Share
Beitragsbild zu Verhindern von Zertifikatsverletzungen in Cybersicherheits-Frameworks: Ein Leitfaden zur Überwachung von Zertifikaten in NIST-, PCI- und MITRE ATT&CK-Frameworks

Verhindern von Zertifikatsverletzungen in Cybersicherheits-Frameworks: Ein Leitfaden zur Überwachung von Zertifikaten in NIST-, PCI- und MITRE ATT&CK-Frameworks

TLS ist eines der am weitesten verbreiteten Sicherheitsprotokolle der Welt, das den Handel über das Internet in nie dagewesenem Umfang ermöglicht.

Das Kernstück des TLS-Protokolls sind TLS-Zertifikate. Unternehmen müssen TLS-Zertifikate und die entsprechenden privaten Schlüssel für ihre Systeme bereitstellen, um sie mit eindeutigen Identitäten auszustatten, die zuverlässig authentifiziert werden können. Daher spielt die Überwachung von TLS-Zertifikaten eine entscheidende Rolle für die Betriebszeit, die Aufrechterhaltung des Vertrauens und die Verhinderung von Betrug.

Für Unternehmen, die sich an den gängigen Cybersicherheits-Frameworks von NIST oder MITRE ATT&CK oder an Branchenanforderungen wie PCI DSS für Zahlungsdienste oder HIPAA für Gesundheitsdaten orientieren, ist die Überwachung von Zertifikaten jedoch nicht mehr optional.

Zertifikate können der Fluch unserer Existenz sein, weil sie ablaufen und falsch konfiguriert werden können, aber lassen Sie sich davon nicht von der Schlüsselrolle ablenken, die sie bei der Einhaltung von Vorschriften spielen.

In diesem Blog werden die Anforderungen dieser Rahmenwerke für eine wirksame Überwachung von Zertifikaten untersucht, und Sicherheitsexperten erhalten Anleitungen zur Verbesserung ihrer Compliance-Bemühungen.

Das Verständnis der Zertifikatsüberwachung

Die Überwachung von Zertifikaten beinhaltet die Beobachtung eines Zertifikats in verschiedenen Phasen des Lebenszyklus. Dazu gehören die Ausstellung, die Bereitstellung und die Sperrung oder der Ablauf eines Zertifikats. Es ist wichtig zu wissen, dass sich die Überwachung von Zertifikaten von der Verwaltung des Lebenszyklus eines Zertifikats unterscheidet.

Ohne sorgfältige Überwachung können abgelaufene oder gefährdete Zertifikate zu erheblichen Sicherheitslücken führen. Da sich die Erneuerungszyklen für Zertifikate beschleunigen und die Bedrohung durch die Post-Quantum-Kryptografie immer näher rückt, steigt der Bedarf an einer umfassenden Überwachung von Zertifikaten.

🤔Verwirrt von der Zertifikatsüberwachung? Sehen Sie sich unser Webinar an.

Anforderungen an die Zertifikatsüberwachung nach Rahmenwerk

NIST (Nationales Institut für Standards und Technologie)

Die NIST-Richtlinien zur Zertifikatsverwaltung sind in mehreren Publikationen zusammengefasst, wobei NIST SP 800-57 Teil 1 spezifische Empfehlungen für die Schlüsselverwaltung, einschließlich des Lebenszyklus digitaler Zertifikate, enthält. NIST betont die Bedeutung regelmäßiger Audits, einer sicheren Aufbewahrung von Zertifikaten und einer rechtzeitigen Erneuerung und Sperrung.

In jüngerer Zeit wurde die NIST-Sonderveröffentlichung 1800-16 dem Thema „Securing Web Transactions“ gewidmet: TLS Server Certificate Management“. In dieser Veröffentlichung werden Organisationen über die Risiken und organisatorischen Herausforderungen im Zusammenhang mit TLS-Zertifikaten beraten. Darüber hinaus gibt das NIST Anleitungen, wie sichergestellt werden kann, dass Zertifikate einen Sicherheitsvorteil und keine Belastung darstellen, einschließlich der Einrichtung eines formellen TLS-Zertifikatsverwaltungsprogramms mit Führung, Anleitung und Unterstützung.

