BR +55 11 3069 3925  |  USA +1 855 726 4878

A importância da adequada Gestão de Certificados Digitais

por | abr 27, 2020 | Blog

Com o aumento dos dispositivos conectados, principalmente baseados em Internet das Coisas (IoT), cresce também a quantidade de ataques maliciosos, com o objetivo de roubar dados, cujo principal resultado para as organizações é a perda de receitas, reputação e confiança por parte de clientes, parceiros e fornecedores. Muitos desses ataques envolvem controles criptográficos fracos, principalmente ligados à inadequada gestão de certificados digitais. Em vista disso, neste artigo, apresentamos o que são certificados digitais e os conceitos associados, assim como a importância da sua gestão e proteção adequadas no ambiente organizacional.

Certificados digitais, certificados X.509 ou SSL/TLS são a base da identidade de máquina, como aplicações, servidores, endpoints, containeres ou qualquer dispositivo que requer autenticação. 

O que é um certificado digital?

 

É um documento eletrônico que associa a identidade de pessoas, organizações, dispositivos ou aplicações à chave pública ligada a eles. Ele é emitido por uma organização, que atua como Autoridade Certificadora (CA), reconhecida como “confiável” pelas partes envolvidas, e normalmente utilizada para as operações de criptografia de chave pública. Esta CA emite o certificado digital em resposta a uma requisição depois de verificar a identidade do requerente. Cada certificado é associado a um período de validade. Desta forma, os certificados podem ser revogados caso ultrapassem a data de expiração.

Outras condições que podem resultar na revogação de um certificado digital são: o vazamento de sua chave privada, além de qualquer mudança na relação entre o requerente e sua chave pública, por exemplo, a mudança de endereço.

No processo de criptografia assimétrica, cada sujeito é associado a um par de chaves, uma pública e outra privada. Qualquer pessoa pode assinar um documento com sua chave privada, e qualquer um com a intenção de verificar a autenticidade de um documento pode fazê-lo utilizando a chave pública do signatário, disponível através da CA.

Esses certificados digitais ou identidade de máquina são críticos à medida que permitem estabelecer confiança no ambiente digital. Sem eles, não seria possível afirmar que senhasegura.com.br é, por exemplo, o website do senhasegura ou se alguma aplicação é confiável. Desta maneira, certificados digitais são essenciais para construir a confiança digital, e nos permitir utilizar todas as vantagens oferecidas pelo mundo digital, como internet banking, websites, comércio eletrônico, jogos e até mídias sociais, e atuam como um componente crítico da Infraestrutura de Chave Pública (Public Key Infrastructure) ou ICP.

Qual o modelo adotado pelo Brasil?

 

O modelo adotado foi o de certificação com raiz única, no qual, a Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, atua através do Instituto Nacional de Tecnologia da Informação ou ITI. O ITI atua como uma cadeia hierárquica de confiança, viabilizando a emissão de certificados digitais para identificação eletrônica das entidades envolvidas. Além disto, o ITI também tem o papel de credenciar e descredenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos.

Em um contexto de aumento de dispositivos como smartphones, tablets e qualquer dispositivo conectado, inclusive carros inteligentes, é necessário implementar meios de protegê-los da ação de agentes maliciosos. Desta maneira, a utilização de certificados digitais é um meio eficaz de garantir a identidade e autenticação destes dispositivos no ambiente. No entanto, com o aumento considerável dos certificados digitais associados a esses dispositivos, é necessário ter em mente a melhor forma de gerenciá-los. Vale lembrar que, devido à alta quantidade destes certificados, é difícil realizar um gerenciamento de forma manual utilizando, por exemplo, planilhas. Caso o responsável pela gestão dos certificados digitais se esqueça de renovar um único certificado em um dispositivo ou servidor ou de revogar algum deles, é possível derrubar a rede corporativa inteira e afetar a continuidade das operações críticas da organização. 

Considerando a relevância dos certificados digitais, criminosos cibernéticos e até hackers patrocinados por governos têm mostrado grande interesse nas ICPs, com o objetivo de utilizar certificados digitais para conduzir atividades ilegais, como espionagem cibernética e infecção por malware.

Ainda assim, a gestão de certificados digitais é vista como algo simples, levando em conta que eles expiram cada 1 a 5 anos. O problema, neste caso, é que essa perspectiva dá margem para erros humanos. Se o responsável pela gestão dos certificados digitais entra de férias ou é desligado da organização, a continuidade do negócio pode estar em jogo. 

