zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Versterkte forten proberen te beveiligen met houten poorten

Zwakke sleutels en verouderd machine-identiteitsbeheer ondermijnen TLSv1.3 adoptie

4 juli 2022 - Venafi maakt de resultaten bekend van een onderzoek door security- en TLS-expert, Scott Helme. Het crawler rapport, dat gesponsord is door Venafi, evalueert het gebruik van encryptie in de top één miljoen sites in de wereld over de afgelopen zes maanden. Daaruit blijkt onder andere dat er behoefte is aan een oplossing om het beheer van machine-identiteiten in de steeds complexere cloud-omgevingen te automatiseren.

Het onderzoek toont aan dat er op enkele gebieden vooruitgang is geboekt, maar dat nog meer voorlichting nodig is om ervoor te zorgen dat machine-identiteiten op de meest doeltreffende wijze worden gebruikt voor het beschermen van de online wereld.



Belangrijke onderzoeksresultaten
 
  • Het gebruik van TLSv1.2 is de afgelopen zes maanden met dertien procent gedaald, terwijl v1.3 in gebruik is bij bijna 50 procent van de onderzochte sites - ruim twee keer zoveel sites als v1.2. De v1.3-adoptie wordt gedreven door digitale transformatie-initiatieven, cloudmigratie en cloud-native stacks die standaard v1.3 gebruiken.
  • Hoewel organisaties sterkere TLS-protocollen invoeren, verzuimen ze dit te koppelen aan een overstap naar sterkere sleutels voor TLS-machine-identiteiten.
  • Industriestandaard ECDSA-sleutels worden nu door slechts zeventien procent van de websites gebruikt - tegenover veertien procent zes maanden geleden. Langzamere, minder veilige RSA-sleutels worden nog steeds gebruikt door 39 procent van de top één miljoen websites.
  • De groei in het gebruik van HTTPS heeft zich gestabiliseerd op 72 procent, hetzelfde als in december.
Let's Encrypt blijft de voorkeur Certificaat Autoriteit (CA) voor de top één miljoen, maar Cloudflare is terrein aan het goedmaken. Deze toename lijkt de drijvende kracht achter de invoering van TLSv1.3 te zijn, waarbij 50 procent van de websites die v1.3 gebruiken dit via Cloudflare doen. De daling in het gebruik van Extended Validation (EV) certificaten heeft zich ook doorgezet, met een daling van 16 procent in de laatste zes maanden, na een verandering van browserfabrikanten die de waarde van EV-certificaten voor website-eigenaren drastisch hebben verminderd.

Goed nieuws
De analyse bevat goed nieuws. Alle data laat zien dat organisaties meer stappen ondernemen om hun machine-identiteitsomgevingen te beheren. Sinds december is er tevens een toename van 13 procent in het aantal sites dat gebruik maakt van Certificate Authority Authorization (CAA), wat bedrijven in staat stelt een lijst van goedgekeurde CA's op te stellen die binnen hun organisaties gebruikt mogen worden. De adoptie van deze controle is een positief teken dat organisaties zich bewust lijken van het belang van machine-identiteiten voor hun beveiliging en waakzamer zijn in de manier waarop zij deze beheren. "Het feit dat bedrijven TLS v1.3 implementeren met machine-identiteiten die RSA-sleutels gebruiken, toont aan dat er nog veel vooruitgang te boeken valt met machine-identiteitsmanagement. Een sterk algoritme betekent namelijk weinig als het wordt gebruikt in combinatie met een zwakke sleutel - het is net zoiets als een stenen fort bouwen maar de houten poort onbeschermd laten," legt Scott Helme uit, beveiligingsonderzoeker en oprichter van Report URI. "De adoptie van modernere, efficiëntere en veiligere EDCSA-sleutels is de afgelopen zes maanden verwaarloosbaar geweest. Dit, in combinatie met het feit dat de adoptie van HTTPS de afgelopen zes maanden is gestagneerd, laat zien dat het internet niet veiliger is dan het een half jaar geleden was. Cybercriminelen zijn continu bezig de lat hoger te leggen, dus het is ontmoedigend om te zien dat bedrijven dit voorbeeld niet volgen.""De recente hausse in cloudmigraties betekent dat elk bedrijf veel meer TLS-machine-identiteiten nodig heeft om alle communicatie tussen apparaten, clouds, software, containers en API's te beveiligen," zegt Kevin Bocek, vice president security strategy and threat intelligence bij Venafi. "Het feit dat steeds meer bedrijven gebruik maken van CAA's is een positief teken dat bedrijven aandacht krijgen voor de noodzaak van machine-identiteitsmanagement. De adoptie van CAA's onderstreept ook de dringende behoefte aan een ‘control plane’ voor machine-identiteitsmanagement, die het gebruik van machine-identiteiten in steeds complexere cloudomgevingen kan automatiseren."

 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Koffie op kantoor: dit komt er allemaal bij kijken
 Risicofactoren voor bedrijfssucces in een wereld na de pandemie
 Een inclusieve werkplek: vier tips om de volgende stappen te zetten
 

Gerelateerde nieuwsitems

 ‘AI en ML zijn onmisbaar geworden in cybersecurity’
 Digitale transformatie stuwt groei machine-identiteiten
 Bedrijfsleven omarmt AI en ML voor cybersecurity
 Machine learning, de nieuwe tool tegen online fraude
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
In welke gevallen moet je aan de slag met een BAV
reacties
Nederlanders willen vooral buiten kantoor kunnen werken (1) 
Drie eenvoudige tips tegen SIM-swapping (1) 
Nederlander bang voor misleidende online reviews (1) 
Werknemer wil fiets in arbeidsvoorwaardenpakket (1) 
Nederland positieve uitschieter: 62 procent vertrouwt op huidige pensioenstelsel (1) 
Het grote verschil tussen weten en kunnen (1) 
Onderweg naar meer bevlogenheid  (1) 
top10
Tips voor een veilige werkplek, ook tijdens de vakantieperiode
Vier tips voor meer werknemersbetrokkenheid in de zorg in tijden van hybride werken
Bedrijven worstelen met innoveren omdat ze data niet effectief kunnen gebruiken
Toptalent aantrekken en behouden met een ‘employee first’ bedrijfscultuur
Wekelijkse aantal cyberaanvallen wereldwijd gestegen met 32 procent
De grootste frustraties en uitdagingen voor IT-systeembeheerders
Dit is hoe je cybersecurity op de kaart zet bij het management
Ongetrainde medewerkers vormen gapend gat in cybersecurity
Wantrouwen over data-uitwisseling remt technologische vooruitgang af
Cybercriminelen bereiden zich voor op een wereld zonder macro's
meer top 10