Bu Help Net Security röportajında, DigiCert CPO’su Deepika Chauhan, günümüzün dijital ortamında işletmeler için yüksek güven güvencesi düzeylerini korumanın öneminden bahsediyor.
DigiCert “dijital güveni” nasıl tanımlar ve günümüzün dijital ortamında işletmelerin yüksek güven güvencesi düzeylerini sürdürmesi neden önemlidir?
Bugün dünyamız hiper bağlantılı. Cihazlar her yerde. İnsanlar sürekli çevrimiçi. Hassas veriler buluta taşındı. Temel operasyonel teknoloji bile artık bağlantılı altyapı olarak yeniden tasarlanıyor.
Dijital güven, içinde yaşadığımız bağlantılı dünyayı oluşturmamıza, katılmamıza ve büyütmemize olanak tanır. İş kesintisi riskini azaltır, saldırı yüzeylerini güvence altına alır ve çevikliği geliştirir ve gerçek dünya etkisi ile dijital yeniliği destekler. Dijital Güven, etkileşimler, işlemler veya iş süreçleri gibi şu anda çevrimiçi olarak yaptığımız her şeyin güvenli ve güvenilir olduğuna dair güven duymamızı sağlayan temel altyapıdır.
Kapsamlı bir dijital güven çerçevesinin dört temel ayağı vardır:
Güveni tanımlamak ve birlikte çalışabilir kılmak için sağlam standartlar gereklidir. Örneğin, tüm kullanıcılarınız, cihazlarınız ve iş yükleriniz için kurcalamaya dayanıklı kimlikler sağlamak üzere endüstri standardı dijital sertifikalar kullanmaya karar verebilirsiniz.
Operasyonel olgunluğu kanıtlanmış bir sertifika yetkilisinden ve sıkı denetlenebilir kontrollerden yararlanarak, bu güveni oluşturmak ve sürekli olarak doğrulamak için titiz operasyonlar ve uyumluluk gereklidir.
İşletmelerin kuruluş genelinde güveni yönetmesi gerekir. Genişleyen bir dijital ayak izinde dağıtılan farklı geçerlilik dönemlerine sahip binlerce veya milyonlarca sertifikaya ve kriptografik varlığa sahipler. Bunu etkili bir şekilde yönetmek için keşif, otomasyon, bildirim ve entegrasyon araçlarına ihtiyaçları var.
Son olarak, işletmelerin, güvenilir dijital dönüşümün tüm avantajlarından yararlanmak için güveni ekosistemlerine ve tedarik zincirlerine yayma yeteneğine ihtiyaçları vardır. Bu, ortakları, tedarik zinciri ve API’leri için olabilir.
Oracle ile en son işbirliğiniz hakkında bilgi edinmek için can atıyoruz. Bu duyurunun heyecan verici detaylarını bizimle paylaşır mısınız?
OCI’nin güvenli, ölçeklenebilir bulut altyapısını DigiCert’in dijital güven portföyünün sınıfının en iyisi avantajlarıyla bir araya getirerek OCI üzerinde DigiCert ONE’ın yerel kullanılabilirliğini artıracak Oracle Bulut Altyapısı ile bir ortaklığı duyurduk. DigiCert ONE’ın buluta özgü mimarisi sayesinde, müşterilerin buluttaki tüm dijital varlıklarını koruyabilmeleri için basit dağıtımla hızlı değer elde etme süresi sağlar.
DigiCert ONE ile müşteriler, dijital güven girişimlerinin yönetimini merkezileştiren birleşik bir mimari ile kullanıcıları, cihazları, sunucuları, belgeleri, yazılımları ve daha fazlasını güvence altına alabilir. DigiCert ONE, gerekirse müşterilerin özel bulutunda veya şirket içinde devreye alınma esnekliğine sahip, modern, çok kiracılı, bulut tabanlı bir SaaS platformudur.
OCI, sıkı güvenlik protokolleri ve işlemleriyle uyumluluk sağlayan yerleşik, her zaman açık güvenliğe sahip bir bulut altyapısı sağlar. Ayrıca, müşterilerin şirket içinde, genel bulutta, birden fazla bulut satıcısı veya bir arada kullanarak benzersiz iş ihtiyaçlarını karşılamalarına yardımcı olmak için basitleştirilmiş, şeffaf fiyatlandırma ve esnek seçeneklerle yüksek performans ve güvenilirlik sunar.
PKI ve dijital sertifikalar, dijital güveni sağlamaya yönelik yaygın yaklaşımlardır. Özellikle Global 2000 bağlamında, dijital manzaranın güvence altına alınmasında PKI’nın rolünü açıklayabilir misiniz?
Açık Anahtar Altyapısı (PKI), bilgi alışverişi için güvenli bir yöntem sağlayarak ve dijital işlemlerde yer alan tarafların kimliklerini doğrulayarak dijital ortamın güvenliğini sağlamada çok önemli bir rol oynar. PKI, okyanusun dibinden uzayın ucuna kadar dijital güven oluşturur.
