Sedang mencari statistik dan info terbaru tentang Public Key Infrastructure (PKI)? Di sini Anda tidak perlu mencari lagi!

74% merupakan jumlah organisasi yang melaporkan tidak mengetahui berapa banyak sebenarnya key dan sertifikat yang mereka miliki. Statistik yang meresahkan ini dilaporkan dalam data terbaru dari The Impact of Unsecured Digital Identities, yaitu sebuah studi penelitian terbaru yang berfokus pada public key  infrastructure (PKI) oleh Ponemon Institute dan KeyFactor.

5 kunci studi ponemon dan keyfactor terhadap public key infrastucture atau pki

Tahun lalu, KeyFactor dan Ponemon Institute bekerja sama untuk menerbitkan sebuah studi tentang public key infrastructure (PKI). Publlikasi tahun ini penuh dengan kebaikan dan wawasan berharga tentang PKI (public key infrastructure) secara keseluruhan. Pada awal Maret lalu, Chris Hickman adalah kepala petugas keamanan di KeyFactor dan Larry Ponemon adalah ketua dan pendiri Ponemon Institute, berbagi wawasan penting dari studi tersebut selama webinar. Dan dalam laporan tahun ini, mereka memasukkan sesuatu yang baru; Critical Trust Index–sebuah pengukuran kompetensi inti berisi 16 pertanyaan ini bertujuan untuk membantu bisnis mengukur kemampuan manajemen sertifikat mereka, keefektifan upaya PKI (public key infrastructure)  mereka, serta kelincahan dan pertumbuhan mereka.

Ini adalah studi yang sangat bagus–yang pasti kami akan mengutip dari cybersecurity statistic. Tapi apa yang membuatnya begitu bagus? Jawabannya adalah item yang disorot dalam penelitian ini adalah yang kami llihat setiap hari dari klien di berbagai industri yang baik maupun yang buruk.

Jadi, apa hasil dari studi ini dan bagaimana hal itu dapat membantu Anda membuat keputusan yang tepat untuk PKI (public key infrastructure) Anda sendiri? Dan siapa yang terlibat dalam penelitian ini?

Mari kita bahas!

 

Siapa dan Apa Studi Evaluasi Tahun Ini?

Studi tersebut, yang disponsori oleh teman-teman team di KeyFactor , dilakukan secara independen oleh Ponemon Institute , keduanya merupakan nama-nama terkenal dalam industri tersebut.

Data dalam studi tersebut berasal dari hasil tanggapan survei terhadap 603 profesionalis IT dan Infosec dari seluruh Amerika Utara. Mayoritas responden (61%) melaporkan posisi mereka sebagai “supervisor atau di atasnya” dan 30% lainnya menyatakan bahwa mereka berada di level staf/teknisi. Kebanayakan berasal dari perusahaan besar, dengan 64% responden menunjukkan bahwa mereka bekerja untuk organisasi dengan kurang lebih 5.001 karyawan.

Para peserta diminta untuk menjawab serangkaian pertanyaan yang berkaitan dengan ancaman keamanan dunia maya, strategi, anggaran, pengelolaan sertifikat, kepatuhan (compliance), dan dampak keuangan yang berkaitan dengan beberapa bidang ini.

 

5 Wawasan Utama dari Studi PKI Ponemon dan KeyFactor 2020

Dari sudut pandang sejauh 30.000 kaki, mekanisme saat ini untuk mengamankan dan mengelola sertifikat digital dan cryptography key masih kurang. Banyak perusahaan kekurangan personel dan sumber daya teknis, anggaran, prosedur, atau kebijakan untuk mendukung PKI (public key infrastructure)  secara efektif. Yang mana membuat organisasi terbuka terhadap risiko signifikan dari berbagai ancaman keamanan siber di seluruh dunia.

Tetapi betapa pun menantangnya, praktisi di divisi keamanan IT dan keamanan informasi sama-sama tahu bahwa PKI (public key infrastructure)  sangat penting bagi organisasi. Bagaimanapun, PKI (public key infrastructure)  membantu organisasi untuk meningkatkan kepercayaan dengan end user dan klien (browser web mereka) melalui otentikasi dan enkripsi. Karena masa pakai sertifikat menyusut dan ancaman terus berkembang, risiko bahwa organisasi Anda akan terkena dampaknya juga meningkat.

