Hoe PKI de grootste beveiligingsproblemen helpt oplossen

August 27, 2019
Amy Krigman

Iedereen heeft probleempunten op het vlak van beveiliging. Dat is vandaag de realiteit voor bedrijven van elke grootte. De wereldwijde IT-denktank 451 Alliance heeft dit recent onderzocht. De organisatie is een divisie van 451 Research. De leden werd naar hun grootste bezorgdheden op het gebied van beveiliging gevraagd. Zoals u hieronder ziet zijn de twee belangrijkste bezorgdheden gebruikersgedrag en phishing. De beveiliging van eindpunten, het IoT en aan compliance gerelateerde kosten werden ook door respondenten genoemd als beveiligingsproblemen.

Naast deze belangrijke prioriteiten vermeldden leden van de 451 Alliance ook de volgende aandachtsgebieden voor het komende jaar (in dalende volgorde van belangrijkheid):

Beveiliging van toepassingen
Beheren en bijwerken van de firewall
Initiatieven voor identiteits-/toegangscontrole
Toegangsdetectie/-preventie
Patchmanagement
Reageren op incidenten
Gegevensclassificatie
Encryptie

Laten we de studie in meer detail bekijken om te begrijpen hoe GlobalSign al over de juiste oplossingen beschikt om een aantal van de geïdentificeerde probleempunten aan te pakken.

Phishing

Het is geen verrassing dat phishing bijna bovenaan de lijst van bezorgdheden van de deelnemers staat. Phishing is een wereldwijd fenomeen dat elke regio en economie treft en daarom is het belangrijk dat u de e-mailactiviteiten van uw werknemers goed in de gaten houdt. Studie na studie toont aan hoe problematisch phishing is. Uit een van deze studies, van cloudbeveiligingsaanbieder Avanan, bleek dat één op elke 99 e-mails een phishingaanval is, wat overeenkomt met 4,8 e-mails per werknemer in een vijfdaagse werkweek. Dat betekent dat zo goed als elke dag een werknemer een phishingbericht ontvangt. De studie toonde ook aan dat in 2018, 83% van de mensen wereldwijd het doelwit werd van phishingaanvallen, met verschillende soorten storingen en schade tot gevolg. Dit omvat een afgenomen productiviteit (67%), verlies van gegevens (54%) en een beschadigde reputatie (50%).

Voorbeeld van phishing-e-mail

Om een phishingaanval te voorkomen, raden we de volgende stappen aan:

Opleiding en bijscholing van werknemers. Werknemers moeten weten wat phishing is, hoe het wordt uitgevoerd en waar ze alert voor moeten zijn. Ze moeten ook weten wat ze moeten doen wanneer ze het slachtoffer worden van een phishingpoging en wie ze moeten waarschuwen. Opleidingen moeten regelmatig worden bijgewerkt met informatie over nieuwe phishing methodes.
De gevoelige informatie van uw bedrijf versleutelen. Versleutelde e-mails kunnen veel moeilijker worden geopend door hackers om toegang te krijgen tot bedrijfsgegevens.
Uiteraard moet u digitale certificaten op basis van PKI gebruiken om de gebruikers in uw organisatie te identificeren en authentiseren. PKI omvat het beleid, de rollen en de procedures die noodzakelijk zijn om digitale certificaten te creëren, te beheren, op te slaan en in te trekken – alsook encryptie met publieke sleutels te beheren.
E-mails die digitaal zijn ondertekend valideren de afzender van de e-mail en zorgen ervoor dat echte e-mails onderscheiden kunnen worden van valse e-mails. In combinatie met opleiding zal dit het risico doen dalen dat werknemers phishingmails openen die afkomstig lijken te zijn van collega's.

Nalevingskosten

De studie door de 451 Alliance toonde ook aan dat nalevingskosten een bezorgdheid zijn voor IT-managers. Een manier om deze kosten te controleren, is de risico's op het gebied van cyberbeveiliging in uw bedrijf correct aan te pakken. Vandaag moeten bedrijven proactief zijn als het gaat om de bescherming van persoonlijke gegevens en cyberbeveiliging. Door deze aanpak zijn minder vaak dure wijzigingen bij de klant of aan de regelgeving nodig, waardoor de kosten voor naleving uiteindelijk dalen. Bovendien moeten bedrijven in de VS en zeker in Europa aan steeds meer regels voldoen. Enkele van de belangrijkste Amerikaanse regelgevingen zijn Sarbanes Oxley, CFR 21 Deel 11, FDA ESG, en in Europa eIDAS en AVG (GDPR). Het is cruciaal dat u samenwerkt met een beveiligingsspecialist zoals GlobalSign, die u kan helpen voldoen aan deze regelgeving door kritische toepassingen en klantengegevens te beveiligen en tegelijk conform te werken. Zo voorkomt u dat uw bedrijf dure schikkingen moet treffen omdat het niet aan de regelgeving voldoet.

