa
• Automatizirana rotacija tajni
• Praćenje svih aktivnosti i generiranje izvještaja