行业新闻与博客

寻找有关公钥基础设施的最新统计信息和信息？别再看了

74％。那就是有许多组织报告不知道他们拥有多少个密钥和证书。这种令人不安的统计数据来自 Ponemon Institute 和 KeyFactor 进行的一项针对新的公共密钥基础结构（PKI）的研究报告“ 不安全的数字身份的影响 ”的最新数据中。

去年，KeyFactor 和 Ponemon Institute 联手发布了有关公钥基础结构的研究。今年的出版物充斥着关于 PKI 整体的优点和宝贵见解。3月初，KeyFactor 首席安全官 Chris Hickman 和 Ponemon Institute 主席兼创始人 Larry Ponemon 在一次网络研讨会上分享了该研究的重要见解。在今年的报告中，它们包括一些新内容-关键信任指数™。这项包含 16 个问题的核心能力评估旨在帮助企业评估其证书管理能力，PKI 工作的有效性以及敏捷性和成长性。

这是一项很棒的研究-我们绝对会引用全年的网络安全统计数据。但是什么使它如此好呢？研究中强调的项目是我们每天从多个行业的客户那里看到的项目，无论好坏。

那么，这项研究的结果可以告诉您什么，又如何帮助您为自己的 PKI 做出明智的决定？谁参与了这项研究？

谁对本年度研究进行了评估

这项由 KeyFactor 的朋友赞助的研究是由 Ponemon Institute 独立进行的，Ponemon Institute 都是业内知名人士。

该研究中的数据来自北美地区 603 位 IT 和 infosec 专业人员的调查问卷。大多数受访者（61％）表示他们的职位为“主管或以上”，另外 30％的受访者表示他们在员工 / 技术人员级别。大部分来自大型企业，有 64％的受访者表示他们为拥有至少 5001 名员工的组织工作。

要求参与者回答一系列与网络安全威胁，策略，预算，证书管理，合规性以及与其中几个领域相关的财务影响有关的问题。

Ponemon 和 KeyFactor 的 2020 PKI 研究得出的 5 个关键见解

从 30,000 英尺的角度来看，目前缺乏用于保护和管理数字证书和加密密钥的机制。许多公司缺乏有效支持公钥基础结构的人员和技术资源，预算，程序或政策。因此，这使组织面临来自全球各种网络安全威胁的重大风险。

但是，无论挑战有多大，IT 安全和信息安全从业人员都知道公钥基础结构对组织至关重要。毕竟，PKI 通过身份验证和加密帮助组织提高与最终用户和客户端（他们的 Web 浏览器）的信任。随着证书寿命的缩短和威胁的不断发展，您的组织受到影响的风险也会随之增加。

但是，在其上方的高层管理人员看来，PKI 有多重要？在收集有关该主题以及与 PKI 生态系统有关的其他主题的见解时，让我们找出答案。

要点 1：高管倾向于过高估计其组织的安全性

感知和现实通常是两件事-在处理 PKI 任务和 IT 安全挑战方面尤其如此。这项研究可能是最大的收获，突出了在组织内技术监护人与高层管理人员之间对问题的回答的信心方面，人们的看法存在巨大差距。

资料来源：关于 KeyFactor 和 Ponemon Institute 的“不安全的数字身份的影响”研究结果的网络研讨会。

希克曼在研究的网络研讨会上说：“仅凭这些数据，就向我们展示了组织中管理这些类型的关键资产（从从业者到高管）所面临的问题之间的区别，这是非常重要的。”

他们的观察使他们质疑组织中这些不同职级之间的格局为何如此不同。与员工 / 技术人员相比，高管们的反应往往更为乐观，他们的平均信心指数为 3.7，而员工 / 技术人员的平均水平为 6.2，为 1-10。对于与管理关键资产有关的问题尤其如此。

这些回应表明了为什么组织内部可能存在挑战-领导者认为问题正在得到解决或解决，从业人员正在努力跟上永无止境的需求。

有关如何解决此问题的可行建议

与任何组织和任务一样，沟通是关键。需要对情况进行明确的沟通和透明。如果存在缺陷，资源不足或其他挑战，则每个人都必须在同一页面上。

从业者

不要涂糖衣。对组织内部存在的与 PKI 和 IT 安全相关的问题持开放和诚实的态度。使您的领导意识到任何挑战，并提供解决问题的建议和解决方案。最重要的是：学会说他们的语言。

网络研讨会期间，来自 Hickman 和 Ponemon 的一项建议来自 Gartner：

成功地将 X.509 证书管理重新定位到引人注目的业务故事（例如数字业务和信任支持）的安全领导者，将使程序成功率提高 60％，而如今这一比例还不到 10％。”