Tapi, seberapa pentingkah PKI (public key infrastructure)  di mata para eksekutif C-suite di atasnya? Mari kita cari tahu sembari kita mendapatkan wawasan tentang topik ini dan hal-hal lain yang berkaitan dengan ekosistem PKI.

 

Kesimpulan I : Para Eksekutif Cenderung Menaksir Terlalu Tinggi Seberapa Aman Organisasi Mereka?

Persepsi dan kenyataan seringkali merupakan dua hal yang berbeda–ini terutama terjadi pada bagaimana tugas PKI (public key infrastructure) dan tantangan keamanan IT yang ditangani. Mungkin kesimpulan terbesar bahwa penelitian ini menyoroti kesenjangan yang sangat besar dalam persepsi dalam hal kepercayaan dalam menanggapi pertanyaan antara penjaga teknis dalam suatu organisasi dan mereka yang berada di antara kepemimpinan eksekutif di atasnya.

perbedaan pengelolaan manajamen sertifikat ssl dan pki di antara eksekutif dan teknisi

“Dalam data itu saja, ini menunjukkan kepada kami secara sangat signifikan bagaimana masalah pengelolaan jenis aset kritis ini dalam organisasi, dari praktisi hingga eksekutif, berbeda ketika ditanya pertanyaan yang sama,” kata Hickman dalam webinar tentang studi tersebut.

Pengamatan mereka membuat mereka mempertanyakan mengapa ada perbedaan yang begitu besar dalam landscape antara jajaran yang berbeda ini dalam suatu organisasi. Para eksekutif cenderung lebih optimis secara signifikan dalam tanggapan mereka daripada rekan staf/teknisi mereka–rata-rata 6.2 pada skala 1/10, dibandingkan staf/teknisi, yang memiliki peringkat kepercayaan rata-rata 3.7. Hal ini terutama berlaku untuk masalah yang berkaitan dengan pengelolaan aset penting.

Tanggapan ini menunjukkan mengapa tantangan mungkin ada dalam organisasi–para pemimpin berpikir masalah sedang ditangani atau diselesaikan, dan praktisi berjuang untuk mengikuti tuntutan yang tidak pernah berakhir.

A. Rekomendasi Langkah Aksi Bagaimana Cara Menyelesaikan Masalah Ini

Seperti halnya organisasi dan tugas apapun, komunikasi adalah kuncinya. Perlu ada transparansi dan komunikasi yang jelas tentang situasi tersebut. Jika ada kekurangan, sumber daya yang tidak mencukupi atau tantangan lain, semua orang harus memiliki pemikiran jalan keluar yang sama.

 

B. Praktisi

Jangan menyembunyikan apapun, belajarlah bersikap terbuka dan berterus terang tentang PKI (public key infrastructure) dan masalah terkait keamanan IT yang ada dalam organisasi Anda. Buat pemimpin Anda sadar akan tantangan apapun dan tawarkan rekomendasi serta solusi untuk mengatasi masalah tersebut. Yang terpenting: Belajar berbicara bahasa mereka.

Satu saran dari Hikcman dan Ponemon yang dibagikan selama webinar datang dari Gartner :

“Pimpinan keamanan yang berhasil mengubah posisi manajemen sertifikat X.509 menjadi kisah bisnis yang menarik, seperti bisnis digital dan pemberdayaan kepercayaan, akan meningkatkan keberhasilan program sebesar 60%, naik dari kurang dari 10% hari ini.”

Pada dasarnya, para eksekutif ingin mengetahui intinya biaya yang terlibat dan bagaimana keadaan akan mempengaruhi operasi dan organisasi secara keseluruhan. Jangan bicara omong kosong tentang teknis. Berikan mereka apa yang mereka inginkan sambil tetap mendorong sumber daya yang dibutuhkan dengan mengubah cara Anda membingkai situasi.

