Perché le aziende dovrebbero iniziare subito a stabilire una distinta base per la crittografia (CBOM)

La crittografia protegge le identità, protegge i dati e crea fiducia, rendendola uno strumento fondamentale per la sicurezza aziendale moderna. Nonostante l'uso diffuso, tuttavia, la crittografia spesso non riesce a raggiungere il suo pieno potenziale, ostacolata da un'implementazione disomogenea o disorganizzata che lascia delle lacune nella copertura.

La visibilità limitata esacerba queste sfide, rendendo difficile individuare le soluzioni crittografiche in uso e la loro efficacia. Anche se soluzioni come la gestione del ciclo di vita dei certificati (CLM) migliorano la visibilità di specifici elementi crittografici, spesso è necessario un monitoraggio o una supervisione aggiuntivi.

Una distinta base crittografica (CBOM) risolve questi problemi dando struttura e supervisione a strategie di crittografia complete. Questa risorsa aiuta a rivelare se e dove esistono le risorse, oltre a descrivere in dettaglio le lacune o le vulnerabilità. Più che un elenco, la CBOM offre un contesto che supporta una governance coerente e un processo decisionale informato all'interno dell'azienda.

Che cos'è una distinta base?

Una distinta base crittografica fornisce un inventario completo di tutti gli elementi crittografici utilizzati nel software o nei sistemi. Con l'obiettivo di aiutare le organizzazioni a identificare e affrontare i rischi crittografici, una CBOM rivela dove si trovano le risorse crittografiche (come chiavi crittografiche, algoritmi e certificati digitali) e come vengono utilizzate. Non si tratta di un inventario statico; questa risorsa offre un contesto che rivela lo scopo di ogni elemento crittografico, insieme alle dipendenze associate.

Tim Callan di Sectigo spiega che un CBOM aiuta le organizzazioni a rispondere a domande critiche sulla crittografia: "Qual è la crittografia che stiamo usando [e] come la stiamo usando?".

Il CBOM non deve essere confuso con la distinta base del software (SBOM), che la Cybersecurity and Infrastructure Security Agency descrive come un "elemento chiave per la sicurezza del software e la gestione del rischio della catena di fornitura del software", offrendo un "inventario annidato" che descrive in dettaglio una serie di componenti software. Il National Institute of Standards and Technology (NIST) lo paragona alle "etichette degli ingredienti alimentari sulle confezioni".

Il CBOM svolge una funzione simile, ma si concentra sui componenti crittografici responsabili della sicurezza delle soluzioni software. Questo inventario mirato è necessario perché i punti ciechi rimangono comuni nelle pratiche di sicurezza attuali, con molti leader IT che faticano a capire (o a tenere il passo) con le risorse crittografiche.

Perché un CBOM è più di un elenco

Il valore di una CBOM non risiede solo in ciò che contiene, ma piuttosto nel modo in cui descrive questi elementi e nel modo in cui gli asset crittografici dettagliati si inseriscono nel quadro generale della resilienza crittografica. Dovrebbe descrivere sia le soluzioni attuali che i rischi o le opportunità future, contestualizzando gli asset crittografici in base agli obiettivi di agilità crittografica e alla prontezza quantistica.

Tim Callan di Sectigo spiega che il CBOM ideale chiarirà: l'attuale ambiente crittografico è "adatto allo scopo" e, se non lo è, cosa ci vorrà per renderlo adatto allo scopo? Questa risorsa dovrebbe adottare un approccio di ampio respiro, andando oltre gli asset inclusi e cercando di capire come queste soluzioni crittografiche affrontano i rischi o le vulnerabilità (come il potenziale di algoritmi deprecati), come promuovono la prontezza (come la rotazione delle chiavi in risposta alle modifiche normative) e come determinano l'impatto sul business.

Jason Soroko di Sectigo suggerisce di riformulare questo concetto come "CBOM contestuale". Come minimo, questo dovrebbe includere la giustificazione degli asset crittografici attuali, rivelando perché sono necessari e riconoscendo al contempo i rischi che comportano e come, se necessario, possono essere aggiornati o sostituiti. Inoltre, le CBOM dovrebbero comprendere:

• Dipendenze operative. Un CBOM deve dimostrare come le risorse crittografiche siano collegate ai vari processi e sistemi aziendali. Questo rivela quali dispositivi, servizi o API dipendono da chiavi, certificati o algoritmi specifici. Questo contesto ci ricorda che le risorse crittografiche non funzionano in modo isolato.
• Criticità del sistema. La criticità si riferisce all'importanza di ciascuna soluzione crittografica per la sicurezza complessiva dell'azienda. Una CBOM può aiutare i team a determinare quali elementi crittografici supportano i sistemi mission-critical, migliorando sia la sicurezza che la continuità operativa.
• Esposizione al rischio in caso di guasto della crittografia. Un CBOM approfondito non si limiterà a considerare gli scenari migliori, ma rivelerà cosa potrebbe accadere in caso di situazioni avverse e dove le aziende potrebbero rivelarsi più vulnerabili. Potrebbe descrivere in dettaglio il potenziale di interruzione dei certificati su larga scala, le violazioni della conformità o l'interruzione della fiducia in seguito a un fallimento delle soluzioni crittografiche.
• Preparazione all'aggiornamento o alla migrazione. Alcune risorse crittografiche sono più adattabili di altre e, in un contesto di rapidi cambiamenti digitali, è importante sapere cosa occorre per aggiornare o sostituire le soluzioni senza interrompere le operazioni o i flussi di lavoro esistenti. La distinta dei materiali deve evidenziare gli ostacoli che potrebbero impedire o ritardare gli aggiornamenti, soprattutto in caso di progressi quantistici o di deprezzamento degli algoritmi.

Come supporta la cybersecurity e la preparazione al futuro

Un CBOM può fornire miglioramenti immediati nelle strategie crittografiche a livello aziendale, oltre a un ampio supporto per soluzioni di sicurezza complete e persino per il futuro, per aiutare le organizzazioni a prepararsi alle sfide di sicurezza di domani.

I vantaggi includono:

• Miglioramento della visibilità. Un CBOM migliora la visibilità crittografica consolidando le risorse scoperte in un inventario strutturato, fornendo una chiara panoramica di dove e come vengono utilizzate le risorse crittografiche e riducendo i punti ciechi nell'ambiente. Inoltre, collega le risorse crittografiche alle applicazioni, ai servizi e ai processi pertinenti, mostrando il quadro generale della protezione crittografica in relazione alla postura di sicurezza complessiva.
• Rafforza la governance. Fornisce l'inventario strutturato necessario per applicare politiche di sicurezza rigorose in tutti i team, reparti e ambienti digitali. Questo migliora la preparazione agli audit, assicurando che le pratiche crittografiche siano non solo conformi, ma anche pienamente documentate.
• Migliora le risposte agli incidenti e alla bonifica. In caso di incidente negativo (come la scadenza di un certificato o la compromissione di una chiave), un CBOM consente di reagire più rapidamente, garantendo che i sistemi interessati vengano identificati e risolti tempestivamente.
• Prepara al cambiamento post-quantistico. Una distinta base crittografica supporta la preparazione alla quantistica richiamando l'attenzione sugli algoritmi e le chiavi crittografiche che potrebbero essere vulnerabili agli attacchi quantistici in futuro. Queste informazioni possono aiutare le aziende ad aumentare l'agilità crittografica, guidando i preparativi per l'eventuale adozione di algoritmi resistenti ai quanti. Poiché si prevede che l'informatica quantistica su larga scala emergerà nei prossimi anni, è il momento di adottare misure che favoriscano una transizione senza soluzione di continuità verso una crittografia sicura dal punto di vista quantistico.

Come si costruisce un CBOM?

Lo sviluppo di una CBOM inizia con la determinazione dei responsabili dell'inventario e della gestione delle diverse risorse crittografiche. Selezionate team o professionisti che possiedano non solo competenze crittografiche, ma anche una profonda comprensione delle politiche di sicurezza specifiche dell'azienda.

Da qui, lo sviluppo e l'implementazione della CBOM dipenderanno dalle risorse e dagli asset specifici in gioco. In generale, tuttavia, il processo segue alcune fasi fondamentali:

• Scoprire gli asset crittografici. Le risorse crittografiche non possono essere comprese o gestite correttamente finché non sono note. Ciò avviene durante il processo di scoperta, che dovrebbe riguardare tutti i sistemi, le applicazioni e i dispositivi aziendali pertinenti. È possibile ottenere una visibilità completa solo se si identifica ogni singolo algoritmo, chiave e certificato.
• Catalogare tutti i componenti. Man mano che vengono scoperti, i componenti devono essere aggiunti a una risorsa organizzata e centralizzata che fornisca un'unica fonte di verità. Oltre a elencare gli algoritmi, le chiavi e i certificati digitali, questo catalogo deve evidenziare dettagli essenziali come la lunghezza delle chiavi, le date di scadenza e la funzione.
• Spiegare il contesto. Ricordate: un CBOM è più di un elenco. Date una sfumatura a questa risorsa con informazioni di supporto, evidenziando le dipendenze, la criticità e l'impatto potenziale di un guasto agli asset.
• Valutare il rischio futuro. Considerate dove le risorse crittografiche attuali potrebbero essere insufficienti o quali sfide potrebbero emergere nel prossimo futuro. Ad esempio, la minaccia quantistica si affronta meglio con certificati digitali aggiornati, sicuri dal punto di vista quantistico o ibridi, e con l'uso di un sistema automatizzato di gestione del ciclo di vita dei certificati.
• Mantenere il CBOM. Non si tratta di una risorsa statica; deve adattarsi insieme alle risorse crittografiche e alle minacce o alle sfide che cercano di affrontare. La manutenzione comprende l'aggiunta di nuovi componenti man mano che vengono distribuiti, con modifiche dettagliate alle chiavi o ai certificati, e la rimozione delle risorse quando non sono più in uso.

