Posljednjih pet do sedam godina većina organizacija prolazi kroz proces digitalne transformacije. Uz dugačak popis benefita, ovaj proces uključuje i sve veće ”curenje” tajni te posljedične sigurnosne rizike. Pogrešno upravljanje tajnama, primjerice API ili SSH ključevima, tokenima ili sertifikatima, često dovodi do ulaska napadača u interne sisteme organizacije. Takvi su proboji najčešće rezultat ljudske pogreške i vrlo ih se lako moglo izbjeći.
Kredencijali, sertifikati, enkripcijski ključevi i API tokeni spadaju u kategoriju tajni, a svaka takva tajna može otvoriti put do internih resursa. Ako se nađe u krivim rukama, tajna može postati ozbiljna prijetnja za organizacije.
M2M (eng. machine to machine) proces autorizacije svakodnevno širi površinu napada. Pritom su ukradeni kredencijali bili i ostali glavno oruđe u rukama napadača. Prema recentnim istraživanjima, čak 61% svih proboja u interne sisteme organizacija uključuje ukradene kredencijale. Vrijeme je da se organizacije ”obračunaju” s tim problemom te zaštitu tajnih podataka postave kao prioritet.
Što sve spada u kategoriju tajni?
Da bi se poslovanje nesmetano odvijalo, mikro servisi, aplikacije i radna opterećenja moraju međusobno komunicirati. Ti komunikacijski protokoli, međutim, spadaju u kategoriju tajni.
Moderno poslovanje oslanja se na ”putovanje” podataka iz jednog okruženja u drugo, primjerice iz jednog oblaka u drugi, zbog čega su tajne raspršene. Tajne se tako nalaze u CI/CD cjevovodima (eng. CI/CD pipelines), slack kanalima i na mnoštvo drugih mjesta. Kako bi se organizacije zaštitile, upravljanje tajnama treba biti centralizirano.
Broj DevOps timova raste, a tako se i baze softverskih kodova. Sigurno upravljanje tajnama postaje ključno za zaštitu mikroservisa, razvojnih alata, kontejnera, orkestratora i API-je. Bez optimalne zaštite, njihovo je pravilno funkcioniranje ugroženo.
Bez pravilnog upravljanja tajnama, jedini način na koji se softverskim sistemima može omogućiti međusobni pristup je manualno dijeljenje tajni unutar timovima i njihovo ugrađivanje u kod. Takva situacija u praksi često rezultira upotrebnom slabih lozinki i njihovim korištenjem u više različitih sistema. Sve to otežava čuvanje tajni.
Zašto je upravljanje tajnama krucijalno?
Mnoštvo je razloga zbog kojih upravljanje tajnama treba postati prioritet organizacija, a glavni su:
- Povećani zahtjevi u kontekstu upravljanja podacima
Očekuje se da će Global DataSphere (IDC-jev sistem kvantificiranja i analiziranja količine stvorenih, snimljenih i repliciranih podataka u bilo kojoj godini diljem svijeta) duplo narasti u periodu od 2022. do 2026. Pritom treba dodati da samo 54% organizacija zna gdje su njihovi osjetljivi podaci pohranjeni.
- Povećani zahtjevi o usklađenosti
Broj zakona i regulacija o zaštiti podataka svakodnevno raste. Pritom je 43% osjetljivih podataka u oblaku nekriptirano.
- Otežano upravljanje
39% ispitanika istaknulo je da je kompleksnost glavni izvor problema prilikom zaštite podataka. 52% podataka unutar organizacije je neklasificirano.
- Povećane povrede zaštite podataka
Broj proboja u podatke i interne sisteme organizacija raste, a pritom samo 53% organizacija ima kontrolu nad enkripcijskim ključevima te pristup kriptiranim podacima u oblaku.
Na sreću, Thales ima rješenje koje otklanja takve vrste izazova.
Thales CipherTrust Secrets Management
CipherTrust Secrets Management omogućuje učinkovito upravljanje, pohranu i pristup tajnama. Rješenje pritom osigurava automatiziranu rotaciju tajni i usklađenost s regulativama.
Ključne funkcije CipherTrust Secrets Management uključuju:
- Centralizirano upravljanje tajnama
- Sigurna pohrana uz enkripciju
- Kontrola pristupa
- Automatizirana rotacija tajni
- Praćenje svih aktivnosti i generiranje izvještaja