Desta maneira, ao implementar processos para a gestão adequada de certificados digitais, é possível obter total visibilidade de todos os certificados instalados na infraestrutura, identificando os mais críticos ao negócio para, desta forma, assegurar que estejam ativos e válidos, além de não estarem comprometidos.  

Como garantir a melhor gestão dos certificados digitais?

 

Assim, uma das formas de garantir a gestão adequada dos certificados digitais no ambiente é a  implementação de uma solução de Gestão de Certificados, como o senhasegura Certificate Management. 

Sendo totalmente integrada à plataforma de segurança senhasegura, o senhasegura Certificate Management permite o gerenciamento centralizado de todo o ciclo de vida de certificados digitais dentro da organização, desde a descoberta por meio de uma varredura automática em sites, diretórios e servidores web, até a renovação automatizada do certificado pelas CAs externas ou internas.

A reconhecida função Scan Discovery da plataforma de segurança senhasegura permite a descoberta de certificados no ambiente de forma automatizada e recorrente. A partir do envio automático de alertas em períodos configuráveis para equipes específicas, é possível ter controle total das datas de validade dos certificados gerenciados pelo senhasegura Certificate Management. Ademais, a solução permite a renovação e publicação automáticas dos certificados. É possível configurar automaticamente a renovação periódica, evitando perda de datas de expiração. Finalmente, os dashboards do senhasegura Certificate Management permitem a visualização gráfica do status de todos os certificados, bem como identificar, por exemplo, quais utilizam criptografias em não conformidade com as políticas de segurança da organização.

Desta maneira, o senhasegura Certificate Management permite reduzir indisponibilidades por expiração de certificados ou por erros humanos na publicação, além de automatizar a gestão do ciclo de vida do certificado. As APIs do senhasegura Certificate Management permitem completa integração com outras soluções dentro da organização, assim como o aumento do nível de segurança das aplicações com certificados seguros, respeitando os pré-requisitos e políticas de segurança da organização.

Força de senha: como criar senhas fortes para as credenciais?

A força de senha é um dos critérios considerados na criação de políticas de senhas. Afinal, essa é uma das medidas mais eficientes para evitar que as senhas sejam violadas. E se preocupar com isso é de suma importância para as organizações nos dias atuais. Isso porque...

Investimento de 13 milhões de dólares impulsiona expansão da senhasegura nas Américas e no Oriente Médio

Por Priscilla Silva São Paulo, 10 de Março de 2023 - O senhasegura, provedor líder de solução para Gestão de Acessos Privilegiados (PAM), que protege ambientes tecnológicos e recursos críticos de organizações contra ameaças cibernéticas, anuncia o aporte de 13 milhões...

senhasegura recebe prêmio CyberSecured 2022 como melhor solução de PAM nos EUA

Escrito por Priscilla Silva SÃO PAULO, 28 de Fevereiro de 2023 - A edição de 2022 do prêmio CyberSecured, promovido pela revista Security Today, marca do grupo 1105 Media's Infrastructure Solutions Group, elegeu a senhasegura como vencedora na categoria Privileged...

senhasegura lança o conceito “Jiu-JitCISO” para mostrar o vigor da cibersegurança brasileira

Por Priscilla Silva São Paulo, 13 de janeiro de 2023 - "Como no Jiu-Jitsu, a senhasegura é sobre defesa própria. Toda empresa deveria saber como se proteger e também proteger os seus clientes" é o propósito baseado na filosofia da arte marcial japonesa, mas...

CISA e FBI lançam script de recuperação de ransomware ESXiArgs

A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos e o Departamento Federal de Investigação (FBI) lançaram, nesta semana, um guia de recuperação do ransomware ESXiArgs, que prejudicou milhares de empresas em âmbito global. Isso ocorreu porque...

senhasegura é líder pelo segundo ano consecutivo no relatório KuppingerCole Leadership Compass 2023

Por Priscilla Silva São Paulo, 30 de janeiro de 2023 - A senhasegura, solução de Gestão de Acessos Privilegiados (PAM) conquista a posição de líder no atual "Leadership Compass 2023". O relatório é produzido pela renomada empresa de análise de TI, a alemã...