Криптографический Инвентарь: Стратегия для Управления Криптографической Безопасностью

Введение

Криптография встроена во все современные ИТ-среды, включая приложения, сетевые протоколы, облачные сервисы и аппаратные устройства. Для обеспечения наилучшей защиты от новых уязвимостей и эволюции стандартов, многие организации сталкиваются с проблемой отсутствия полного инвентаря и эффективного цикла жизненности. Это затрудняет командам быстро определить затронутые активы, определить владельца и расставить приоритеты в работе по исправлению уязвимостей.

Подробности

Криптографический инвентарь представляет собой действующий каталог всех криптографических активов и механизмов, использованных в организации. Это включает такие компоненты, как X.509 сертификаты, ключи, криптографические протоколы (TLS/SSL, SSH, IPsec), криптографические библиотеки (OpenSSL, LibCrypt, SymCrypt), алгоритмы в коде (RSA, ECC, AES, хеширование), метаданные зашифрованных сессий и секреты и учетные данные (API-ключи, строки подключения).

Что делать

Строительство криптографического инвентаря является первым и наиболее важным шагом на пути к безопасному будущему с PQC (post-quantum cryptography) и хорошей криптографической гигиене. Это предполагает обновление криптографии в реальных системах с реальными зависимостями, что требует полной видимости. Клиенты могут начать работать с Microsoft Security и партнерами, чтобы быстро приступить к строительству своего криптографического инвентаря. Это предполагает определение криптографических активов и механизмов, используемых в их организации, и создание плана по управлению криптографической безопасностью. Итог: Криптографический инвентарь необходим для обеспечения криптографической безопасности и готовности к PQC. Он предоставляет полную видимость криптографических активов и механизмов, используемых в организации, что позволяет командам быстро определять уязвимости и расставлять приоритеты в работе по исправлению.

Источник: Microsoft Security Blog