Come evidenza una nuova ricerca di CyberArk, la sicurezza delle PKI è sotto pressione a causa del crescente numero di identità macchina e di carichi di lavoro. Il 60% delle aziende ha subìto exploit a causa di crittografia debole
CyberArk, il leader globale nell’Identity Security, presenta i risultati di un nuovo report, “Trend nella sicurezza delle PKI: analisi globale su tendenze, sfide e impatto sul business”, realizzato da Ponemon Institute, importante società di ricerca indipendente. L’indagine, commissionata da CyberArk, analizza le prospettive di circa 2.000 professionisti IT e della sicurezza sullo stato della protezione della public key infrastructure (PKI) e rivela come i sistemi PKI obsoleti siano il principale ostacolo a una gestione protetta dei certificati, alimentando exploit di sicurezza nel 60% delle organizzazioni.
La PKI è un sistema progettato per creare e gestire certificati digitali che verificano le identità di utenti e dispositivi. Tuttavia, le moderne esigenze di identità – determinate dall’aumento delle identità macchina e dei carichi di lavoro in ambienti cloud-native e zero trust – hanno portato a una crescita senza precedenti della loro complessità.
I sistemi PKI tradizionali e la rapida crescita dei certificati sono fattori nascosti che generano costi
Il report mostra come la PKI rimanga essenziale per poter fare affidamento su identità digitali sicure, ma i sistemi tradizionali gestiti dalle persone con approcci frammentati e processi manuali, non riescono a stare al passo con le attuali esigenze dei certificati. Senza un approccio moderno e automatizzato, il divario tra richieste di certificati e capacità organizzativa non potrà che estendersi, lasciando le aziende ad affrontare vincoli legati alle risorse e aumento dei costi operativi.
- Per il 34% delle organizzazioni i costi e rischi della PKI tradizionale sono il principale ostacolo per una PKI sicura.
- In media, le aziende gestiscono oltre 114.000 certificati interni, ma dispongono solo di quattro dipendenti a tempo pieno dedicati alla gestione della PKI.
- Il 63% è costretto a esternalizzare la gestione della PKI a causa della mancanza di risorse e competenze.
I processi manuali amplificano i rischi per la sicurezza
I processi manuali di tracciamento e rinnovo sono inefficienti e potenzialmente rischiosi, causando costose interruzioni dei servizi ed exploit di sicurezza.
- Il 56% delle aziende ha subìto interruzioni non pianificate a causa di certificati scaduti o errori di configurazione.
- Il 60% exploit di sicurezza a causa di una crittografia debole.
- Il 58% compromissioni da parte di autorità di certificazione (CA) di terze parti.
- Il 43% il furto di chiavi private di server.
“Il rapido ampliamento delle identità macchina ha completamente cambiato il modello operativo della PKI. La complessità di gestione di un numero crescente di certificati è aggravata da sistemi legacy, processi manuali e vincoli legati alle risorse,” ha affermato Kurt Sand, GM of Machine Identity Security di CyberArk. “Mentre i volumi dei certificati crescono e la loro durata di vita continua a ridursi, l’impatto finanziario e operativo di una PKI non gestita aumenterà rapidamente. È il momento per le aziende di automatizzare e modernizzare la propria PKI al fine di ridurre gli oneri operativi e migliorare la loro postura di sicurezza complessiva.”
Visibilità unificata e automazione migliorano l’efficacia della PKI
Il report rileva un basso livello di fiducia complessiva in termini di conformità e sicurezza. Le organizzazioni che investono in automazione e visibilità unificata riscontrano oneri operativi ridotti, un minor numero di interruzioni e migliori livelli di conformità PKI.
- Solo il 46% delle aziende è altamente fiducioso che la propria PKI possa soddisfare i requisiti di conformità, e meno della metà (48%) è certa che sia efficace contro attacchi informatici o minacce interne.
- Le organizzazioni con un’elevata fiducia nella conformità della loro PKI hanno maggiori probabilità di avere una visibilità unificata sul loro inventario di certificati (75% contro il 47% complessivo). La maggior parte (61%) di queste aziende ha adottato l’AI come parte della propria strategia PKI, rispetto al 50% del campione complessivo.
“La PKI è di fondamentale importanza per garantire fiducia, sicurezza e privacy nelle comunicazioni digitali. Tuttavia, come dimostrato dalla ricerca, le aziende non hanno fiducia nella capacità della PKI di proteggerle dalle minacce e tenere il passo con la crescente domanda dei loro dispositivi e carichi di lavoro,” ha affermato Larry Ponemon, chairman e fondatore di Ponemon Institute. “Per aumentare l’efficacia della PK, credo che un maggior numero di aziende adotteranno l’AI per ridurre gli oneri operativi e ottenere risultati di sicurezza più robusti.”
