BR +55 11 3069 3925 | USA +1 469 620 7643

A importância da adequada Gestão de Certificados Digitais

por | abr 27, 2020 | Blog

Com o aumento dos dispositivos conectados, principalmente baseados em Internet das Coisas (IoT), cresce também a quantidade de ataques maliciosos, com o objetivo de roubar dados, cujo principal resultado para as organizações é a perda de receitas, reputação e confiança por parte de clientes, parceiros e fornecedores. Muitos desses ataques envolvem controles criptográficos fracos, principalmente ligados à inadequada gestão de certificados digitais. Em vista disso, neste artigo, apresentamos o que são certificados digitais e os conceitos associados, assim como a importância da sua gestão e proteção adequadas no ambiente organizacional.

Certificados digitais, certificados X.509 ou SSL/TLS são a base da identidade de máquina, como aplicações, servidores, endpoints, containeres ou qualquer dispositivo que requer autenticação. 

O que é um certificado digital?

 

É um documento eletrônico que associa a identidade de pessoas, organizações, dispositivos ou aplicações à chave pública ligada a eles. Ele é emitido por uma organização, que atua como Autoridade Certificadora (CA), reconhecida como “confiável” pelas partes envolvidas, e normalmente utilizada para as operações de criptografia de chave pública. Esta CA emite o certificado digital em resposta a uma requisição depois de verificar a identidade do requerente. Cada certificado é associado a um período de validade. Desta forma, os certificados podem ser revogados caso ultrapassem a data de expiração.

Outras condições que podem resultar na revogação de um certificado digital são: o vazamento de sua chave privada, além de qualquer mudança na relação entre o requerente e sua chave pública, por exemplo, a mudança de endereço.

No processo de criptografia assimétrica, cada sujeito é associado a um par de chaves, uma pública e outra privada. Qualquer pessoa pode assinar um documento com sua chave privada, e qualquer um com a intenção de verificar a autenticidade de um documento pode fazê-lo utilizando a chave pública do signatário, disponível através da CA.

Esses certificados digitais ou identidade de máquina são críticos à medida que permitem estabelecer confiança no ambiente digital. Sem eles, não seria possível afirmar que senhasegura.com.br é, por exemplo, o website do senhasegura ou se alguma aplicação é confiável. Desta maneira, certificados digitais são essenciais para construir a confiança digital, e nos permitir utilizar todas as vantagens oferecidas pelo mundo digital, como internet banking, websites, comércio eletrônico, jogos e até mídias sociais, e atuam como um componente crítico da Infraestrutura de Chave Pública (Public Key Infrastructure) ou ICP.

Qual o modelo adotado pelo Brasil?

 

O modelo adotado foi o de certificação com raiz única, no qual, a Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, atua através do Instituto Nacional de Tecnologia da Informação ou ITI. O ITI atua como uma cadeia hierárquica de confiança, viabilizando a emissão de certificados digitais para identificação eletrônica das entidades envolvidas. Além disto, o ITI também tem o papel de credenciar e descredenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos.

Em um contexto de aumento de dispositivos como smartphones, tablets e qualquer dispositivo conectado, inclusive carros inteligentes, é necessário implementar meios de protegê-los da ação de agentes maliciosos. Desta maneira, a utilização de certificados digitais é um meio eficaz de garantir a identidade e autenticação destes dispositivos no ambiente. No entanto, com o aumento considerável dos certificados digitais associados a esses dispositivos, é necessário ter em mente a melhor forma de gerenciá-los. Vale lembrar que, devido à alta quantidade destes certificados, é difícil realizar um gerenciamento de forma manual utilizando, por exemplo, planilhas. Caso o responsável pela gestão dos certificados digitais se esqueça de renovar um único certificado em um dispositivo ou servidor ou de revogar algum deles, é possível derrubar a rede corporativa inteira e afetar a continuidade das operações críticas da organização. 

Considerando a relevância dos certificados digitais, criminosos cibernéticos e até hackers patrocinados por governos têm mostrado grande interesse nas ICPs, com o objetivo de utilizar certificados digitais para conduzir atividades ilegais, como espionagem cibernética e infecção por malware.

