Società GlobalSign , in primo luogo, come e perché le aziende utilizzano l'infrastruttura a chiave pubblica (PKI). Al sondaggio hanno preso parte circa 750 persone: sono state poste anche domande su firme digitali e DevOps.
Se non hai familiarità con il termine, PKI consente ai sistemi di scambiare dati in modo sicuro e verificare i proprietari dei certificati. includere l'autenticazione di certificati digitali e chiavi pubbliche per la crittografia e la verifica crittografica dell'autenticità dei dati. Qualsiasi informazione sensibile si basa su un sistema PKI e GlobalSign è considerato uno dei principali fornitori mondiali di tali sistemi.
Quindi, diamo un'occhiata ad alcuni risultati chiave dello studio.
Cosa è crittografato?
Nel complesso, il 61,76% delle aziende utilizza la PKI in una forma o nell'altra.
Una delle domande principali che hanno interessato i ricercatori era quali specifici sistemi di crittografia e certificati digitali utilizzano gli intervistati. Non sorprende che circa il 75% affermi di utilizzare certificati pubblici e circa il 50% si affida a SSL e TLS privati. Questa è l'applicazione più popolare della crittografia moderna: crittografare il traffico di rete.
Questa domanda è stata posta alle aziende che avevano risposto sì alle domande precedenti sull'utilizzo dei sistemi PKI e consentiva più opzioni di risposta.
Un terzo dei partecipanti (30%) ha affermato di utilizzare certificati per le firme digitali, mentre una percentuale leggermente inferiore si affida alla PKI per proteggere la posta elettronica (). S/MIME è un protocollo ampiamente utilizzato per l'invio di messaggi crittografati con firma digitale e un modo per proteggere gli utenti dalle truffe di phishing. Con l'aumento degli attacchi di phishing, è chiaro il motivo per cui questa è una soluzione sempre più popolare per la sicurezza aziendale.
Abbiamo anche esaminato il motivo per cui le aziende inizialmente scelgono le tecnologie basate su PKI. Oltre il 30% ha indicato la scalabilità dell’Internet delle cose () e il 26% ritiene che la PKI possa essere applicata a un'ampia gamma di settori. Il 35% degli intervistati ha affermato di apprezzare la PKI per garantire l'integrità dei dati.
Sfide comuni di implementazione
Sebbene sappiamo che la PKI ha un grande valore per un'organizzazione, la crittografia è una tecnologia piuttosto complessa. Ciò causa problemi con l'implementazione. Abbiamo chiesto agli intervistati cosa pensassero delle principali sfide di implementazione. Si è scoperto che uno dei maggiori problemi è la mancanza di risorse IT interne. Semplicemente non ci sono abbastanza lavoratori qualificati che capiscano la crittografia. Inoltre, il 17% degli intervistati ha segnalato lunghi tempi di implementazione del progetto e quasi il 40% ha affermato che la gestione del ciclo di vita può richiedere molto tempo. Per molti, l'ostacolo è rappresentato dal costo elevato delle soluzioni PKI personalizzate.
Dal sondaggio abbiamo appreso che molte aziende utilizzano ancora la propria autorità di certificazione interna, nonostante il carico che ciò crea sulle risorse IT dell'azienda.
Lo studio ha inoltre indicato un aumento nell'uso delle firme digitali. Oltre il 50% degli intervistati ha affermato di utilizzare attivamente le firme digitali per proteggere l'integrità e l'autenticità dei contenuti.
Per quanto riguarda il motivo per cui hanno scelto le firme digitali, il 53% degli intervistati ha affermato che la conformità è stata la ragione principale, mentre il 60% ha citato l’adozione di tecnologie paperless. Il risparmio di tempo è stato citato come uno dei motivi principali per passare alla firma digitale. Così come la capacità di ridurre i tempi di elaborazione dei documenti è uno dei principali vantaggi dell'utilizzo della tecnologia PKI.
Crittografia in DevOps
Lo studio non sarebbe completo senza chiedere agli intervistati informazioni sull’uso dei sistemi di crittografia in DevOps, un mercato in rapida crescita che si prevede raggiungerà i 13 miliardi di dollari entro il 2025. Sebbene il mercato IT sia passato molto rapidamente alla metodologia DevOps (sviluppo + operazioni) con i suoi processi aziendali automatizzati, flessibilità e approcci Agile, in realtà questi approcci aprono nuovi rischi per la sicurezza. Attualmente, il processo di ottenimento dei certificati in un ambiente DevOps è complesso, dispendioso in termini di tempo e soggetto a errori. Ecco cosa devono affrontare gli sviluppatori e le aziende:
- Esistono sempre più chiavi e certificati che fungono da identificatori di macchine nei bilanciatori di carico, macchine virtuali, contenitori e reti di servizi. La gestione caotica di queste identità senza la giusta tecnologia diventa rapidamente un processo costoso e rischioso.
- Certificati deboli o scadenze impreviste dei certificati quando mancano buone pratiche di applicazione delle policy e di monitoraggio. Inutile dire che tali tempi di inattività hanno un impatto significativo sull’azienda.
Ecco perché GlobalSign offre una soluzione , che si integra direttamente con REST API, EST o , in modo che il team di sviluppo continui a lavorare allo stesso ritmo senza sacrificare la sicurezza.
I sistemi crittografici a chiave pubblica sono una delle tecnologie di sicurezza più fondamentali. E tale resterà per il prossimo futuro. E data la crescita esplosiva che stiamo vedendo nel settore IoT, prevediamo ancora più implementazioni PKI quest'anno.
Fonte: habr.com