Protokół SSH generuje parę zaszyfrowanych kluczy, umożliwiając bezpieczne połączenie między dwoma systemami: serwerem i urządzeniem klienta, które do tego serwera chce uzyskać dostęp. Jednocześnie, firma może dysponować wieloma kluczami SSH dającymi dostęp do tego samego serwera.

"W dużych firmach często dziesiątki tysięcy kluczy SSH są przypisane do jednej sieci, a większość z nich jest źle zarządzana. Często wynika to z tego, że firmy po prostu nie zdają sobie sprawy z obecności tych kluczy w ich systemach, dlatego niewiele robią w tym kierunku" mówi Kevin Bocek, wiceprezes ds. marketingu i badań nad zagrożeniami w firmie Venafi, która zleciła badanie.

Zobacz również:

• Idealne miejsce dla rozwoju pracowników

Kradzież kluczy SSH umożliwia hakerom podszycie się pod administratorów i przejęcie całkowitej kontroli nad siecią zaatakowanej firm, bez jednoczesnej możliwości ich wykrycia. Miało to miejsce choćby w przypadku niedawno wykrytego ataku APT Mask. Podobno również Edward Snowden korzystał z kluczy SSH lub podobnego certyfikatu cyfrowego, aby uzyskać dostęp do tajnych dokumentów i dokonać ich kradzieży.

Administratorzy systemów zazwyczaj wprowadzają klucze SSH do środowiska bez świadomości, że może dojść do ich nadużycia. Dlatego w niektórych firmach specjaliści ds. bezpieczeństwa IT podejmują próby wzięcia na siebie odpowiedzialności za nadzór nad zarządzaniem kluczami SSH, ale nadal wiele firm obarcza tym obowiązkiem administratorów.

Niemal trzy na cztery firmy uczestniczące w badaniu Instytutu Ponemona pozwalają administratorom na niezależny nadzór nad kluczami SSH i zarządzanie nimi. W rezultacie, specjaliści ds. bezpieczeństwa IT mają znikomą wiedzę na temat skali problemu i utrudniony dostęp do informacji.

Aby sprostać temu wyzwaniu, firmy muszą w pierwszej kolejności sprawdzić, w jakim celu wykorzystywane są ich klucze SSH i jak wiele z nich snuje się w ich sieciach. Dopiero wtedy mogą zabrać się za przypisanie kluczy do właściwych serwerów, dokonanie oceny zapotrzebowanie na nie i, ostatecznie, wdrożenie procesów automatycznej zmiany kluczy SSH.