本质上，高管们想知道底线-涉及的成本以及环境将如何影响整个运营和整个组织。别说技术性的庞然大物。通过改变框架来给他们想要的东西，同时仍在寻找所需的资源。

C 套餐

听您的专家。听着理解而不是回答。认识到他们是人类，行业和网络威胁正在不断变化。我们今天面临的威胁不一定与我们将来面临的威胁相同。保持灵活和开放的态度。如果您想保护您的组织，请不要推迟到明天再投资网络安全基础架构和资源。承诺今天做出这些更改。

要点 2：组织使用很多证书（他们认为），但缺乏 PKI 可见性

该报告称，“ 60％的受访者认为他们在整个组织中使用的证书超过 10,000 个。” 那是很多猫。不过，有趣的是，受访者对他们的估计并不十分自信-74％的受访者表示他们不知道他们实际使用了多少证书和密钥。

那么，所有这些统计数据有什么共同点？缺乏确定性（和明确性）。这是因为这些组织缺乏对其 PKI 证书管理的可见性。本质上，他们不知道：

• 他们有什么证书，


• 在哪里找到它们，或者


• 它们到期时。  

这种平淡无奇的方法有点像试图经营一家餐馆，而又不知道谁负责什么以及如何完成一切。对于一家要上班的餐馆来说，您需要知道谁在订购供应货物，谁在制作食物，可为客户提供的食物是否符合特定的质量和卫生标准（尚未过期）以及由谁提供。

坦率地说，如果您由于缺乏操作可视性而不了解这些事情，那么您将不会从事很长时间的业务。

坦白地说，这一发现使组织对 PKI 缺乏可见性，这并不令我感到惊讶。毕竟，缺乏可见的是行业内的许多组织作为一个整体的持续的问题，也是在他们之前的研究一个问题，从 2018年，但它确实 让我感到惊讶一点是，企业愿意承认他们缺乏这种可见性，并且仍然是一个持续存在的问题。

根据他们的数据，有 55％的接受调查的组织表示他们在过去 2年中有四次或更多次证书中断！73％的受访者表示，由于数字证书管理不当，其组织仍然遭受计划外的停机和中断。

因此，可以采取什么措施来帮助您解决组织内缺乏可见性和证书管理不善的问题？  

有关如何解决此问题的可行建议

在 Hashed Out，我们致力于帮助读者避免常见的 PKI 证书管理错误。我们始终强调的一件事是对您的 PKI 具有可见性的重要性。许多管理员遇到的一个问题是，他们试图使用 Excel 电子表格等手动方法来管理其密钥和证书。这不仅笨拙且麻烦，而且会导致各种问题。

影子 IT 证书就是这样的例子。如果您不是唯一负责安装，更新和管理 X.509 数字证书的人，则可能会安装一些您不了解的证书。而且，您可能自己安装的证书可能会在不知情的情况下陷入困境并过期。而且您无法有效地管理自己不知道的东西。

使用可靠且信誉良好的证书管理解决方案可以帮助您避免此问题。最好的证书管理工具使您能够

• 发现您网络上的证书和密钥，


• 通过续签和重新发行来管理证书生命周期，


• 避免计划外的到期（以及与之相关的费用），并且


• 找回时间来处理其他重要任务。

这使您可以完全了解公钥基础结构。考虑到许多组织认为他们至少拥有 10,000 个证书，因此您可以看到几乎不可能尝试手动管理这些资产。  

要点 3：PKI 预算所有权和人员配备是严重问题

我们知道了。每个人都很忙，坦白地说，每天没有足够的时间来处理我们遇到的每项任务。但这并没有改变拥有负责处理基本任务的特定团队或部门的重要性。

尽管有此需求，但受访者表示仍缺乏数字证书预算和责任归属。与证书管理相关的任务，职责和预算要求通常分散在不同组织内的各个部门之间。本质上，没有明确的密码学“卓越中心”。

他们的发现还报告说，将近三分之一（38％）的组织声称其组织拥有专用于其 PKI 部署的人力资源。部分原因可能是由于与该行业不断增长的成本相比网络安全预算停滞不前，或者可能与公司报告在雇用和保留人才方面面临的挑战有关。

KeyFactor / Ponemon Institute 研究中所代表的组织报告称，仅将其预算的 16％用于 PKI。从报告的 1940 万美元的平均 IT 安全年度预算中，大约有 300 万美元！他们还发现责任和所有权经常分散在其他部门之间：

可行的建议

在美国，失业率是二十多年来最低的。在劳工统计局的美国统计局（BLS）的报告，对大学毕业生的失业率为 2.0％和中学 3.8％的毕业生在 2020年一月，我们正在经历着 IT 失业率最低的安全和技术，这是根据 Cyber​​security Ventures 的说法，实际上是 0％。

虽然这对求职者而言很棒，但对于希望雇用他们的组织而言却不那么理想。为什么？因为这意味着对技术工人的需求要比寻找工作的人更大。这意味着企业和组织正在争夺人才。因此，当您拥有静态资源时，如何应对不断增长的工作负载？

