BR +55 11 3069 3925 | USA +1 469 620 7643

A importância do gerenciamento de Certificados Digitais

por | nov 1, 2018 | Blog

A criptografia já existe há algum tempo; O interessante é como isso evoluiu. O cenário está mudando desde o passado, quando tínhamos mainframes e grande poder de computação – com tudo se tornando menor devido à proliferação de dispositivos móveis e IoT. Mais e mais certificados digitais estão sendo colocados em telefones, iPads, dispositivos Android e até mesmo em objetos que simplesmente têm conexões Bluetooth que exigem autenticação. Grandes empresas que estão produzindo dispositivos da Internet das Coisas (IoT) precisam saber como protegê-las. Até mesmo os carros agora se conectam em rede e, portanto, tem a necessidade de atualizar o firmware. Como resultado, há uma explosão de certificados digitais e, como negócio, é difícil gerenciar esses certificados usando um método como planilhas Excel, por exemplo. O uso de certificados para autenticação resulta na necessidade de gerenciar um grande volume deles, com o objetivo de ser mais proativo do que reativo. É importante colocar em perspectiva como sua equipe de segurança deseja gerenciar seus certificados digitais. Se você se esquecer de substituir um certificado em um único dispositivo ou servidor, ou se tiver uma lista de revogação que esqueceu de substituir, tal equívoco pode derrubar toda a sua rede.

Considere a Amazon, por exemplo. Para cada transação que a Amazon faz, um certificado é gerado. Se a infraestrutura de chave pública (PKI) da Amazon cair, eles perderão milhões de dólares por segundo. Portanto, ter certificados digitais em funcionamento e contar com eles para dar suporte às funções e tarefas diárias do negócio exige proatividade.

Existem dois tipos de impactos críticos em certificados digitais:

1. Interrupção

Impacto potencial nos negócios:

  • Perda de renda
  • Insatisfação do cliente

As interrupções acontecem quando um certificado é revogado e não é substituído, ou o ciclo de vida expirou. Às vezes, no que se refere ao gerenciamento de certificados, pode haver um único certificado que expirou, mas 400 caixas precisam ser substituídas. Se um deles for perdido ou for usado de maneira inadequada, uma interrupção poderá ocorrer.

2. Violação

Impacto potencial nos negócios:

  • Perda de dados
  • Danos à reputação
  • Multas

Os certificados usados para assinatura digital permitem que o proprietário do certificado tenha a prova de assinatura de um documento e a verificação de identidade no momento da assinatura digital. Se um certificado for violado, você não será mais confiável. No mundo financeiro, por exemplo, isso pode resultar em multas como resultado da expiração do certificado e das funcionalidades que não estão funcionando ou funcionando incorretamente. Se houver uma violação em um site de comércio eletrônico, por exemplo, os visitantes serão expostos se inserirem dados de cartão de crédito porque não serão criptografados quando passarem para o servidor do site de comércio eletrônico.

Com isso dito, o que é o gerenciamento de certificados digitais? O objetivo é ter uma visibilidade completa de todos os certificados de forma holística, identificando os que são mais importantes para os negócios e concentrando a energia em garantir que eles estejam funcionando, não sejam comprometidos e não expirem. Muitas vezes, no entanto, o gerenciamento de certificados digitais é visto como uma tarefa de manutenção relativamente baixa, já que, dependendo da duração dos seus certificados, você só precisa se preocupar com a expiração a cada 1 a 5 anos. O problema é que essa perspectiva permite um erro humano. Se o funcionário responsável pelo gerenciamento de certificados digitais sair de férias na semana em que um certificado expirar, sua empresa poderá estar em risco. O objetivo do gerenciamento adequado de certificados digitais é estar ativamente engajado em garantir que os certificados estejam em funcionamento.

Há muitas tarefas críticas que acompanham o gerenciamento de certificados corporativos, e ignorar ou manipular incorretamente qualquer uma delas pode preparar o terreno para uma exploração de aplicativo da Web.

Para aqueles que são novos no gerenciamento de certificados, tarefas envolvidas podem ser surpreendentes. Por exemplo, os certificados precisam ser comprados, implantados e renovados quando expirarem. Isso tudo leva tempo, especialmente quando multiplicado pelas dezenas ou até centenas de aplicativos e domínios existentes em muitas empresas.

Depois, há a questão de garantir que cada certificado esteja correto para o aplicativo da Web com o qual está sendo emparelhado. É necessário ter certificados de Validação Estendida, que são mais caros porque são fornecidos e controlados por uma autoridade de certificação (CA) confiável?  Ou os certificados de baixa garantia (mais baratos) seriam apropriados, para aplicativos da Web não públicos, por exemplo?

O conjunto de ofertas de fornecedores de certificados é confuso. Existem vários níveis diferentes de validação oferecidos, diferentes tipos de hash, comprimentos e garantias (que na verdade protegem o usuário final, não o proprietário do certificado). Pode ser difícil saber que tipo de certificado é necessário para um aplicativo específico.