 

C. C-Suite

pihak eksekutif suatu perusahaan harus aktif membingkai dan mencari solusi dari laporan para stafnyaDengarkan dan pahami apa yang dikatakan oleh teknisi Anda. Sadarilah bahwa mereka adalah manusia dan bahwa industri serta ancaman dunia maya terus berubah. Ancaman yang kita hadapi saat ini belum tentu sama dengan yang akan kita hadapi di masa depan. Bersikaplah fleksibel dan terbuka untuk berubah. Jika Anda ingin melindungi organisasi Anda, jangan menunda investasi dalam infrastruktur dan sumber daya keamanan siber hingga besok. Berkomitmen untuk membuat perubahan itu hari ini.

 

Kesimpulan II : Organisasi Menggunakan Banyak Sertifikat (Menurut Mereka) Namun Kurang Visibilitas PKI

Menurut laporan tersebut, “60% responden percaya bahwa mereka memiliki lebih dari 10.000 sertifikat yang digunakan di seluruh organisasi mereka.” Banyak sekali domba yang harus digembalakan. Menariknya, meskipun responden tidak begitu yakin dengan perkiraan mereka– 74% menunjukkan bahwa mereka tidak tahu berapa banyak sertifikat dan key yang sebenarnya mereka gunakan dengan pasti.

banyak perusahaan yang memiliki jumlah sertifikat dan key sebesar 10.000 s/d 50.000 unit

Jadi, apa kesamaan dari semua statistik ini? Kurangnya kepastian (dan kejelasan), salah satunya. Itu karena organisasi-organisasi ini kurang visibilitas dalam pengelolaan sertifikat PKI mereka. Intinya, mereka tidak tahu:

  • Sertifikat apa yang mereka miliki,
  • Di mana menemukannya, atau
  • Saat kedaluwarsa.

Pendekatan payah ini seperti mencoba menjalankan restoran tanpa petunjuk tentang siapa yang bertanggung jawab atas apa dan bagaimana semuanya dilakukan. Agar restoran dapat berfungsi, Anda perlu mengetahui siapa yang memesan pengiriman pasokan, siapa yang membuat makanan, apakah makanan yang tersedia untuk disajikan kepada pelanggan memenuhi standar kualitas dan higienis tertentu (belum kedaluwarsa), dan siapa yang menyajikannya.

Jika Anda tidak mengetahui hal-hal ini karena kurangnya visibilitas dalam operasi Anda maka sejujurnya, Anda tidak akan berada dalam bisnis untuk waktu yang lama.

Sejujurnya, temuan bahwa organisasi memiliki visibilitas yang kurang ke dalam PKI (public key infrastructure) mereka tidak mengejutkan kami. Setelah semua, kurangnya visibilitas merupakan isu yang sedang berlangsung untuk banyak organisasi dalam industri secara keseluruhan dan juga masalah dalam penelitian sebelumnya dari 2018. Tapi yang tidak mengejutkan kami adalah bahwa organisasi bersedia untuk mengakui kalau mereka kekurangan visibilitas ini dan itu terus menjadi masalah yang berkelanjutan.

Menurut data mereka, 55% organisasi yang disurvei mengatakan bahwa mereka memiliki empat atau lebih sertifikat yang dinonaktifkan selama 2 tahun terakhir! Dan 73% mengatakan bahwa organisasinya masih mengalami downtime dan penonaktifan sertifikat yang tidak direncanakan karena sertifikat digital yang salah kelola.

Jadi, apa yang dapat dilakukan untuk membantu Anda mengatasi kurangnya visibilitas dan manajemen sertifikat yang buruk dalam organisasi Anda?

Rekomendasi Yang Dapat Ditindaklanjuti untuk Mengatasi Masalah Ini.

Di sini kami akan membantu pembaca kami menghindari kesalahan umum pengelolaan sertifikat PKI . Salah satu hal yang selalu kami tekankan adalah pentingnya visibilitas atas PKI (public key infrastructure) Anda. Masalah yang dihadapi banyak admin adalah mereka mencoba mengelola key dan sertifikat mereka menggunakan metode manual seperti Spreadsheet, Excel, dll. Ini sangat tidak praktis, tetapi juga menyebabkan berbagai masalah.

