Últimas notícias

Fique informado
Use criptografia centralizada em ambientes de TI em larga escala

Use criptografia centralizada em ambientes de TI em larga escala

31/03/2020

Spotlight

Leia o Parecer de Plenário sobre a MP 983/20 e diversos artigos e entrevistas

Leia também outros artigos e entrevistas sobre a MP 983 2020 publicados pelo Portal Crypto ID

12/08/2020

Câmara aprova MP 983 2020 que amplia uso de assinatura eletrônica

Todos os sistemas que utilizam assinatura eletrônica precisarão se adaptar às novas regras da MP983/2020 até o dia 1º de julho de 2021.

12/08/2020

Como gerenciar seus certificados TLS sob as novas regras do Google?

Em 01 de setembro de 2020, os principais navegadores passam a bloquear certificados TLS que têm um período superior a 398 dias.

10/08/2020

Quatro motivos para investir na autenticação de múltiplos fatores com Inteligência Artificial

Uma maneira de resolver problemas de acessos de usuários é aplicar sistemas de autenticação de múltiplos fatores, como a autenticação condicional.

10/08/2020

Presidente do ITI fala sobre a CertLive que abordou as MPs 951 e 983

Conversamos com Carlos Roberto Fortner sobre a primeira CertLive recebeu parlamentares e integrantes do governo brasileiro em torno das MPs 951 e 983 de 2020.

31/07/2020

Associações da Sociedade Civil manifestam seu apoio à aprovação da MP 951/2020

A MP autoriza a emissão dos certificados digitais, no padrão da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, por meio de videoconferência.

31/07/2020

O pequeno herói e sua conexão com a tecnologia para acesso ilimitado e seguro

Neste ebook apresentamos a história do pequeno herói neerlandês e sua conexão com a tecnologia do SafeSign e todo o ecossistema de soluções da AET – Unlimited access to your world.

22/07/2020

RSA Conference homenageou os maiores inovadores e colaboradores da área de criptografia e matemática

Radboud e Rijmen, co-projetaram a AES no final dos anos 90 e foram escolhidas como cifra padrão pelo Instituto Nacional de Padrões e Tecnologia (NIST) em 2000.

26/02/2020

A criptografia centralizada surge para resolver um grande desafio para as empresas atualmente. A proteção e a confidencialidade dos dados são sempre as principais prioridades de TI

Por E-Val Tecnologia

Nem sempre é fácil atingir esses objetivos em ambientes de data center e nuvem em larga escala.

Um componente crítico de muitos métodos de criptografia corporativa é o gerenciamento centralizado, algo especialmente importante em ambientes de data center e nuvem em larga escala.

Para isso, um servidor de gerenciamento de chave de criptografia pode fornecer essa centralização e também ser dimensionado para oferecer suporte a praticamente todos os recursos de TI que requerem serviços de criptografia.

Isso torna uma estrutura de gerenciamento de chave de criptografia mais escalável em comparação com uma única chave de criptografia mantida por um único usuário.

No entanto, para evitar riscos à segurança, tenha muito cuidado com quem tem acesso à infraestrutura centralizada de gerenciamento de chaves.

Criptografia centralizada em ambientes virtualizados

No campo da virtualização, a maioria dos fornecedores de hipervisores, como VMware Nutanix Microsoft, suporta nativamente a criptografia centralizada de máquinas virtuais (VMs) ou dos discos de armazenamento, embora isso geralmente produza custos adicionais.

Além disso, diferentes fornecedores têm implementações específicas da tecnologia de criptografia, mas todos compartilham o mesmo objetivo geral: o uso de um servidor de gerenciamento de chaves para controlar centralmente o acesso às chaves de criptografia.

Os métodos variam entre eles, mas todos funcionam de maneira semelhante.

Criptografia centralizada na nuvem

Ao contrário dos ambientes locais, uma VM na nuvem é uma das muitas em uma matriz de armazenamento e os dados são espalhados por dezenas de discos em uma única estrutura tecnológica.

Algumas dúvidas surgem quando se coloca dados e aplicações na nuvem: como: eu irei proteger essas informações? Se sim quais tecnologias eu irei utilizar?

