Os esforços de transformação digital levaram a uma explosão de certificados TLS para proteger os sistemas de computação modernos
Por Adriano Frare
Mas, ao fazer isso, os processos manuais ou semi-autônomos usados para controlá-los não são mais adequados para o propósito.
O problema tende a piorar: 93% dos entrevistados disseram à Venafi que tinham um mínimo de 10.000 certificados TLS – TLS – Transport Layer Security – ativos, enquanto 40% disseram que tinham mais de 50.000 atualmente em uso. No entanto, quase todos (97%) dos CIOs estimaram que o número de certificados TLS usados por sua organização aumentaria pelo menos 10-20% no próximo ano.
75% dos CIOs globais estão preocupados com a proliferação de certificados TLS e os crescentes riscos de segurança associados a eles, de acordo com um novo estudo da Venafi .
Mais da metade (56%) dos CIOs entrevistados no novo estudo disseram que se preocupam com interrupções e interrupções de negócios devido a esses certificados expirados.
O fornecedor de segurança entrevistou 550 CIOs dos EUA, Reino Unido, França, Alemanha e Austrália para entender melhor as atitudes em relação aos certificados cada vez mais usados para proteger o fluxo de dados para máquinas confiáveis.
Isso pode levar à expiração de um grande número sem o conhecimento de TI, expondo a organização a riscos. Um estudo anterior da Venafi revelou que os profissionais de TI, em média, encontraram mais de 57.000 identidades de máquinas TLS que não sabiam que tinham em seus negócios e nuvens.
Em conjunto ao que já foi dito, temos que levar em consideração que as organizações maiores encontram é que a aquisição de certificados geralmente é descentralizada.
Algum pequeno grupo que opera com seu próprio suporte de TI sai e obtém seus próprios certificados porque não entende os processos corporativos maiores ou mesmo sabe que tais processos existem, ou eles não sentem que deveriam ter para fazer o esforço (e acho que eles podem se safar com isso).
Esses grupos acabam desempenhando um papel crítico, mas um tanto oculto, nas funções da empresa. Ninguém percebe que eles próprios saíram para a PKI até que um certificado TLS expire e funções críticas falhem. Isso não deveria acontecer em uma empresa bem administrada, mas garanto que sim.
Frequentemente. É uma preocupação de um CIO, mas pode ser muito difícil de monitorar e se defender proativamente. Sim, deve ser fácil realizar o monitoramento central, mas na prática, pode ser quase impossível identificar o uso não autorizado.
Se eu fosse um CIO, ou especialmente um CISO, questões como essa me deixariam acordado à noite.
Diante deste cenário, os processos de TI que realizam a gestão do ciclo de vida dos certificados digitais devem ser priorizados e reavaliados, pra que a instituição não atinja e paralise o negócio.
Office 365 – substituição do TLS 1.0 e 1.1. Por Adriano Frare
TLS 1.3: A tímida adoção de criptografia mais forte está ajudando os bandidos. Por Adriano Frare
Como o Google faz o gerenciamento do ciclo de vida do certificado. Por Adriano Frare
Confira mais sobre o certificado TLS, aqui você encontra conteúdo exclusivo!
O Crypto ID é a maior fonte de consulta sobre criptografia no Brasil e na América Latina
Criptografia forte é o padrão que mantém bilhões de pessoas, empresas e nações seguras todos os dias
O Crypto ID é a sua porta de entrada para o mundo fascinante da criptografia, com conteúdos que exploram desde os fundamentos da cripto-agil até as mais recentes inovações em criptografia pós-quântica a geração de chaves baseada em fenômenos quânticos com o comportamento de partículas subatômicas.
Acesse agora a Coluna Criptografia e mantenha-se atualizado sobre as últimas tendências em segurança da informação.
Gostou? Compartilhe com seus amigos e colegas!