PKI, dijital iletişimde taraflar arasında güven oluşturmak, kullanıcıların, cihazların ve iş akışlarının kimliğini doğrulamak ve aralarında iletilen verilerin gizli dinleme, kurcalama ve sahteciliğe karşı korunmasını sağlamak için kullanılır. Bu, mesajları şifrelemek ve imzalamak için kullanılan kriptografik anahtarlar içeren dijital sertifikaların kullanılmasıyla elde edilir.
Global 2000’i oluşturan dünyanın en büyük ve en etkili şirketleri için, merkezileştirilmiş PKI yönetimi özellikle önemlidir. Bu şirketler, finansal bilgiler, kişisel veriler ve fikri mülkiyet dahil olmak üzere çok miktarda hassas veriyi yönetir. Merkezi PKI yönetimi, bu verilerin hırsızlığa veya yetkisiz erişime karşı korunmasına yardımcı olarak finansal kayıp, itibar kaybı ve yasal yükümlülük riskini en aza indirir.
DigiCert’te köklerimiz PKI ve dijital sertifikalardadır. Kuruluşların ve bireylerin çevrimiçi herhangi bir şey yaparken güven duymaları için temel altyapıyı sağlıyoruz. Buna bakmanın bir başka yolu da DigCert’i internetin görünmez tesisatı olarak düşünmektir. Yaygın bir yanılgı, PKI’nın yalnızca Web güvenliği için kullanıldığıdır; ancak gerçek şu ki PKI, kullanıcılar, cihazlar, çeşitli biçimlerdeki içerikler, yasal olarak bağlayıcı belge imzaları, her dijital uygulamada çalışan yazılımlar dahil olmak üzere çok daha geniş bir dijital ekosistem için mükemmel bir bileşendir.
DigiCert müşterileri, çok çeşitli kullanım durumlarında dijital güven elde etmek için PKI kullanıyor. Bunlar, gelişmiş hasta bakımı için bağlı tıbbi cihazların güvenliğini sağlamayı, seçim verilerine kullanıcı güvenini artırmayı, gelişmiş perakende operasyonları için cihaz telemetrisinin toplanmasını ve analizini korumayı ve kurumsal BT hizmetlerinde kullanıcı ve cihaz kimlik doğrulamasını otomatikleştirmeyi içerir. Örneğin, Avrupa’da yaşıyorsanız ve bir akıllı TV’niz varsa, DigiCert tarafından güvence altına alınmıştır.
Son zamanlarda yazılım tedarik zincirinde, dijital güvene olan ihtiyacı artıran, düzenli sayıda saldırı gördük. Kötü kod imzalama işlemlerinden kaynaklanan en yaygın güvenlik açıklarından bazıları nelerdir ve DigiCert bu sorunları nasıl çözer?
DevOps gibi modern yazılım geliştirme süreçleri yüksek düzeyde otomatikleştirilmiştir. Bir mühendis, bir dizi karmaşık ama otomatikleştirilmiş adımı tetikleyen bir düğmeyi tıklar. Bu dizinin bir kısmı (örneğin, kod imzalama) manuel ise, diğer her şey otomatik olduğu için adımın atlanma olasılığı vardır.
Yanlış sertifika kullanmak veya yanlış komut satırı seçenekleri gibi hatalar olabilir. Bununla birlikte, en büyük tehlike genellikle geliştiricinin özel kod imzalama anahtarlarını güvenli bir konum yerine uygun bir konumda (dizüstü bilgisayar veya yapı sunucusu gibi) depolamasıdır.
Anahtar hırsızlığı, kötüye kullanılan anahtarlar, sunucu ihlalleri ve diğer güvenli olmayan işlemler, kötü amaçlı yazılım içeren kodun güvenilir yazılım olarak imzalanıp dağıtılmasına izin verebilir. Şirketler, CI/CD ardışık düzeni ve otomatik DevOps iş akışlarıyla entegre olan, ancak aynı zamanda anahtar koruma ve kod imzalama politikası uygulaması sağlayan, güvenli, kurumsal düzeyde bir kod imzalama çözümüne ihtiyaç duyar.
DigiCert, özel kod imzalama anahtarlarının erişimini yetkili imzalayanlarla sınırlamak için gelişmiş güvenlik kontrolleri ve teknikleri kullanan güvenli Hizmet Olarak Sunulan Yazılım platformu DigiCert Software Trust Manager ile bu sorunları ele alır. Software Trust Manager, imzalama anahtarlarını kullanılmadıklarında güvenli bir çevrimdışı konumda saklayarak hırsızlık veya kötüye kullanıma karşı korur. Kuruluşların kod imzalama etkinliklerini gerçek zamanlı olarak izlemesine ve izlemesine olanak tanıyan kapsamlı denetim ve raporlama yetenekleri sağlar. Bu, potansiyel tehditlerin veya sorunların belirlenmesine yardımcı olarak proaktif müdahale ve hafifletme sağlar.