Salah satu contohnya adalah Shadow IT Certificate . Jika Anda bukan satu-satunya orang yang bertanggung jawab untuk menginstal, memperbarui, dan mengelola sertifikat digital X.509, maka beberapa sertifikat dapat diinstal yang di mana tidak Anda ketahui. Dan sertifikat yang mungkin telah Anda pasang sendiri mungkin tidak akan berhasil dan kedaluwarsa tanpa sepengetahuan Anda. Dan Anda tidak dapat secara efektif mengelola apa yang tidak Anda ketahui.

Menggunakan solusi manajemen sertifikat yang andal dan bereputasi dapat membantu Anda menghindari masalah ini.  Manajemen Tools Certificate terbaik memungkinkan Anda melakukan beberapa hal berikut ini :

  • Menemukan sertifikat dan key di jaringan Anda,
  • Mengelola siklus hidup sertifikat dengan pembaruan dan penerbitan ulang (reissue),
  • Menghindari kedaluwarsa yang tidak direncanakan (dan biaya yang terkait dengannya), dan
  • Mengefektifkan kembali waktu yang dapat Anda gunakan untuk menangani tugas penting lainnya.

Ini memberi Anda visibilitas penuh dari infrastruktur public key yang dimiliki. Mengingat banyak organisasi percaya bahwa mereka memiliki setidaknya 10.000 sertifikat, Anda dapat melihat bagaimana mencoba mengelola aset ini secara manual itu adalah hal yang hampir mustahil.

 

Kesimpulan III : Kepemilikan Anggaran dan Staf PKI Adalah Masalah Yang Serius

Kami mengerti. Semua orang sibuk dan sejujurnya, tidak ada cukup waktu dalam sehari untuk menangani setiap tugas yang ada. Tetapi itu tidak mengubah pentingnya memiliki tim atau departemen tertentu yang bertanggung jawab untuk menangani tugas-tugas penting.

Terlepas dari kebutuhan ini, responden penelitian menunjukkan bahwa anggaran sertifikat digital dan kepemilikan tanggung jawab masih kurang. Tugas, tanggung jawab, dan persyaratan anggaran yang terkait dengan manajemen sertifikat sering kali tersebar di antara berbagai departemen dalam organisasi yang berbeda. Pada dasarnya, tidak ada “pusat keunggulan” yang jelas dan valid untuk cryptography.

Temuan mereka juga melaporkan bahwa hampir hanya sepertiga (38%) organisasi mengklaim bahwa organisasinya memiliki sumber daya manusia yang didedikasikan untuk penyebaran (public key infrastructure) mereka. Sebagian dari ini mungkin karena anggaran keamanan siber yang stagnan dibandingkan dengan biaya industri yang terus meningkat, atau bisa juga terkait dengan tantangan yang dilaporkan perusahaan dalam hal mempekerjakan dan mempertahankan bakat.

Organisasi yang diwakili dalam studi KeyFactor/Ponemon Institute melaporkan hanya menghabiskan 16% dari anggaran mereka untuk PKI. Itu kira-kira $ 3 juta dari anggaran tahunan keamanan IT rata-rata yang dilaporkan sebesar $ 19,4 juta! Dan mereka juga menemukan bahwa tanggung jawab dan kepemilikan sering tersebar di antara departemen lain.

divisi operasional it yang memiliki budget PKI terbesar

 

Rekomendasi Yang Dapat Ditindaklanjuti

Di AS, kami mengalami beberapa tingkat pengangguran terendah dalam lebih dari dua dekade. The US Bureau of Labor Statistics (BLS) melaporkan bahwa untuk lulusan perguruan tinggi, tingkat pengangguran di 2,0% dan 3,8% untuk lulusan SMA selama Januari 2020. Kami mengalami tingkat pengangguran terendah di bidang keamanan dan teknologi IT, yang secara harfiah pada 0%, menurut Cybersecurity Ventures .

Meskipun ini bagus untuk pencari kerja, ini tidak terlalu bagus untuk organisasi yang ingin mempekerjakan mereka. Mengapa? Karena ini berarti ada permintaan yang lebih besar untuk pekerja yang terampil daripada jumlah orang yang mencari pekerjaan. Ini berarti bisnis dan organisasi bersaing untuk mendapatkan bakat. Jadi, apa yang dapat Anda lakukan untuk mengatasi beban kerja yang meningkat saat Anda memiliki sumber daya statis?