Ainda assim, a gestão de certificados digitais é vista como algo simples, levando em conta que eles expiram cada 1 a 5 anos. O problema, neste caso, é que essa perspectiva dá margem para erros humanos. Se o responsável pela gestão dos certificados digitais entra de férias ou é desligado da organização, a continuidade do negócio pode estar em jogo. 

Desta maneira, ao implementar processos para a gestão adequada de certificados digitais, é possível obter total visibilidade de todos os certificados instalados na infraestrutura, identificando os mais críticos ao negócio para, desta forma, assegurar que estejam ativos e válidos, além de não estarem comprometidos.  

Como garantir a melhor gestão dos certificados digitais?

 

Assim, uma das formas de garantir a gestão adequada dos certificados digitais no ambiente é a  implementação de uma solução de Gestão de Certificados, como o senhasegura Certificate Management. 

Sendo totalmente integrada à plataforma de segurança senhasegura, o senhasegura Certificate Management permite o gerenciamento centralizado de todo o ciclo de vida de certificados digitais dentro da organização, desde a descoberta por meio de uma varredura automática em sites, diretórios e servidores web, até a renovação automatizada do certificado pelas CAs externas ou internas.

A reconhecida função Scan Discovery da plataforma de segurança senhasegura permite a descoberta de certificados no ambiente de forma automatizada e recorrente. A partir do envio automático de alertas em períodos configuráveis para equipes específicas, é possível ter controle total das datas de validade dos certificados gerenciados pelo senhasegura Certificate Management. Ademais, a solução permite a renovação e publicação automáticas dos certificados. É possível configurar automaticamente a renovação periódica, evitando perda de datas de expiração. Finalmente, os dashboards do senhasegura Certificate Management permitem a visualização gráfica do status de todos os certificados, bem como identificar, por exemplo, quais utilizam criptografias em não conformidade com as políticas de segurança da organização.

Desta maneira, o senhasegura Certificate Management permite reduzir indisponibilidades por expiração de certificados ou por erros humanos na publicação, além de automatizar a gestão do ciclo de vida do certificado. As APIs do senhasegura Certificate Management permitem completa integração com outras soluções dentro da organização, assim como o aumento do nível de segurança das aplicações com certificados seguros, respeitando os pré-requisitos e políticas de segurança da organização.

Força de senha: como criar senhas fortes para as credenciais?

A força de senha é um dos critérios considerados na criação de políticas de senhas. Afinal, essa é uma das medidas mais eficientes para evitar que as senhas sejam violadas. E se preocupar com isso é de suma importância para as organizações nos dias atuais. Isso porque...

Verizon Data Breach Investigation Report 2021: o que você precisa saber sobre esse relatório

A interação humana com as estruturas de TI representa uma das principais ameaças cibernéticas enfrentadas por organizações dos mais diversos portes e segmentos.  Essa é apenas uma das importantes informações extraídas do Verizon Data Breach Investigation Report 2021,...

Construindo uma indústria digital através do PAM

Com o avanço da tecnologia, os setores industriais encontram-se cada vez mais digitalizados por meio de soluções que otimizam os processos realizados nesses ambientes, reduzindo custos, eliminando falhas humanas e gerando mais produtividade.  Entre as tecnologias que...

O que fazer para diminuir os valores de seguro cibernéticos?

Quando se trata de segurança da informação, os riscos para as organizações estão cada vez maiores por uma série de fatores. Como exemplo, podemos mencionar o aumento no número de ataques cibernéticos, especialmente após a pandemia de covid-19, que acelerou a adoção em...

Alcançando a conformidade com a Lei Sarbanes-Oxley (SOX) usando controles de segurança cibernética

A Lei Sarbanes-Oxley (SOX) está associada principalmente à transparência da empresa e ao uso de controles contábeis e financeiros para proteger os investidores de relatórios financeiros fraudulentos. No entanto, é sempre importante lembrar o papel fundamental cada vez...

Gestão de Acesso Privilegiado (PAM): guia completo

Em 2021, houve um aumento de 50% no número de ataques em redes corporativas em relação ao ano anterior. É o que aponta a Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point. E muitos desses ataques envolvem a exploração desse tipo de...
Copy link