Rondzwervende PKI certificaten vormen een groot continuïteitsrisico

09 nov ‘21

In veel organisaties ligt de verantwoordelijkheid voor de PKI IT infrastructuur bij 1 à 2 IT beheerders. Dit beheer betreft al snel enkele tientallen digitale certificaten van public facing webservers en enkele honderden interne certificaten die zijn uitgegeven vanuit een private (of interne) CA (Certificate Authority). Deze ‘interne’ PKI-certificaten worden geïnstalleerd en uitgerold door een scala aan instellingen van windows group policies, de enterprise root certification authority (CA), netwerk policies, SCCM tot o.a. de Windows IIS server. Vaak wordt de geldigheid van de interne certificaten op meerdere jaren gezet. Het komt geregeld voor dat na enkele jaren servers opeens niet meer bereikbaar zijn, doordat de certificaten die zorgen voor een veilige PKI-infrastructuur zijn verlopen en niet tijdig (geautomatiseerd) vervangen.

Dit soort zwerfafval ontstaat ook doordat IT-medewerkers die PKI-beheer deden van functie veranderen of de organisatie verlaten. Voor hun  opvolgers is het vaak lastig om een beeld te krijgen van alle PKI-certificaten in het netwerk en ervoor te zorgen dat certificaten die verlopen tijdig worden vervangen. Zonder Certificate Key Management Systeem, dat beheer taken ondersteunt, is het bij toenemende complexiteit van de IT-infrastructuur en oplopende aantallen certificaten in het netwerk eigenlijk niet te doen om een nieuwe beheersbare PKI te creëren.

Certificaat scanning omvat het ontdekken van alle certificaten die op verschillende eindpunten in uw netwerk zijn geïnstalleerd. Hierbij worden de belangrijkste details van certificaten vastgelegd, zoals hun locatie, geldigheid, type, dagen tot vervaldatum, de positie in de vertrouwensketen et cetera. Zo’n scan biedt daarmee inzicht in de beveiliging van de netwerkinfrastructuur en helpt bij het opsporen van gebreken.

Er zijn verschillende gratis scanners beschikbaar, zoals SSL Server test van Qualys en SSL Certificate Scanner Tool van Netscantools. Dergelijke gratis tools hebben echter de beperking dat zij alleen van buitenaf kunnen scannen en dus alleen de servers bereiken die “open” staan naar het internet. Veel commerciele scanners die wel de binnenkant van uw netwerk scannen en daarmee ook interne certificaten kunnen opsporen, vereisen een proxy binnen uw netwerktomdat ze “cloud” gebaseerd zijn. Het nadeel hiervan, naast een mogelijk security risico, is dat deze scandata altijd met de commerciële partij worden gedeeld en er dus informatie over uw interne netwerk wordt gedeeld met een externe partij op afstand.

De KeyTalk Smart Security Scan (SSS) is net als het KeyTalk CKMS beschikbaar als een virtuele machine (VM). Dit betekent dat in een hypervisor omgeving (VMware, HyperV of AWS, Azure en Google cloud) de server + applicatie direct beschikbaar is nadat het image is geladen. De KeyTalk SSS is op die manier snel een eenvoudig in te zetten binnen de eigen IT-infra, zelfs in airgapped VLANs.

De KeyTalk Smart Security Scan werkt volledig zelfstandig en is geen vast onderdeel van de KeyTalk Certificaat en Key Management (CKMS) oplossing. Hij kan binnen de IT Infrastructuur alle poort gebonden PKI-certificaten vinden van zowel interne- als externe (web)servers. Zodra de KeyTalk SSS een certificaat vindt, zal het gehele certificaat met alle relevante gegevens worden geïmporteerd in de KeyTalk SSS database voor rapportage en export toepassingen. Tijdens het scannen naar certificaten maakt de KeyTalk SSS gelijk ook een inventarisatie van de meest bekende SSL gebaseerde ‘mis-configuraties’ van de in het netwerk aanwezige webservers. Daarnaast kan de SSS ook apart scannen op overige kwetsbaarheden (vermits de end-points dit toestaan). Deze informatie wordt getoetst op basis van de online beschikbare CVE® database die lokaal in de KeyTalk SSS wordt gesynchroniseerd. Alle bekende kwetsbaarheden voor cyberaanvallen zijn hierin verwerkt.

Op deze manier is het dus eenvoudig en snel mogelijk om weer een volledig overzicht te krijgen van de aanwezige certificaten binnen het netwerk. Natuurlijk is dat slechts de eerste belangrijke stap om volledige grip te krijgen op het beheer van uw certificaten. De door de KeyTalk SSS gevonden certificaten kunnen zeer eenvoudig worden geïmporteerd in het KeyTalk CKMS en vanaf daar kan het PKI-beheer volledig geautomatiseerd worden overgenomen. Dat is waar je zijn wilt!

Wilt u meer weten over de KeyTalk Smart Security Scan of hoe u uw PKI IT Infrastructuur volledig geautomatiseerd kan beheren met behulp van het KeyTalk Certificaat en Key Management Systeem, neem vandaag nog contact met ons op!

Het KeyTalk Team