Beberapa organisasi beralih ke otomatasi dan penggunaan Artificial Intelligence (AI). Otomatisasi dapat membantu mengurangi beban pada staf Anda dan meningkatkan kemampuan mereka dengan menghilangkan tugas-tugas berat dari beban rutinitas mereka. Analisis prediktif, proses bahasa, otentikasi, dan analisis log untuk mengidentifikasi sesuatu yang tidak biasa. Menggunakan AI membantu membebaskan karyawan Anda sehingga mereka dapat memfokuskan sebagian perhatian mereka pada prioritas dan tugas yang lebih tinggi.

teknologi artificial intelligence mendukung efisiensi rutinitas tugas dan mampu mengurangi kesalahan atau kelalaianSalah satu contoh otomasi dalam PKI (public key infrastructure)  adalah Certificate Management Tools Solution. Anda dapat menggunakan tool ini untuk mendapatkan visibilitas ke PKI (public key infrastructure)  Anda dan menemukan shadow certificate. Ini juga sangat berharga dalam hal membantu tim Anda secara efektif mengelola semua aspek siklus hidup sertifikat dan menghindari kedaluwarsa sertifikat–yang diperkirakan oleh Gartner dapat menghabiskan biaya rata – rata $ 300.00 per jam .

Sertifikat SSL/TLS adalah suatu keharusan untuk bisnis e-commerce apapun (atau situs web apapun, sungguh, yang ingin mendapat peringkat di Google dan mesin pencarian lainnya). Dan karena semakin banyak organisasi yang siap mengadopsi solusi PKI (public key infrastructure), itu berarti ada lebih banyak key dan sertifikat digital yang harus dikelola. Menggunakan Certificate Management Tools dan solusi otomasi lainnya dapat membantu Anda tidak hanya menyingkat operasi dan membuatnya lebih efektif, tetapi juga membantu Anda mengendalikan kenaikan biaya operasional.

 

Kesimpulan IV : Penonaktifan Sertifikat Adalah Risiko Yang Besar, Namun Mereka Bukanlah Satu-Satunya

Meskipun penonaktifan sertifikat adalah penyebab utama kekhawatiran, dengan beberapa tanggapan yang diterima selama studi; audit yang gagal karena paktik key management yang tidak memadai, Certificate Authority (CA) yang tidak sah atau disusupi, dan penyalahgunaan sertifikat code signing dan key adalah kekhawatiran masalah yang lebih besar. Baik dalam hal biaya finansial maupun kepatuhan.

Keseriusan audit yang gagal dan kepatuhan memimpin peringkat (4.1 pada skala 1/10 di mana 1 dianggap sebagai masalah yang paling tidak serius dan 10 adalah masalah paling serius). Secara khusus, responden survei khawatir tentang kebijakan dan praktik key management yang tidak memadai atau tidak diberlakukan. Masalah paling serius berikutnya yang terkait dengan kerentanan man-in-the-middle attack (MitM) dan phishing yang berasal dari CA comprormise.

Kami telah menyebutkan sebelumnya bahwa hampir tiga perempat (73%) responden menunjukkan bahwa mereka mengalami penonaktifan sertifikat yang tidak direncanakan dan waktu henti karena sertifikat digital yang salah dikelola. Kejadian ini lebih sering terjadi daripada penonaktifan sertifikat yang tidak direncanakan sebagai akibat dari sertifikat yang telah kedaluwarsa. Apa yang membuat angka-angka ini semakin mengerikan adalah bahwa penonaktifan sertifikat yang mengganggu diperkirakan akan terus meningkat daripada menurun. Menurut laporan itu:

“59 persen responden mengatakan penyalahgunaan key dan sertifikat oleh penjahat dunia maya meningkatkan kebutuhan untuk lebih mengamankan aset penting ini. Namun, lebih dari setengah (54 persen) responden mengkhawatirkan kemampuan mereka untuk mengamankan key dan sertifikat di semua tahap siklus hidup mereka – dari pembuatan hingga pencabutan (revoke) ”

Rekomendasi Yang Tidak Dapat Ditindaklanjuti

Jika Anda menggunakan CA pribadi, tidak mengherankan jika keadaan menjadi buruk. Salah satu hal terbaik yang dapat Anda lakukan untuk menghindari masalah yang berkaitan dengan otoritas sertifikat nakal atau tidak sah dan bekerja dengan CA komersial yang terpercaya serta bereputasi–akan menjadi lebih baik lagi jika bisa menyediakan Managed PKI. Kemudian, sebaiknya hindari penyedia sertifikat PKI gratis karena mereka kekurangan dukungan dan sumber daya yang dimiliki oleh penyedia sertifikat digital komersial.

