De afgelopen jaren is de externe toegang tot bedrijfsbronnen via webbrowsers exponentieel toegenomen. Met die groei neemt het risico toe dat gevoelige informatie en kritieke systemen
Kunt u een geheim bewaren? Hoe zit het met de data-omgeving van uw organisatie?
In een IT-omgeving is een geheim een compact gegeven dat vertrouwelijk moet blijven. Geheimen worden meestal gebruikt voor authenticatie of als invoer voor een cryptografisch algoritme. Veelvoorkomende geheimen zijn:
- Inloggegevens voor een bevoegd account
- SSH-sleutels
- API- en andere cryptografische sleutels en inloggegevens, waaronder die die worden gebruikt binnen containers, CI/CD-systemen, automatiseringsprocessen, RDP-software (Remote Desktop Protocol) en zelfs beveiligingssoftware
- Wachtwoorden voor databases en andere systemen.
- TLS/SSL en andere persoonlijke certificaten voor veilige communicatie
- Persoonlijke encryptiesleutels
Aangezien IT-netwerkgeheimen de toegang ontgrendelen tot sterk geprivilegieerde systemen en gegevens, is het beveiligen van geheimen net zo belangrijk voor het voorkomen van cyberaanvallen als het beveiligen van wachtwoorden van eindgebruikers. Ongeveer 75% van de ransomware-aanvallen omvat gecompromitteerde inloggegevens, meestal RDP-inloggegevens.
Zo worden geheimen gecompromitteerd
Een van de grootste uitdagingen bij geheimenbeheer is de verspreiding van geheimen. Dit gebeurt wanneer organisaties een ad-hocaanpak hanteren voor geheimenbeheer. Verschillende afdelingen, teams en zelfs teamleden beheren afzonderlijk hun geheimen.
Deze aanpak lijkt in eerste instantie verstandig. Een voorbeeld: een nieuwe microsite moet toegang krijgen tot een database. De beheerder heeft al een configuratiebestand met gevoelige gegevens, dus waarom niet de toegangssleutel tot de database beveiligen in hetzelfde configuratiebestand en dan het bestand beveiligen? Dit kan wanneer een organisatie relatief weinig geheimen moet bewaren.
Maar hoe groter organisaties worden, hoe groter hun dataomgeving wordt, en de geheimen die erin zijn opgeslagen. Voordat het IT-team het goed en wel beseft, hebben de geheimen zich erg snel vermenigvuldigd en zich in willekeurige volgorde verspreid over het hele netwerk. Zo kunnen alleen al SSH-sleutels in de duizenden oplopen.
Hard-coded of ingesloten inloggegevens vormen een ander obstakel voor geheimenbeheer. Veel softwareoplossingen, IoT-apparaten en andere hardware worden geleverd met hard-coded standaard inloggegevens. Als deze apparaten en apps worden gebruikt zonder de standaardgegevens te wijzigen, kunnen cybercriminelen hier eenvoudig toegang toe krijgen door middel van scantools en brute force-, woordenboek- of andere wachtwoordaanvallen. Ze kunnen ook simpelweg de handleiding van het apparaat of de app raadplegen waarin de standaardgegevens staan vermeld.
In DevOps-omgevingen gebruiken veelgebruikte CI/CD-pijplijntools zoals Jenkins, Ansible, Github Actions en Azure DevOps geheimen om toegang te krijgen tot databases, SSH-servers, HTTP-services en andere gevoelige systemen. Deze geheimen worden opgeslagen in een configuratiebestand voor het implementatiesysteem of in een van de tientallen verschillende opslagkluizen die afhankelijk van het product erg uiteenlopende functies kunnen bieden. In een scenario waarin beheerders geen inloggegevens opslaan in configuratiebestanden of -systemen, worden ze waarschijnlijk opgeslagen in hun DevOps-omgevingen. Hoe het ook zij, beheerders kunnen mogelijk het gebruik van geheimen niet evalueren of rapporteren.
Hoewel sommige tools beschikken over ingebouwde geheimenmanagers waarmee organisaties de hard-coded/ingesloten inloggegevens kunnen verwijderen, werken de geheimenmanagers alleen met die tools. Ze bieden dus geen oplossing voor de ongecontroleerde verspreiding van geheimen.
Keeper Secrets Manager: zero-trust, zero-knowledge beveiliging van uw netwerkgeheimen
Keeper kondigt met trots de lancering van Keeper Secrets Manager aan: de eerste en enige cloudgebaseerde, zero-trust en zero-knowledge oplossing voor het beveiligen van infrastructuurgeheimen. Keeper Secrets Manager is volledig beheerbaar en maakt gebruik van een nieuwe beveiligingsarchitectuur waarvoor een patent is aangevraagd. Daarnaast maakt het gebruik van hetzelfde zero-knowledge beveiligingsmodel als Keepers hoogwaardige EPM-platform (Enterprise Password Management).
Met Keeper Secrets Manager halen alle servers, CI/CD-pijplijnen, ontwikkelaarsomgevingen en broncodes geheimen uit een veilig API-eindpunt. Elk geheim wordt versleuteld met een 256-bits AES-sleutel, die op zijn beurt wordt versleuteld door een andere AES-256-sleutel. Het apparaat van de gebruiker haalt versleutelde tekst uit de Keeper-cloud op. Geheimen worden ontsleuteld en niet op de servers van Keeper, maar lokaal op het apparaat gebruikt.
Ready to see Keeper Secrets Manager for yourself?
Bovendien worden alle serververzoeken verder versleuteld met een AES-256-transmissiesleutel bovenop TLS om MITM- of replay-aanvallen te voorkomen. Dat zijn een heleboel encryptiesleutels als u de tel bijhoudt! Deze meerlaagse cryptografie wordt transparant verwerkt via de SDK’s aan de klantzijde, die eenvoudig te integreren zijn in elke omgeving.
Terwijl concurrerende oplossingen voor geheimenbeheer vereisen dat klanten speciale hardware kopen, een proxyservice installeren of een specifieke cloudserviceprovider gebruiken, integreert Keeper Secrets Manager naadloos in vrijwel elke dataomgeving, zonder dat er extra hardware of in de cloud gehoste infrastructuur nodig is. Het biedt gebruiksklare integraties met tal van DevOps-tools, waaronder Github Actions, Kubernetes, Ansible en meer.
Keeper Secrets Manager is een natuurlijke uitbreiding van de Keeper Enterprise Password Manager (EPM). Het is ingebouwd in de Keeper Webkluis, Desktopapp en Beheerdersconsole, met integraties in Keepers module Geavanceerde rapportage en meldingen, BreachWatch, Webhooks, SIEM-integratie en nalevingstools. Zo worden alle hard-coded of ingesloten inloggegevens die zijn opgeslagen in de Keeper Vault van een organisatie onderworpen aan BreachWatch-scans, waarna IT-beheerders een melding ontvangen als inloggegevens zijn gecompromitteerd.
Ontdek meer over Keeper Secrets Manager en plan een demo!