Identidades de Máquina e Gestão de Certificados digitais

Com o surgimento dos sistemas computacionais e, posteriormente, a internet, as pessoas e organizações passaram a utilizar estes recursos para acelerar a execução de tarefas e facilitar suas vidas. Assim, a execução de atividades tanto para atividades ligadas aos negócios e até à vida pessoal (como compras e rede pessoal) se baseiam no consumo de recursos e serviços.

Para controlar o acesso aos recursos computacionais e de internet, os usuários dependem principalmente da abordagem de usuários e senha, que é utilizada desde sempre para a verificação da identidade e validação do acesso. Alguns exemplos de verificação de identidade no mundo físico incluem carteiras de identidade, passaportes ou crachás de identificação. Os objetivos principais desta abordagem são: melhorar a experiência do usuário, proteger a privacidade, estabelecer o controle de responsabilidade pelas ações executadas ou até alcançar conformidade com políticas e regulações de controle de acesso. Vale lembrar também que as novas e mais rígidas exigências de conformidade em relação à proteção de dados criaram demandas para os times de segurança. Além disso, os atacantes maliciosos também têm evoluído em resposta às novas soluções e inovações no aspecto cibersegurança.

Ao longo dos anos, a questão de gestão de identidade se tornou mais complexa que simplesmente verificar a combinação de usuário e senha. Com isso, os métodos de verificação de identidade evoluíram para formas mais robustas, como o OTP (ou One Time Password), a biometria (que além de impressão digital, inclui reconhecimento de íris ou palma da mão e, mais recentemente, o comportamento do usuário) e os certificados digitais. 

Vale lembrar que mesmo com todas as inovações tecnológicas nos últimos 20 anos, a combinação de usuário e senha continua sendo a forma mais comum para verificar a identidade dos usuários. 

A transformação digital, incluindo a Indústria 4.0, o IoT, além das smart cities e smart homes, trouxe com ela bilhões de dispositivos conectados. Segundo o Gartner, atualmente, há mais de 20 bilhões de dispositivos conectados, como smart TV, máquinas industriais e endpoints em uma infraestrutura cada vez mais complexa. 

Muitos destes dispositivos utilizam certificados digitais X.509 ou SSL/TLS para estabelecer confiança no ambiente digital, devendo ser identificados, ter sua legitimidade validada e confirmadas as suas respectivas identidades, para protegê-los da ação de agentes maliciosos. Conforme falamos em nosso artigo sobre gestão de certificados digitais, eles são documentos eletrônicos que associam a identidade de pessoas, organizações, dispositivos ou aplicações, e são a base das identidades de máquina. Esses dispositivos, além de estarem cada vez mais conectados entre si, têm a capacidade de tratar grandes volumes de dados e serem compartilhados com outros dispositivos conectados. No entanto, mesmo tendo um papel crítico na transformação digital, pouco ou nada tem sido feito nas organizações para proteger as identidades de máquina. 

Uma das tendências vinculada ao aumento das identidades de máquinas está ligada ao universo DevOps. Velocidade, agilidade, eficiência e escalabilidade são alguns dos aspectos ligados a esta tecnologia. Os contêineres e microsserviços associados ao DevOps precisam se comunicar de forma segura entre si na rede. Desta maneira, as organizações precisam de soluções para proteger as identidades de máquina em seus ambientes DevOps. Além disto, o aumento no número de APIs abertas acrescenta ainda mais complexidade, o que reforça a ideia de que cada máquina deve ter a sua própria identidade.

A adoção de ambientes Cloud – agora intensificada com as equipes remotas – vai continuar crescendo também. Neste tipo de ambiente, as máquinas são criadas, configuradas e destruídas de forma dinâmica para atender aos requisitos de negócio. Para proteger esse ambiente e os dados gerados por eles, as organizações devem adotar soluções que criptografem os dados em nuvem e proteger adequadamente as identidades e a comunicação entre máquinas.

Além do Cloud, outras tecnologias associadas ao aumento das identidades de máquina são a automação – incluindo o Robotic Process Automation e o Privileged Task Automation – e a Inteligência Artificial. Essas abordagens têm gerado um grande ganho de eficiência e revolucionado a execução de processos de negócio bem definidos e rotineiros. Desta forma, é necessário adotar medidas para proteger as identidades nestes algoritmos, de modo a garantir a segurança e a integridade dessas tecnologias.

Outra tendência importante ligada às credenciais de máquina é a Internet das Coisas, incluindo a Indústria 4.0 (também chamada de IoT ou Internet das Coisas Industrial), cuja utilização explodiu nos últimos anos, tendo sua comunicação baseada em chaves e certificados digitais. No entanto, conforme as últimas notícias de ataques cibernéticos a essas tecnologias, é possível perceber que os fabricantes destes dispositivos vêm priorizado funcionamento em detrimento de segurança, o que faz com que os desafios para a sua adequada proteção sejam cada vez maiores. Um exemplo é o roubo de certificados digitais da D-Link e Changing Information Technologies, ocorrido em 2018. A partir da utilização indevida destes certificados, um grupo de hackers foi capaz de utilizá-los em ações de ciberespionagem na Ásia, especificamente em Taiwan.

Finalmente, a explosão dos dispositivos móveis criou uma enorme pressão sobre as organizações para proteger adequadamente a comunicação destes dispositivos entre si e as diferentes redes. E mais uma vez, as organizações têm falhado em endereçar este problema de maneira apropriada.

O aumento exponencial de dispositivos e tecnologias fez o número de certificados digitais no ambiente explodir. E realizar a gestão de certificados digitais de maneira adequada se tornou uma tarefa bem difícil para os times de Segurança da Informação; e as planilhas, que antes eram utilizadas para controlar aspectos como quantidade, visibilidade e vencimentos, se tornaram inviáveis.

Para que a gestão de certificados digitais seja efetiva e possa ser orquestrado em um ambiente

Para que esse gerenciamento seja efetivo e os certificados digitais possam ser orquestrados em um ambiente cada vez mais complexo, foram desenvolvidas soluções de software com o objetivo de proteger as chaves criptográficas utilizadas nos certificados digitais. Estima-se que as perdas globais pelo gerenciamento inadequado das identidades de máquina seja de até USD 72 bilhões.

Assim, uma das formas de garantir a gestão de certificados digitais adequada no ambiente é a implementação de uma solução de Gestão de Certificados digitais como o senhasegura Certificate Management. 

Sendo totalmente integrada à plataforma de segurança senhasegura, o senhasegura Certificate Management permite o gerenciamento centralizado de todo o ciclo de vida de certificados digitais dentro da organização, desde a descoberta através de varredura automática em sites, diretórios e servidores web, até a renovação automatizada do certificado através de CAs externas ou internas.

Desta maneira, o senhasegura Certificate Management permite reduzir indisponibilidades por expiração de certificados ou por erros humanos na publicação, além de automatizar a gestão do ciclo de vida do certificado. As APIs do senhasegura Certificate Management permitem completa integração com outras soluções dentro da organização, assim como o aumento do nível de segurança das aplicações com certificados seguros, respeitando os pré-requisitos e as políticas de segurança da organização.