Según un estudio realizado por el Ponemon Institute y Keyfactor, la organización promedio tiene más de 100.000 certificados SSL y más del 50 % de las organizaciones no saben cuántos certificados tienen y están preocupadas por el aumento de la carga de trabajo y los riesgos de seguridad que puede causar una mala gestión de SSL. Si bien el 40% de las organizaciones todavía intenta administrar sus certificados mediante hojas de cálculo, el crecimiento exponencial de los certificados ha hecho imposible que las organizaciones los descubran y administren manualmente. Esto ha obligado al 33% de las organizaciones a crear sus propias herramientas internas de gestión y descubrimiento de certificados, pero la escasez de expertos en PKI ha hecho que este camino sea extremadamente difícil. En este blog, repasaremos la mejor manera de descubrir y monitorear certificados SSL.
Tu organización lleva años funcionando sin necesidad de tener una herramienta de gestión SSL, pero hablemos de los costes ocultos que eso ha provocado. El 80% de las organizaciones han reportado una interrupción de SSL en los últimos dos años, y se estima que cada interrupción les cuesta a las organizaciones alrededor de $300,000 dólares. La razón de esto es la pérdida de negocios durante la interrupción, así como el tiempo de productividad perdido al lidiar con la interrupción. Las interrupciones relacionadas con certificados son engañosas y normalmente requieren tiempo para diagnosticarse; un promedio de 20 personas se unen al puente para solucionar el problema y descubren que un certificado SSL fue la causa del problema, entonces el equipo correcto debe seguir los pasos para solucionar el problema.
Seamos honestos, la mayoría de los certificados son emitidos por ingenieros como un medio para lograr un fin, a la mayoría de las personas no les apasionan las mejores prácticas de PKI y SSL (si es así, estamos contratando), lo que significa que podrían simplemente seguir un blog que encuentren en línea y crear configuraciones erróneas no deseadas que podrían causar su próxima violación de seguridad. Tener una herramienta que escanee su infraestructura y garantice que cumpla con los estándares de la industria es una excelente manera de ayudar a su CISO a dormir mejor por la noche.
El primer paso es descubrir todos sus certificados. Si recién está comenzando con certificados SSL y no ha implementado ninguno, usar una CA basada en la nube con administración y descubrimiento automático de certificados le hará la vida muy fácil. Dado que la mayoría de las organizaciones ya cuentan con certificados existentes, tenemos que encontrarlos todos y gestionarlos. Los certificados SSL se pueden dividir en dos grupos, certificados públicos y certificados privados, y ambos se pueden encontrar usando una herramienta de monitoreo SSL. Consulte este blog para obtener más información sobre las CA públicas y privadas.
Como se mencionó anteriormente, la mayoría de las organizaciones no cuentan con un inventario preciso de sus certificados; por lo tanto, el uso de herramientas de monitoreo SSL que requieren que usted importe manualmente sus certificados no lo ayudará a encontrar todos sus certificados SSL. Afortunadamente, Google lideró la industria con la creación de registros de transparencia de certificados. Estos registros tienen todos los certificados públicos emitidos por una autoridad de certificación pública desde 2016. Usando un monitor de registro de transparencia de certificados recomendado por Google como EZMonitor puede ayudarle a encontrar todos sus certificados SSL públicos e incluso ayudarle a encontrar dominios similares que podrían usarse como phishing o entradas DNS colgantes que pueden causar su próxima infracción importante.
Descubrir y monitorear certificados SSL privados es un tema más complejo que los certificados SSL públicos; El motivo es que su organización no tiene un registro central, como los registros de transparencia de certificados que tienen todos los certificados utilizados por su organización. En su lugar, debemos escanear las autoridades certificadoras conocidas en busca de los certificados que han emitido; sin embargo, eso simplemente no es suficiente. Durante nuestros años de experiencia, hemos descubierto que la mayoría de las organizaciones tienen miles de certificados SSL emitidos por TI en la sombra, ya sea por alguien que crea su propia autoridad de certificación o simplemente creando certificados autofirmados. Para encontrar todos estos certificados debemos escanear la red e informar sobre cada certificado que se encuentre; el agente interno de EZMonitor le permite escanear sus redes privadas y le ayuda a encontrar todos sus certificados. Con más de 20 alertas relacionadas con SSL, EZMonitor le permite obtener visibilidad completa de su estado SSL y evitar interrupciones y configuraciones erróneas peligrosas.
La gestión de certificados es una tarea crítica para cualquier organización. Con el creciente número de certificados, es esencial automatizar el ciclo de vida de los certificados y rotarlos a intervalos regulares para mantener la seguridad y el cumplimiento. La implementación de la automatización y un cronograma de rotación regular para los certificados no protegidos por hardware y de hoja informática ayudará a minimizar el riesgo de interrupciones y ataques de seguridad relacionadas con los certificados. Si todavía te preguntas cómo hacer todo, consulta nuestro blog sobre mejores prácticas de PKI y SSL.