Come Sectigo aiuta a rendere operativo il CBOM

Una CBOM offre una visione molto utile del panorama crittografico di un'organizzazione, ma offre il massimo valore quando è abbinata all'automazione che mantiene gli inventari accurati, aggiornati e attuabili. Per la maggior parte delle aziende, questo inizia con le risorse crittografiche che sono alla base della maggior parte delle relazioni di fiducia digitale: i certificati digitali.

Sectigo Certificate Manager (SCM) consente alle aziende di passare da un inventario passivo a una resilienza crittografica attiva, fornendo un'unica piattaforma per scoprire, monitorare e automatizzare l'intero ciclo di vita di tutti i certificati digitali dell'azienda. Grazie alla visibilità centralizzata e ai flussi di lavoro standardizzati, SCM trasforma le intuizioni della CBOM in forza operativa continua, garantendo che le risorse crittografiche rimangano affidabili, conformi e allineate alle esigenze aziendali.

Ma l'operatività di una CBOM è solo metà della sfida. Quando le organizzazioni scoprono chiavi deboli, algoritmi deprecati, configurazioni errate o certificati compromessi all'interno della loro CBOM, devono anche rimediare rapidamente alle debolezze crittografiche prima che compromettano la continuità aziendale. SCM accelera questa correzione grazie a:

• Identificando le risorse crittografiche deboli o non conformi, compresi gli algoritmi vulnerabili, le lunghezze di chiave insufficienti o i certificati emessi da CA non affidabili.
• Automatizzando la rotazione di chiavi e certificati per sostituire gli asset a rischio senza tempi di inattività operativa.
• Sostituzione istantanea di certificati compromessi o sospetti, ripristinando la fiducia tra i sistemi dipendenti con flussi di lavoro continui
• Migrazione degli asset a standard più forti, come i certificati quantum-safe o ibridi, per supportare la cripto-agilità a lungo termine.
• Applicare la governance e la conformità alle policy, assicurando che tutti gli asset aggiornati siano conformi ai requisiti di sicurezza dell'organizzazione.

Questa capacità di rimedio automatizzato si allinea direttamente con la strategia QUANT di Sectigo, un quadro olistico per guidare le organizzazioni nell'era post-quantum attraverso una valutazione proattiva, una pianificazione della migrazione e l'adozione di tecnologie quantum-safe. QUANT è stato progettato per aiutare le aziende ad affrontare i principali rischi emergenti, tra cui la minaccia Harvest Now, Decrypt Later e le vulnerabilità delle firme digitali a lunga durata che potrebbero estendersi alla frontiera quantistica.

Se combinata con gli approfondimenti CBOM, la strategia QUANT di Sectigo consente alle organizzazioni di:

• Individuare le risorse crittografiche vulnerabili ai futuri attacchi quantistici.
• Dare priorità alla correzione di chiavi e firme a lunga durata che devono rimanere sicure ben oltre le attuali tempistiche crittografiche.
• Convalidare le strategie di certificazione post-quantum e ibride attraverso i Sectigo PQC Labs, un ambiente dedicato per testare gli asset sicuri dal punto di vista quantistico.
• Costruire processi operativi cripto-agili in anticipo rispetto alle tempistiche di deprezzamento e sostituzione previste dal NIST per il 2030-2035.

Insieme, SCM, CBOM e la strategia QUANT formano un ecosistema completo e lungimirante per la resilienza crittografica, che aiuta le organizzazioni non solo a comprendere la loro attuale postura crittografica, ma anche a rafforzarla continuamente con l'evolversi delle minacce e l'avvicinarsi dell'era quantistica. Per saperne di più su SCM o per programmare una demo oggi stesso.

Messaggi correlati:

Colmare il divario: I rischi di una visibilità parziale nella gestione del ciclo di vita dei certificati

Migliori pratiche per la gestione del ciclo di vita dei certificati (CLM)

Attacchi Harvest now, decrypt later e la minaccia quantistica