Produkt: PCert

	PCert: "Next Generation Cyber Security mit Crypto Agility"
Cert'n Key wird wieder zu PCert. Damit gehen wir zurück zu den Wurzeln unserer Entwicklung. Trotz des Einsatzes von unterschiedlichen Sicherheitstechnologien wie Firewalls, Vulnerability-Scanner, SIEM, etc. werden Unternehmen zunehmend Opfer von erfolgreichen Cyber-Attacken. Analysiert man die Angriffs-Vektoren, zeigt sich, dass die meisten erfolgreichen über Identitäten und Zertifikate erfolgen. Hier existieren jedoch derzeit keine adäquaten Lösungen am Markt. PCert ermöglicht erstmals einen automatisierbaren, vollständigen Überblick über die interne IT-Vertrauensbasis und X.509 Zertifikatslandschaft. Dadurch lassen sich Risiken herausfinden oder evtl. auftretende Probleme frühzeitig und präventiv lösen. Die Lösung unterstützt sowohl mittlere wie auch große Unternehmensnetzwerke und bietet zusätzlich wissensbasierte, servicegestützte Entscheidungshilfen an.

PCert:
"Next Generation Cyber Security mit Crypto Agility"

Cert'n Key wird wieder zu PCert. Damit gehen wir zurück zu den Wurzeln unserer Entwicklung.

Trotz des Einsatzes von unterschiedlichen Sicherheitstechnologien wie Firewalls, Vulnerability-Scanner, SIEM, etc. werden Unternehmen zunehmend Opfer von erfolgreichen Cyber-Attacken. Analysiert man die Angriffs-Vektoren, zeigt sich, dass die meisten erfolgreichen über Identitäten und Zertifikate erfolgen. Hier existieren jedoch derzeit keine adäquaten Lösungen am Markt.

PCert ermöglicht erstmals einen automatisierbaren, vollständigen Überblick über die interne IT-Vertrauensbasis und X.509 Zertifikatslandschaft. Dadurch lassen sich Risiken herausfinden oder evtl. auftretende Probleme frühzeitig und präventiv lösen. Die Lösung unterstützt sowohl mittlere wie auch große Unternehmensnetzwerke und bietet zusätzlich wissensbasierte, servicegestützte Entscheidungshilfen an.

Hintergrundproblematik:

Zertifikate werden von vielen Stellen ausgegeben. Damit ein Zertifikat als gültig betrachtet wird, muss man der Zertifizierungsstelle vertrauen. In Web-Browsern sind deshalb viele Zertifizierungsstellen als vertrauenswürdig eingestuft, die den meisten Anwendern allerdings unbekannt sind.
Dem Zertifikat selbst ist nur schwer anzusehen, wie sicher die bei seiner Ausstellung und Veröffentlichung eingesetzten Verfahren sind und für welche Anwendungen das Zertifikat überhaupt geeignet oder vorgesehen ist. Der Anwender müsste dafür die entsprechenden Dokumentationen der Zertifizierungsstelle, die Certificate Policy (CP) und das Certification Practice Statement (CPS) lesen, deren Inhalte durch RFC 3647 allgemein vorgegeben sind.
Bei hohen Sicherheitsanforderungen können qualifizierte Zertifikate verwendet werden, deren Aussteller gesetzlich vorgegebenen Sicherheitsvorgaben und staatlicher Aufsicht unterliegen. Allerdings verfügen auch die staatlichen Organe über die Möglichkeit Zertifikate für eigene Zwecke bei den herausgebenden Stellen anzufordern. Damit wird auch Überwachungssoftware von den jeweiligen Staaten sozusagen „offiziell“ und unauffällig installierbar.

Diese Probleme wurden beispielsweise durch einen Vorfall deutlich, bei dem VeriSign® auf die Firma Microsoft® ausgestellte Zertifikate an Personen ausgab, die sich fälschlicherweise als Microsoft Mitarbeiter ausgegeben hatten. Mit diesen Zertifikaten hatten die Betrüger nun einen augenscheinlich vertrauenswürdigen Beleg dafür, dass sie zur Firma Microsoft gehörten. Es wäre möglich gewesen, einen Programmcode im Namen von Microsoft® zu signieren, so dass er von Windows-Betriebssystemen ohne Warnung installiert würde. Obwohl diese Zertifikate sofort widerrufen wurden, nachdem der Fehler bemerkt wurde, stellten sie doch weiterhin ein Sicherheitsrisiko dar, da die Zertifikate keinen Hinweis darauf enthielten, wo ein möglicher Widerruf zu finden ist.