一些组织正在转向自动化和人工智能（AI）的使用。通过消除工作量中的繁琐任务，自动化可以帮助减轻员工的负担并增强他们的能力。预测分析，语言流程，身份验证和日志分析，以识别任何异常。使用 AI 有助于释放您的员工，使他们可以将部分注意力集中在更高级别的优先级和任务上。

PKI 中自动化的一个示例是证书管理解决方案。您可以使用此工具来查看 PKI 并发现影子证书。在帮助您的团队有效管理证书生命周期的各个方面并避免证书过期方面，这也是无价的，Gartner 估计每小时的平均费用为 300,000 美元。

SSL / TLS 证书对于任何电子商务企业（或实际上希望在 Google 和其他搜索引擎上排名的任何网站）都是必不可少的。随着越来越多的组织随时采用 PKI 解决方案，这意味着需要管理更多的密钥和数字证书。使用证书管理工具和其他自动化解决方案不仅可以帮助您简化操作并提高其效率，还可以帮助您控制不断上升的运营成本。

要点 4：证书中断是一个大风险，但并非唯一的风险

尽管证书中断是一个令人关注的主要问题，但研究期间收到的答复表明，由于密钥管理实践不足，证书颁发机构（CA）流氓或受到破坏以及对代码签名证书和密钥的滥用而导致的审核失败是更大的关注领域。无论是在财务成本还是合规性上都是如此。

失败的审核和合规性的严重性位居榜首（1-10 评分为 4.1，其中 1 被认为是最不严重的问题，10 被认为是最严重的问题）。尤其是，受访者担心关键管理政策和实践不足或不执行。下一个最严重的问题与由 CA 造成的中间人（MitM）和网络钓鱼攻击漏洞有关。

我们之前提到过，将近四分之三（73％）的受访者表示，由于数字证书管理不当，他们经历了计划外的停机和停机。这些事件比证书到期导致的计划外中断更为频繁。使这些数字更加可怕的是，破坏性中断预计将持续增加而不是减少。根据报告：

59％的受访者表示，网络犯罪分子滥用密钥和证书正在增加对更好保护这些关键资产的需求。然而，超过一半（54％）的受访者担心他们在生命周期的各个阶段（从生成到撤销）保护密钥和证书的能力”

可行的建议

如果您使用的是专用 CA，那么当事情变糟时，这并不奇怪。要避免与流氓证书颁发机构或授权证书泄露有关的问题，您可以做的最好的事情之一就是与提供托管 PKI 服务的知名信誉良好的商业 CA 合作。最好远离免费的 PKI 证书提供者，因为它们缺乏商业数字证书提供者可支配的支持和资源。  

要点 5：后量子时代不是大问题……但是

我们将从调查中分享的最终见解是，就目前而言，受访者对后量子密码技术的担忧正在减少。KeyFactor 和 Ponemon 报告说：

只有 47％的受访者担心量子计算将对其密钥和证书管理实践产生的影响，但是随着量子技术的最新发展使我们更接近密钥和算法的潜在突破点，我们预计这一数字将会上升依靠今天。”

从本质上讲，围绕该主题已经并且已经进行了几年的宣传。但 Ponemon 说，在量子计算可用于商业级别之前，我们将高估潜在的负面影响，而不是强调其对安全性的正面影响。

希克曼说，量子计算是我们未来的现实-这仅仅是“何时”的问题，而不是“是否”会成为现实。这就是为什么该行业在后量子算法方面的工作至关重要的原因（请参阅我们以前的博客文章，重点介绍 DigiCert 在后量子密码方面的工作），并且为什么组织需要：

盘点资产

知道他们的技术和加密部署在哪里，以及

随着算法的弃用，制定了管理加密货币的计划。

希克曼说：“我们很少在这个行业中看到一些具有潜在的量子催化作用，并且从安全角度来看，它将带来破坏性的性质。”希克曼强调计划的重要性。被视为优先事项。

希克曼继续：

制定计划，了解数字资产的住所，加密技术的部署位置以及管理该加密技术的方式绝对重要。一路上会发生很多事情，例如算法的过时……但是您将能够重用相同的计划并对其进行实际验证，从而确保您准备好应对后量子世界。”

最后的想法

从这些调查答复中，很明显，没有一个明确的 PKI 预算所有者和多学科和多功能团队的努力。而且，也没有人同意这些被调查组织用来应对这些日益增加的加密责任的方法。但是很明显，建立治理流程和清晰可见的公钥基础结构对于提高企业的证书管理功能至关重要。如果其中不存在，则其中一部分需要建立一个卓越的加密中心。

越来越多地使用加密技术，数字证书等来遵守法规和政策，这表明需要更好的证书管理实践。而且，随着运营成本持续增加而没有同时增加运营预算来覆盖这些成本的情况，自动化将变得越来越重要，我们离 PQC 世界越近。