Software Trust Manager, kuruluş genelinde güvenilir bir DevSecOps deneyimi için yazılım oluşturma sürecinin her aşamasında güvenli kod imzalamayı sağlamak için manuel anahtar yönetimi sorununu hedefler.
Uzaktan çalışma ve dijital iş süreçlerinin yükselişiyle birlikte, elektronik belge imzalama iş akışlarında imza güveni talebi nasıl gelişti ve DigiCert bu artan ihtiyaçları karşılamak için hangi adımları attı?
Dijital dönüşüm ve uzaktan çalışma, dijital iletişim ve işlemlere olan ihtiyacı artırdı ve bireyler, ekipler ve kuruluşlar giderek artan bir şekilde dijital belge imzalamaya yöneldi. Aslında, günümüzde çoğu belge elektronik olarak imzalanır ve işlemler için dijital olarak bağlayıcı imzalar, özellikle AB içinde büyük ilgi görmektedir ve imzalayanın kimliğine ilişkin yüksek düzeyde güvence talep eden düzenleyicilerin dikkatini çekmektedir. AB’nin elektronik kimlik belirleme ve güven hizmetleri (eIDAS) yönetmeliği, dijital imzaların mahkemede kabul edilmesi ve saklanması için çok özel gerekliliklere sahiptir. DigiCert, müşterilere yardımcı olmak için AB Güvenilir Hizmet Sağlayıcısı olarak çeşitli seçenekler sunar. Japonya’da ve diğer ülkelerde dijital imzalarda daha yüksek düzeyde güvence gerektirecek benzer hareketler görüyoruz.
Son zamanlarda, çözümümüz büyük bir Asya ülkesinin ulusal seçimlerine olan güveni artırmasına yardımcı oldu. Oylama sonuçlarını kriptografik olarak imzalayabilen ve güvenli bir şekilde buluta yükleyebilen anket çalışanları için uzaktan kimlik doğrulaması uyguladık. Bu, kurcalamaya karşı da dayanıklı olan sayım hızını iyileştirdi.
DigiCert Document Trust Manager, kuruluşların ve önde gelen e-imza iş akışı çözümlerinin, çok çeşitli kullanım durumlarında daha esnek imzalama ve mühürleme deneyimleri sunan güvenilir, uyumlu dijital imzalar elde etmesini sağlar.
Hızla gelişen dijital ortamda, DigiCert nasıl inovasyonun ön saflarında yer alıyor ve dijital güveni sağlamak için son teknoloji çözümler sunmaya devam ediyor?
DigiCert, birçok dijital güven standardına aktif olarak katılır ve bunları yönetir. CA/Tarayıcı Forumu için birçok çabaya öncülük ediyoruz ve düzenli olarak gereksinimler oluşturuyoruz. Connectivity Standards Alliance’ın Matter 1.0’ı yayınlamasında önemli bir rol oynadık (ve Matter için ilk Kök CA’ydık), elektrikli araçlar, finans sektörü, AB güveni için standartlar belirliyoruz, kuantum sonrası kriptografi girişimlerine dahil oluyoruz , ve daha fazlası. Bu standartlar uygulandığında, yalnızca temel gereklilikleri karşılamakla kalmayıp aynı zamanda bunlara karşı nasıl uyumlu ve güvenli olmanız gerektiğine dair sektör ölçütünü belirlediğimizden emin olmak için her yıl 25’ten fazla denetimle çok titiz bir uyum programımız var. bu kontrollerden bazıları.
Hizmetimiz dünya çapında mevcuttur ve 180’den fazla ülkede müşterimiz bulunmaktadır. Desteğimiz, 70’lerin ortasından en yükseğine kadar olan destek için Net Promoter Score (NPS) ile birinci sınıftır. SaaS şirketleri için ortalama NPS 40 civarındadır. 7/24 365 güneşi takip eden bir teslimat modelimiz var ve bu nedenle, harika standartlar ve büyük destekle birleştiğinde, her sektöre, ülkeye ve kullanım durumuna yayılabilen bir platforma sahibiz. .
DigiCert’in standartlara, uyumluluğa ve operasyonlara yaptığı yatırım, dijital güveni tanımlamaya ve tesis etmeye yönelik kapsamlı bir yaklaşımın ölçütünü belirliyor. Tüm bu çalışmaları, dijital güveni yönetme platformu olan DigiCert ONE çözümümüze aktarıyoruz. Ayrıca, yazılım ve cihazlar için tedarik zincirleri, kuantum sonrası kriptografi, içerik bütünlüğü ve daha fazlası gibi hızla büyüyen ekosistemlere güveni genişletmek için teknoloji sağlıyoruz.