Dieser Fall ist ein Zeichen dafür, dass man sich nicht immer auf die Vertrauenswürdigkeit von Zertifikaten und die Sorgfalt von Zertifizierungsstellen verlassen kann. Außerdem zeigen obige Pressemeldungen, dass auch führende Softwarehersteller und Experten das Thema bisher nicht vollständig beherrschen. Die Sperrung eines Zertifikats ist nur dann effektiv, wenn bei der Prüfung aktuelle Sperrinformationen vorliegen. Zu diesem Zweck können Zertifikatsperrlisten (CRL) oder Onlineprüfungen (z.B. OCSP) abgerufen werden.

Dieses Thema ist nicht mehr manuell zu lösen. Hier setzt PCert an.

Um den Überblick über die interne Struktur zu bekommen gibt es zwei Ansätze:

Der Anwender erlaubt nur vertrauenswürdige Software zur Installation und bekommt von der Herstellerfirma eine Zertifikatsübersicht.
Der Anwender verifiziert die Zertifikatslandschaft mit einer automatisierten Softwarelösung und definiert seine Vertrauenslandschaft selbst.

Beide Ansätze erfordern Kenntnis der vollständigen Vertrauenslandschaft. Diesen Überblick erreicht man mit dem Scanner. Dieses Modul erlaubt es die Geräte im Netzwerk lokal oder remote, manuell oder auto-matisiert, seriell oder parallel zu untersuchen und in einem zentralen Repository (Repository) zu verwalten.

Dieses Repository erlaubt eine wissensunterstützte Bewertung der Zertifikate (Manager) und der Überprüfung der Vertrauensketten (TrustChain), das Entfernen unerwünschter Vertrauensbeziehungen (manuell (Delete) oder servicebasiert (CaaS)), die Identifizierung von Risiken (manuell (Analyse und Security) oder servicebasiert (CaaS)) und der Durchsetzung von Unternehmensrichtlinien (Policy) bis hin zum automatisierten Austausch der Zertifikate (Exchange).

Um komplexe Netzwerke automatisiert zu managen steht der Zone Server bei Sammlung und automatisierten Verteilung der Richtlinien und Ergebnisse am Endgerät (Endpoint) zur Verfügung.

Alternativ können Informationen über automatisierte Softwareverteilungsprozesse auf die Endgeräte verbracht und wieder abgeholt werden. Durch die verschlüsselte lokale Abspeicherung der Ergebnisse in der Scan DB können jegliche Unternehmensprozesse bzgl. dem Betrieb und der Softwareverteilung unterstützt werden.

Sollte ein Unternehmen einen anderen, bisher nicht abgebildeten Prozess benötigen, werden innerhalb der PCert Prozess-Engine (driven by EBUS-J) die entsprechenden Definitionen vorgenommen, so dass diese optimal in die Prozesslandschaft integriert werden kann.

Unsere langjährigen Kenntnisse in der Erstellung von militärischen und luftfahrttechnischen Softwareprodukten, PKI's, CA's sind in die Entwicklung von PCert eingeflossen und dadurch wurde auf höchstmögliche Softwarequalität geachtet. Zusätzlich wurde ein weites Spektrum von Sicherheitsrichtlinien von Anfang an in die Produkte mit einbezogen, so dass bei Bedarf eine herausragende Sicherheit auch auf staatlichem Level mit minimalen Aufwendungen erreicht werden kann.

Folgende Module sind bei PCert for crypto agility erhältlich:

Scanner:
Identifikation aller Zertifikate

Repository:
Zentrales Datenbankmodul

Manager:
Managementsuite mit den folgenden Modulen:
-> Collect (Konsolidierung der Scans)
-> TrustChain (Vertrauenskettentests)
-> Delete (Löschen und Wiederherstellung)
-> Black-/ Whitelisting (Erlauben / Zurücknehmen)
-> Security (Identifikation von Risiken)
-> Analyse (Analyse und forensische Funktionalität)
-> Policy (Unternehmensrichtlinien (Compliance))
-> Exchange (Automatisierter Austausch)

Zone Server:
Übertragung von crypto asset Informationen durch Netzwerksegmente oder Schaffung von Segmenten

crypto agility endpoint:
Endgeräte Management Komponente mit folgenden Funktionen:
-> Identifikation (Scanner)
-> Durchsetzen der Policies inkl. Löschung
-> Durchsetzen des Black-/ Whitelistings
PCert as a Service (CaaS):
-> Ständige Beobachtung der Zertifikate durch Experten
-> Online Datenbank für verdächtige Zertifikate mit
-> Update der Blacklisting DB
-> Erweiterung der internen Sicherheitsbewertungen mit Online-Klassifizierung nach vereinbarten Sicherheitslevel