 

Kesimpulan V : Post Quantum Bukan Masalah Besar

Wawasan terakhir yang akan kami bagikan dari survei ini adalah bahwa kekhawatiran responden yang berasal dari post-quantum-cryptography sedang menurun–untuk saat ini. Laporan KeyFactor dan Ponemon mengatakan:

“Hanya 47 persen responden yang prihatin tentang dampak komputasi quantum pada praktik key manajemen dan sertifikat mereka, tetapi kami memperkirakan jumlah ini akan meningkat karena kemajuan terbaru dalam teknologi quantum membawa kita lebih dekat ke titik potensi pemutusan key dan algoritma kami. mengandalkan hari ini. “

Menurut Institut Ponemon, pada dasarnya ada dan telah menjadi hype seputar topik selama beberapa tahun. Tetapi, hingga komputasi quantum tersedia di tingkat komersial, kami akan melebih-lebihkan potensi dampak negatif daripada menyoroti dampak positifnya pada keamanan.

kekhawatiran end user terhadap post quantum yang sedang menurunHickman mengatakan bahwa komputasi quantum adalah realitas masa depan kita–ini hanya masalah “kapan” bukan “jika” itu akan menjadi sebuah hal. Itulah mengapa pekerjaan industri pada post-quantum-cryptography sangat penting (lihat posting blog kami sebelumnya yang menyoroti pekerjaan DigiCert pada post-quantum-cryptography) dan mengapa organisasi perlu:

  • Mencatat aset mereka
  • Mengetahui di mana teknologi dan enkripsi mereka digunakan
  • Memiliki rencana untuk mengelola cryptography karena algoritma sudah tidak digunakan lagi.

“Jarang kami melihat sesuatu dalam industri ini dengan potensi efek dahsyat dari quantum dan sifat mengganggu yang akan ditimbulkan dari sudut pandang keamanan,” kata Hickman, yang menekankan pentingnya perencanaan, yang tampaknya mengambil tempat duduk belakang dalam hal yang dianggap sebagai prioritas.

Hickman melanjutkan:

“Memiliki rencana, memahami di mana aset digital Anda berada, di mana cryptography Anda digunakan, memiliki cara untuk mengelola crypto itu sangatlah penting. Hal-hal akan terjadi di sepanjang jalan – seperti penghentian algoritma… Tapi Anda akan dapat menggunakan kembali rencana yang sama dan benar-benar memvalidasinya untuk memastikan bahwa Anda siap untuk dunia post-quantum. ”

 

KESIMPULAN AKHIR…

Dari respon survei tersebut, terlihat bahwa tidak ada satupun yang jelas pemilik anggaran dan usaha PKI dengan tim multidisiplin dan multifungsi. Dan juga tidak ada yang menyetujui metode yang diandalkan oleh organisasi yang disurvei untuk menangani tanggung jawab crypto yang meningkat ini. Tetapi jelas bahwa memiliki proses tata kelola dan visibilitas yang jelas dari PKI (public key infrastructure) Anda sangat penting untuk meningkatkan kemampuan manajemen sertifikat bisnis. Bagian dari ini memerlukan pembentukan pusat keunggulan kriptografi jika belum ada.

Meningkatnya penggunaan teknologi enkripsi, sertifikat SSL/TLS, dll. Untuk kepatuhan terhadap peraturan dan kebijakan mendikte kebutuhan akan praktik manajemen sertifikat yang lebih baik. Dan karena biaya operasional terus meningkat tanpa peningkatan paralel dalam anggaran operasi untuk menutupi biaya tersebut, otomatisasi akan menjadi penting jika kita semakin dekat dengan dunia PQC.

super
super

Would you like to share your thoughts?

Your email address will not be published. Required fields are marked *

four − three =