Pior ainda, pesquisadores descobriram que mais da metade das empresas já perdeu um certificado digital, ou havia certificados em sua rede cujas origens não puderam ser contabilizadas. Isso pode acontecer porque um desenvolvedor ou outro funcionário criou um certificado sem avisar ninguém, um problema que muitas vezes ninguém sabe.

A maioria das empresas gerencia uma variedade de certificados digitais manualmente com planilhas. Isso pode levar a erros, como certificados perdidos, incompatíveis ou rotulados incorretamente. Os certificados podem expirar inadvertidamente, o que significa que as autoridades de certificação não consideram mais um site ou aplicativo da Web seguro e confiável. Isso pode ser um erro muito caro se um aplicativo da Web afetado estiver voltado para o público. Pode causar danos à reputação da organização ou os navegadores dos visitantes podem bloquear totalmente o acesso ao site. Essa situação tem sido a causa de muitas interrupções de sistemas e é frequentemente uma das últimas causas que os administradores investigam, contribuindo significativamente para mais tempo de inatividade.

Outro problema ocorre se a CA que emitiu o certificado da organização estiver comprometida, como já aconteceu com a DigiNotar, Comodo e a TurkTrust, por exemplo. Os certificados são revogados por outras autoridades de certificação, portanto, quando um cliente se conecta ao servidor afetado, o certificado não é mais válido. Sem o gerenciamento apropriado dos certificados em um nível corporativo, é impossível dizer quantos dos seus certificados não são mais válidos.

Felizmente, existem soluções para o dilema do gerenciamento de certificados corporativos, sendo uma das mais eficazes a automação. Ferramentas automatizadas podem pesquisar uma rede e registrar todos os certificados descobertos. Essas ferramentas geralmente podem atribuir certificados a proprietários e podem gerenciar a renovação automática de certificados. O software também pode verificar se o certificado foi implantado corretamente para evitar o uso incorreto de um certificado antigo. No entanto, as ferramentas automatizadas não são perfeitas e podem exigir alguma intervenção manual, pois o scanner pode perder certificados armazenados em locais aos quais não têm acesso.

Ao adquirir uma dessas ferramentas automatizadas, verifique se o software pode gerenciar certificados de todas as CAs. Alguns só gerenciam certificados emitidos por uma autoridade de certificação específica, e é fácil perder alguns dos certificados no seu domínio, mesmo que você acredite que só usa um provedor.

É essencial para um bom gerenciamento de certificados corporativos que certos eventos sejam planejados e gerenciados. Os procedimentos devem ser escritos e comunicados, detalhando o que deve acontecer se uma autoridade de certificação for invadida e como os certificados na rede da organização devem ser substituídos. O rastreamento de certificados da CA comprometida é demorado se não for planejado antecipadamente.

Se sua organização estiver fazendo o gerenciamento de certificados manualmente, talvez seja hora de investigar uma alternativa automatizada, mesmo que você saiba que conhece todos os seus certificados. Você pode ter uma surpresa.

Conheça a nossa solução de gerenciamento de certificados digitais.

Força de senha: como criar senhas fortes para as credenciais?

A força de senha é um dos critérios considerados na criação de políticas de senhas. Afinal, essa é uma das medidas mais eficientes para evitar que as senhas sejam violadas. E se preocupar com isso é de suma importância para as organizações nos dias atuais. Isso porque...

Verizon Data Breach Investigation Report 2021: o que você precisa saber sobre esse relatório

A interação humana com as estruturas de TI representa uma das principais ameaças cibernéticas enfrentadas por organizações dos mais diversos portes e segmentos.  Essa é apenas uma das importantes informações extraídas do Verizon Data Breach Investigation Report 2021,...

Construindo uma indústria digital através do PAM

Com o avanço da tecnologia, os setores industriais encontram-se cada vez mais digitalizados por meio de soluções que otimizam os processos realizados nesses ambientes, reduzindo custos, eliminando falhas humanas e gerando mais produtividade.  Entre as tecnologias que...

O que fazer para diminuir os valores de seguro cibernéticos?

Quando se trata de segurança da informação, os riscos para as organizações estão cada vez maiores por uma série de fatores. Como exemplo, podemos mencionar o aumento no número de ataques cibernéticos, especialmente após a pandemia de covid-19, que acelerou a adoção em...

Alcançando a conformidade com a Lei Sarbanes-Oxley (SOX) usando controles de segurança cibernética

A Lei Sarbanes-Oxley (SOX) está associada principalmente à transparência da empresa e ao uso de controles contábeis e financeiros para proteger os investidores de relatórios financeiros fraudulentos. No entanto, é sempre importante lembrar o papel fundamental cada vez...

Gestão de Acesso Privilegiado (PAM): guia completo

Em 2021, houve um aumento de 50% no número de ataques em redes corporativas em relação ao ano anterior. É o que aponta a Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point. E muitos desses ataques envolvem a exploração desse tipo de...
Copy link
Powered by Social Snap