Meerledige en tweeledige verificatie

Deelnemers aan dit onderzoek gaven ook aan dat ze van plan waren om meer aandacht te besteden aan meerledige verificatie. Vergelijkbaar met meerledige verificatie biedt GlobalSign ook tweeledige verificatie aan. Dit is cruciaal om de gevoelige gegevens en toepassingen van een organisatie te beschermen. Digitale certificaten die worden gebruikt voor tweeledige verificatie, kunnen eenvoudig worden geïmplementeerd en beheerd met GlobalSigns cloud-gebasseerde beheerplatform, Managed PKI (MPKI). Managed PKI biedt voordelig, eenvoudig beheer en controle van de identiteit van zowel gebruikers als apparaten, zodat u zelf nauwkeurig kunt bepalen wie of wat toegang krijgt tot uw services, gegevens en digitale activa. MPKI biedt ook geavanceerde functies die perfect geschikt zijn voor grote organisaties met een Windows-omgeving doordat ze Active Directory gebruiken voor automatische registratie en installatie op de achtergrond.

Beveiliging van eindpunten

De beveiliging van eindpunten is cruciaal omdat een hacker gemakkelijk een verbinding tussen een netwerk en een apparaat (het 'eindpunt') zoals een mobiele telefoon, laptop of server kan onderscheppen. Elk apparaat moet beschermd worden, ongeacht het type apparaat.

De Auto Enrollment Gateway (AEG) van GlobalSign biedt uitgebreide ondersteuning bij de beveiliging van eindpunten.

AEG is een volledig geautomatiseerde, beheerde PKI-oplossing (Public Key Infrastructure) voor schaalbaarheid in moderne, gemengde bedrijfsomgevingen. Met AEG kunnen gebruikers automatisch openbaar vertrouwde certificaten uitgeven en beheren tijdens hun volledige levenscyclus, inclusief heruitgifte. Hierdoor hebt u minder IT-resources nodig en beperkt u het risico dat certificaten verlopen en uw workflows onderbroken worden. Gebruikers van AEG verhogen ook de beveiliging van e-mails en publieke webservers. Daarnaast ondersteunt AEG automatische levering op alle Apple-machines en -apparaten die zijn geregistreerd bij Active Directory.

IoT-beveiliging en -identiteit

Een andere toenemende bezorgdheid die naar voren kwam in het onderzoek is IoT-beveiliging. Onze oplossing hiervoor is het op PKI gebaseerde IoT Identity Platform, dat steeds meer wordt beschouwd als een van de beste platformen in de industrie voor veilige, identificeerbare IoT- en IIoT-apparaten. Het IoT Identity Platform zorgt voor een uitstekende apparaat identiteit en -beveiliging, is flexibel en schaalbaar genoeg om miljarden identiteiten voor alle soorten IoT-apparaten te creëren en beheren, en kan eenvoudig worden geïntegreerd in gebruiksvriendelijke RESTful API's. Het IoT Identity Platform is geschikt voor de diverse beveiligingstoepassingen van het IoT in alle ecosystemen, waaronder productie, landbouw, smart grids, betalingen, IoT-gateways, gezondheidszorg en andere industriële ecosystemen. Het platform ondersteunt de volledige levenscyclus van apparaat identiteiten, van de initiële certificaatinrichting (zowel nieuwe als bestaande implementaties) en het levenscyclusbeheer tot het stopzetten, het uit bedrijf nemen of de eigendomsoverdracht. Door elk apparaat of eindpunt een unieke identiteit te geven, kunnen deze geverifieerd worden wanneer ze online gaan en tijdens hun levenscyclus hun integriteit bewijzen en veilig communiceren met andere apparaten, services en gebruikers.

Cloudbeveiliging

Een van de belangrijkste missies van GlobalSign is ervoor zorgen dat uw bedrijf veilig is. We benadrukken altijd aan klanten dat hun beveiligingsstrategie flexibel moet zijn. Hackers en cybercriminelen werken steeds harder om informatie te stelen en te onderscheppen en daarom moet u klaar zijn voor wat er op u af komt. Dit geldt vooral voor onze oplossingen met cloud-technologie waarmee u PKI kunt automatiseren en beheren – waardoor teams snel kunnen reageren op dreigingen en identiteiten implementeren, en websites/netwerken kunnen beveiligen. Dit niveau van controle zorgt voor de beveiliging van belangrijke intellectuele eigendom, merkreputatie en garandeert de veiligheid van bedrijfsmiddelen.

GlobalSign werkt er hard aan om onze klanten over de hele wereld een ruim aanbod aan oplossingen te bieden ter ondersteuning van hun beveiligingsbehoeften. In geval van vragen over onze oplossingen op basis van PKI, gaat u naar onze productpagina, waar u meer informatie vindt over hoe we u kunnen helpen.

Beheer en automatisering

Certificaten

Conformiteit

Technologische allianties

Beheer en automatisering van certificaten

Ondertekening van documenten

Custom CA/ Private PKI

Website- en serverbeveiliging (SSL/TLS)

Toegangscontrole en authenticatie

Certificaten ondertekenen

eIDAS

PSD2

NAESB

FDA Certificaten

Belgische Overheidsdiensten

Tijdstempels

Venafi als dienst

HashiCorp Vault

ServiceNow

Adobe Acrobat

DocuSign

Word een globalsign partner

Onze Partners

Partnerprogramma's

Hoe PKI beveiligingsproblemen oplost

Zoek blog artikelen

Related Blogs

Certificaten met een geldigheidsduur van 90 dagen vereisen CLM-automatisering

De 10 belangrijkste redenen om voor GlobalSign te kiezen

De meest memorabele cybersecurity-events van 2020