MITRE ATT&CK

Obwohl MITRE ATT&CK keine direkten Anforderungen an die Konformität stellt, bietet es eine umfassende Matrix von Taktiken und Techniken, die von Angreifern verwendet werden, einschließlich solcher, die mit dem Missbrauch von Zertifikaten zusammenhängen. In diesem Rahmen werden zwei spezifische Exploits hervorgehoben, die von schlechten Akteuren verwendet werden:

  • Stehlen oder Fälschen von Authentifizierungszertifikaten (Technik T1649). Fehlkonfigurationen im Zusammenhang mit Zertifikaten schaffen Möglichkeiten für Privilege Escalation, die es Benutzern ermöglichen, sich über die mit einem Zertifikat verbundenen Identitäten als privilegierte Konten oder Berechtigungen auszugeben.
  • Zertifikatsregistrierung (T1588.004). Erwägen Sie die Nutzung von Diensten, die bei der Verfolgung von neu ausgestellten Zertifikaten und/oder von Zertifikaten, die an Standorten im Internet verwendet werden, helfen können.

Sicherheitsteams können das MITRE-Framework nutzen, um Angriffe zu antizipieren und abzuwehren, die Zertifikatsschwachstellen ausnutzen, wie z. B. Man-in-the-Middle-Angriffe (MITM) oder die Verwendung gefälschter Zertifikate.

PCI DSS (Payment Card Industry Data Security Standard)

Die PCI DSS-Anforderungen 6.6 schreiben die Verwendung von SSL/TLS-Zertifikaten vor, die von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt wurden. Dieser Standard verlangt, dass die Zertifikate ordnungsgemäß konfiguriert und verwaltet werden, um Karteninhaberdaten während der Übertragung zu schützen. Zur Einhaltung der Anforderungen gehören regelmäßige Scans zur Erkennung und Behebung unbefugter Änderungen an den Konfigurationen sowie sichere Verfahren zur Erneuerung der Zertifikate.

Mit Blick auf PCI DSS 4.0 werden immer strengere Anforderungen gestellt. Die neue Anforderung in 4.2.1.1 verlangt:

Ein Inventar der vertrauenswürdigen Schlüssel und Zertifikate des Unternehmens, die zum Schutz von PAN während der Übertragung verwendet werden, wird geführt.
Alle Schlüssel und Zertifikate, die zum Schutz des PAN während der Übertragung verwendet werden, werden identifiziert und als vertrauenswürdig bestätigt.

Diese Anforderung ist bis zum 31. März 2025 eine Best Practice, danach wird sie verpflichtend und muss bei einer PCI DSS-Bewertung vollständig berücksichtigt werden.

Bewährte Praktiken für die Überwachung von Zertifikaten

Die Implementierung von Best Practices für die Überwachung von Zertifikaten erfordert einen proaktiven Ansatz. Teams sollten sich heute drei Schlüsselfragen stellen, um die Bereitschaft zu beurteilen:

  • Habe ich einen vollständigen und aktuellen Bestand aller meiner TLS-Zertifikate? Dies sollte neue Zertifikate, abgelaufene Zertifikate und widerrufene Zertifikate umfassen. Wenn sich der Bestand ständig ändert (was vor allem auf Teams zutrifft, die mehrere Zertifizierungsstellen verwenden), wie wollen Sie diesen Bestand auf dem neuesten Stand halten? Dazu muss der größte Teil des Rauschens beseitigt werden, damit Sie sich auf interessante Fälle konzentrieren können.
  • Habe ich einen vollständigen Ausstellungsverlauf? Die Ausgabehistorie wird benötigt, um sicherzustellen, dass die Eigentumsverhältnisse klar sind.
  • Sind meine Zertifikate richtig konfiguriert? Zertifikate werden miteinander verkettet, um Vertrauen zu schaffen. Dabei wird ein Blattzertifikat mit dem Stammzertifikat verbunden. Alle Einzelzertifikate können gültig sein, aber wenn die Kette falsch konfiguriert ist, wird kein Vertrauen aufgebaut.
Wie geht es jetzt weiter?

Durch die Einhaltung der Richtlinien von NIST und PCI DSS sowie die Anwendung der in MITRE ATT&CK beschriebenen Taktiken und Techniken können sich Unternehmen gegen eine Reihe von Sicherheitsbedrohungen schützen.

Wir sind natürlich voreingenommen, aber Red Sift Certificates bietet den umfassendsten Überblick über den Zertifikatsbestand eines Unternehmens, um sicherzustellen, dass die Compliance-Anforderungen erfüllt werden. Wenn Sie mehr darüber erfahren möchten, wie Red Sift Certificates Ihr Team bei der Erkennung und Überwachung aller Ihrer Zertifikate unterstützen kann, können Sie hier eine Demo anfordern.

Source: Red Sift-Blog

Sie haben Fragen? Ihr Ansprechpartner für D/A/CH

Do you have any questions? Your contact person for D/A/CH

Julian Wulff, Director Cyber Security Central Europe at Red Sift

* Kontakt über LinkedIn

red sift