2023年,PKI將繼續作爲一項關鍵業務投資闖入企業的主流話語。Keyfactor的《2022年機器身份管理狀況》報告顯示,企業正在努力使其PKI實踐現代化。
- 66%的企業正在整個IT領域部署更多的密鑰和證書,而70%的企業表示密鑰和證書的增長增加了運營負擔。
- 57%的人將加密敏捷性列爲數字安全的首要戰略任務,55%的人說零信任倡議是PKI、密鑰和證書的首要驅動力。
- 81%的組織在2021年和2022年因證書過期而經歷了多次破壞性的中斷,平均補救時間爲3.3小時。
隨着中斷的風險越來越大,新的合規性標準的形成,以及零信任作爲一個實用的框架獲得牽引力,我們可以預期今年將看到PKI及其使用情況的演變。
爲了瞭解不斷變化的監管環境、威脅環境和新興的商業戰略將如何影響PKI,以及如何被PKI影響,我們求助於Keyfactor的首席PKI官Tomas Gustavsson。他向我們提供了內部消息。
Keyfactor:你是否預測PKI將在物聯網設備的開發和設備過程中得到更多的執行?
Tomas Gustavsson:隨着歐盟和美國政府新法規的出臺,特定類型的物聯網設備將受到審查。這些法規將解決傳統的軟件漏洞以及加密安全更新和數據加密的可能性。
我預測,這種討論將在2023年繼續進行,並得到加強,特別是在歐盟,隨着《歐盟網絡彈性法案》的出臺。我們可以期待NIST和ENISA推薦的最佳實踐成爲強制性的,儘管這將緩慢發生。
Keyfactor:爲什麼供應鏈安全是一個薄弱點?企業是否忽視了供應鏈安全?你認爲要怎樣才能讓企業不再忽視供應鏈安全?
Tomas:一些行業,如電信和關鍵基礎設施,早已將供應鏈安全放在首位。而軟件供應鏈則相對滯後,因爲它沒有那麼明顯,研究也還沒有很好地建立。軟件界一直將創新置於安全之上,即使是處理重要敏感數據的消費類軟件也是如此。
但由於一些原因,這種情況正在改變。
- 我們已經看到大型軟件消費者成爲供應鏈攻擊的受害者,我們也看到他們通過提高供應商的安全標準來應對。這將滲透到較小的組織中,並將由政府和私人採購推動。
- 近年來,圍繞着軟件供應鏈的學術研究有了很大的進展,所以我們可以預期流行的軟件包會被更深入地分析,從而得到改進。
目前,在開發和軟件供應鏈中實施優化的安全控制需要相當多的專業知識,但在未來幾年,我們可以預期這些安全控制會更多地內置於工具中,更容易優化。
如果不使用PKI,要保證軟件供應鏈的安全實際上是不可能的,所以我們可以預期PKI會變得更容易集成到開發工具中。
Keyfactor: 在未來幾年中,哪些領域將優先考慮PKI?
Tomas:所有的行業! PKI是解決大多數行業所面臨的安全需求的最成熟和標準化的方法。
一些行業,如電信業,已經使用PKI幾十年了,所以與汽車和製造業等行業相比,我們可能不會看到這些行業有那麼大的增長。這些環境正在向萬物互聯的模式過渡,這就要求他們的PKI使用量比傳統上的需求要高。
即使是多年來穩固使用PKI的企業組織,由於零信任等舉措,PKI的使用也在大規模增長。
Keyfactor: PKI管理將如何幫助製造業對抗勒索軟件攻擊?
Tomas:PKI不可能解決所有問題。企業需要多階段的保護措施來防範勒索軟件和其他攻擊。例如,代碼簽名是防止惡意軟件被安裝在你的系統中的一個關鍵組成部分。如果你能防範未經授權的軟件,你就能保持對許多類型攻擊的保護。
也就是說,被盜的代碼簽名密鑰可以使勒索軟件得到簽名。對於一個擁有私人設備生態系統的公司來說,最好是使用私人信任的代碼簽名證書,而不是公共信任的證書。這使製造商的設備免受被盜的公開信任的密鑰和證書的影響。
在2023年,我們可以預期,隨着微軟對用於簽署Windows代碼的代碼簽署證書的用戶強制使用硬件安全模塊,圍繞公開信任的代碼簽署密鑰的安全性將會加強。
Keyfactor:你認爲遠程工作會繼續存在嗎?如果是的話,企業應該如何使用PKI來保證遠程網絡訪問的安全?
Tomas:遠程工作將繼續存在;混合工作場所是新的常態。PKI是安全通信的骨幹,大多數保障遠程工作的產品都以這種或那種方式使用PKI。不管是VPN解決方案、視頻會議,還是辦公協作工具,企業都需要採取零信任策略。
零信任策略將把PKI的使用擴大到網絡的某些部分,而這些部分以前僅僅依靠網絡分段來實現對遠程工作者所需的所有資源的輕鬆、安全的訪問。
從世界任何地方安全地工作,沒有理由不那麼容易。
聲明:本文相關資訊來自keyfactor,版權歸作者所有,轉載目的在於傳遞更多信息。如有侵權,請聯繫本站刪除。