多年來,企業一直將公鑰基礎設施 (PKI)視為後台管道,默默地保護企業系統和設備的訪問,除非出現故障,否則很少引起高階主管的注意。
波耐蒙研究所的最新研究表明,這些假設不再成立。
根據全球研究報告《PKI 安全趨勢:趨勢、挑戰與業務影響的全球研究》,目前企業平均管理超過11.4 萬個內部證書,但大多數企業僅安排四名全職員工 負責維運該基礎設施。同時,公鑰憑證的生命週期正在縮短,加密標準不斷演進,信任期望也不斷提高。
結果是營運實際情況與高階主管認知之間日益加劇的不匹配,而這種不匹配的成本也越來越高。造成這種差距的部分原因是公鑰基礎設施 (PKI) 的覆蓋範圍越來越廣,營運也越來越複雜。在 Ponemon 的研究中,「PKI」指的是企業內部頒發的憑證和私有憑證授權機構,它們負責保護企業應用程式、工作負載、裝置以及跨本地端、雲端和混合環境的機器間通訊——而這些環境目前集中了大部分憑證數量、營運工作量和風險。
安全領導者在談論公鑰基礎設施 (PKI) 成本時,通常只專注於基礎設施支出:憑證授權單位軟體、硬體安全模組和維護合約。但 Ponemon 的最新數據顯示,實際成本遠不止於此,它還存在著更深層、更持久的消耗。
超過三分之一的組織認為傳統 PKI 的成本和風險是保障憑證安全的最大障礙,但超過一半的組織仍依賴手動或臨時工具來評估 PKI 的健康狀況。團隊人手不足,專業知識匱乏,而維運工作量卻隨著證書數量的成長而持續增加。因此, 63% 的組織為了應對這些挑戰而轉向託管服務提供者也就不足為奇了。
這就是公鑰基礎設施 (PKI) 隱性成本的體現。手動操作會消耗大量高價值的安全人才,並將資金從戰略舉措轉移到持續維護上——更不用說還會導致被動應對各種突發狀況。但這些成本不僅限於財務方面,還會反映在專案延期、流程脆弱以及對外部援助的依賴性日益增強等問題上。
許多高階主管仍然認為大多數 PKI 問題表現為服務中斷,但這種想法低估了風險。
Ponemon 的研究表明,各組織正受到怎樣的影響:
這些並非次要的操作問題,而是直接的攻擊路徑,會導致冒充、攔截和未經授權的存取等安全事件。
同時,組織機構的信心依然低迷。不到一半的受訪者認為他們的公鑰基礎設施 (PKI) 能夠有效防禦攻擊或滿足合規性要求,而可見性不足是造成這個問題的主要原因。只有47% 的受訪者表示他們能夠實際了解自己擁有的憑證數量或部署位置。缺乏這種可見性會導致配置錯誤持續存在,弱加密技術難以被發現,並延長事件回應時間。
這意味著:對於許多組織而言,PKI 只是名義上的安全控制措施,其故障模式更像是身分洩露,而不是常規的 IT 錯誤。
與證書相關的故障仍然普遍存在。 56 % 的組織報告稱,由於證書過期或配置錯誤,導致計劃外停機,而這些證書的管理仍然通常依賴人工追蹤和續訂流程。但最好將故障理解為一種滯後指標。
每一次服務中斷背後,都隱藏著一個因所有權分散、策略執行不一致以及工具設計無法滿足當今規模需求而舉步維艱的系統。隨著證書有效期縮短和續期頻率增加,這些弱點會不斷累積。曾經只是偶爾造成服務中斷的問題,如今卻威脅著系統的持續可靠性。
這項研究還揭示了另一個重要訊號。半數受訪者認為自動化和人工智慧能夠顯著降低系統宕機風險,但其應用普及程度仍參差不齊。許多組織都意識到了這個問題,但傳統模式和沈沒成本阻礙了進展。
業界通常將公鑰基礎設施 (PKI) 現代化視為應對未來變革的舉措,例如後量子密碼學 (PQC)、新的監管要求或新興架構。然而,Ponemon 的數據表明,現代化早已迫在眉睫。
研究中,50% 的組織表示,新的 47 天 TLS 有效期規則正在加速 PKI 現代化進程,迫使領導者比原計劃更早地面對營運現實。其他組織則指出,加密敏捷性、統一可見性和稽核準備是首要任務。
但並非所有企業都以相同的方式應對 PKI 現代化。研究表明,高績效組織將 PKI 視為核心機器身分安全控制措施,利用自動化、統一可見性和規範的治理來減少服務中斷、增強合規信心並提高系統彈性。事實上,33% 的組織表示,他們已將 PKI 服務化視為降低複雜性和營運負擔的早期步驟。
雖然研究揭示了許多重要發現,但最重要的結論是 PKI 對現代企業的意義發生了轉變。
公鑰基礎設施 (PKI) 已不再只是後台基礎設施,而是成為支援所有數位互動的基礎安全服務。可擴展、高彈性和安全的 PKI 是機器身分安全的核心基礎原則。當 PKI 資源不足、人工作業或管理不善時,其後果會像漣漪一樣擴散開來,導致成本上升、風險增加,並降低董事會的信任度。
傳統 PKI 的這些隱性成本持續的時間越長,企業就越會發現自己缺乏跟上當今業務需求所需的敏捷性、韌性和信任度。
隨著企業為更短的憑證生命週期、不斷發展的加密標準以及日益嚴格的監管審查做好準備,我們很可能會看到企業級公鑰基礎設施 (PKI) 方法持續演進。而真正的未來領導者將在下一次系統宕機、審計失敗或安全事件迫使他們採取行動之前,就意識到 PKI 對業務的影響。
Kevin Bocek 是 CyberArk 的高級創新副總裁。
看看這項研究發現了什麼。 閱讀波耐蒙研究所的完整研究報告,了解各組織如何應對公鑰基礎設施 (PKI) 的複雜性、營運風險和現代化壓力。
文章來源/CyberArk Blog CyberArk Blog
返回