2023年的PKI预测。关注软件供应链安全、物联网设备标准等

2023年，PKI将继续作为一项关键业务投资闯入企业的主流话语。Keyfactor的《2022年机器身份管理状况》报告显示，企业正在努力使其PKI实践现代化。

• 66%的企业正在整个IT领域部署更多的密钥和证书，而70%的企业表示密钥和证书的增长增加了运营负担。
• 57%的人将加密敏捷性列为数字安全的首要战略任务，55%的人说零信任倡议是PKI、密钥和证书的首要驱动力。
• 81%的组织在2021年和2022年因证书过期而经历了多次破坏性的中断，平均补救时间为3.3小时。

随着中断的风险越来越大，新的合规性标准的形成，以及零信任作为一个实用的框架获得牵引力，我们可以预期今年将看到PKI及其使用情况的演变。

为了了解不断变化的监管环境、威胁环境和新兴的商业战略将如何影响PKI，以及如何被PKI影响，我们求助于Keyfactor的首席PKI官Tomas Gustavsson。他向我们提供了内部消息。

Keyfactor：你是否预测PKI将在物联网设备的开发和设备过程中得到更多的执行？

Tomas Gustavsson：随着欧盟和美国政府新法规的出台，特定类型的物联网设备将受到审查。这些法规将解决传统的软件漏洞以及加密安全更新和数据加密的可能性。

我预测，这种讨论将在2023年继续进行，并得到加强，特别是在欧盟，随着《欧盟网络弹性法案》的出台。我们可以期待NIST和ENISA推荐的最佳实践成为强制性的，尽管这将缓慢发生。

Keyfactor：为什么供应链安全是一个薄弱点？企业是否忽视了供应链安全？你认为要怎样才能让企业不再忽视供应链安全？

Tomas：一些行业，如电信和关键基础设施，早已将供应链安全放在首位。而软件供应链则相对滞后，因为它没有那么明显，研究也还没有很好地建立。软件界一直将创新置于安全之上，即使是处理重要敏感数据的消费类软件也是如此。

但由于一些原因，这种情况正在改变。

• 我们已经看到大型软件消费者成为供应链攻击的受害者，我们也看到他们通过提高供应商的安全标准来应对。这将渗透到较小的组织中，并将由政府和私人采购推动。
• 近年来，围绕着软件供应链的学术研究有了很大的进展，所以我们可以预期流行的软件包会被更深入地分析，从而得到改进。

目前，在开发和软件供应链中实施优化的安全控制需要相当多的专业知识，但在未来几年，我们可以预期这些安全控制会更多地内置于工具中，更容易优化。

如果不使用PKI，要保证软件供应链的安全实际上是不可能的，所以我们可以预期PKI会变得更容易集成到开发工具中。

Keyfactor: 在未来几年中，哪些领域将优先考虑PKI？

Tomas：所有的行业! PKI是解决大多数行业所面临的安全需求的最成熟和标准化的方法。

一些行业，如电信业，已经使用PKI几十年了，所以与汽车和制造业等行业相比，我们可能不会看到这些行业有那么大的增长。这些环境正在向万物互联的模式过渡，这就要求他们的PKI使用量比传统上的需求要高。

即使是多年来稳固使用PKI的企业组织，由于零信任等举措，PKI的使用也在大规模增长。

Keyfactor： PKI管理将如何帮助制造业对抗勒索软件攻击？

Tomas：PKI不可能解决所有问题。企业需要多阶段的保护措施来防范勒索软件和其他攻击。例如，代码签名是防止恶意软件被安装在你的系统中的一个关键组成部分。如果你能防范未经授权的软件，你就能保持对许多类型攻击的保护。

也就是说，被盗的代码签名密钥可以使勒索软件得到签名。对于一个拥有私人设备生态系统的公司来说，最好是使用私人信任的代码签名证书，而不是公共信任的证书。这使制造商的设备免受被盗的公开信任的密钥和证书的影响。

在2023年，我们可以预期，随着微软对用于签署Windows代码的代码签署证书的用户强制使用硬件安全模块，围绕公开信任的代码签署密钥的安全性将会加强。

Keyfactor：你认为远程工作会继续存在吗？如果是的话，企业应该如何使用PKI来保证远程网络访问的安全？

Tomas：远程工作将继续存在；混合工作场所是新的常态。PKI是安全通信的骨干，大多数保障远程工作的产品都以这种或那种方式使用PKI。不管是VPN解决方案、视频会议，还是办公协作工具，企业都需要采取零信任策略。

零信任策略将把PKI的使用扩大到网络的某些部分，而这些部分以前仅仅依靠网络分段来实现对远程工作者所需的所有资源的轻松、安全的访问。

从世界任何地方安全地工作，没有理由不那么容易。

声明：本文相关资讯来自keyfactor，版权归作者所有，转载目的在于传递更多信息。如有侵权，请联系本站删除。