Se usar criptografia para proteger os dados, onde ficará minhas chaves criptográficas? Na VM que está hospedado o dado ou aplicação não é uma recomendação interessante.

Pois uma vez que o atacante tem acesso a chave ele poderá utilizá-la para remover a proteção dos dados e daí é como se você fecha-se uma porta e deixa-se a chave na fechadura, ou seja, de nada adianta aplicar técnicas de criptografia se você não protege as chaves da forma correta.

Novamente, um servidor ou serviço de gerenciamento de chaves habilita esse processo, mas em vez de usar chaves de criptografia geradas por fornecedores, o que daria aos fornecedores de nuvem acesso às VMs dos usuários, as empresas podem trazer suas próprias chaves protegidas com suas próprias senhas e controle de acesso permissões.

Mas realmente é preciso realizar uma gestão centralizada da criptografia em ambientes de TI em larga escala?

Será que a responsabilidade sobre as chaves de criptografia não pode ser feita por cada usuário? Na teoria sim, porém na realidade isso não é seguro.

Para você ter ideia, as ameaças internas representam um risco de segurança significativo para as empresas.

Segundo especialistas da área de proteção de dados e criptografia, mais de 60% das organizações sofreram um ataque de ameaça interna. Será que vale o risco? Certamente não.

No geral, existem três tipos comuns de ameaças internas:

1. Com pessoas comprometidas, como um funcionário cujas credenciais (chaves de criptografia) foram roubadas.

2. Funcionários negligentes, por exemplo, se um funcionário extraviar um laptop ou enviar um email incorretamente;

3. Pessoas maliciosas, incluindo funcionários descontentes, que cometem atos como roubo, fraude, sabotagem, espionagem e chantagem.

Sem o uso da criptografia centralizada, essas ameaças podem ter um impacto ainda maior para o negócio em virtude do vazamento de dados sensíveis. Abaixo temos exemplos de cinco ameaças internas comuns que representam um perigo para a proteção e privacidade dos dados.

1. Explorar informações via software de acesso remoto

Uma quantidade considerável de violações são realizadas externamente por meio de ferramentas de acesso remoto.

É menos provável que os usuários sejam pegos roubando dados confidenciais quando podem fazê-lo fora do local.

Além disso, laptops desprotegidos, por exemplo, podem acabar nas mãos de um invasor se deixados sem vigilância, perdidos ou roubados. Várias ferramentas de acesso remoto, como o RDP (Microsoft Remote Desktop Protocol ), são particularmente suscetíveis à violação.

2. Ameaças de terceiros

Terceiros que têm acesso aos sistemas corporativos, pense em contratados, funcionários em meio período, clientes, fornecedores e prestadores de serviços, que podem apresentar um risco maior para dados confidenciais.

Portanto, colaboradores terceirizados também podem deixar os dados confidenciais e prejudicarem a reputação da empresa.

Um exemplo que teve bastante destaque foi o ocorrido na violação da empresa Target em 2013, na qual os dados do cliente foram roubados depois que as credenciais de um contratado foram obtidas por hackers.

No últimos anos, a incidência de casos relativos a violação de dados e a perda de privacidade devido a falta do uso da criptografia centralizada tem aumentado drasticamente, causando grandes prejuízos para as empresas e clientes.

3. Vazamento de dados por e-mail e mensagens instantâneas

Informações confidenciais incluídas ou anexadas a um e-mail ou mensagem instantânea podem facilmente  e, muitas vezes, sem intenção, acabar em mãos erradas.

Esse é um dos tipos mais fáceis de ameaças internas que podem ocorrer.

4. Compartilhamento inseguro de arquivos

Independentemente de você permitir ou não software de compartilhamento de arquivos, como Dropbox ou Google Drive, ou ferramentas de colaboração como IM, Slack ou Skype, é provável que estejam na sua rede.

Os serviços em si não são o problema, é como eles são usados ​​que causa problemas. Basta uma configuração incorreta simples para servir as unidades locais e de rede da sua rede ao mundo.

5. Descuido em sua rede sem fio

Um dos tipos mais involuntários de ameaças internas é o uso inseguro da rede sem fio.

Seja em uma cafeteria, aeroporto ou hotel, as redes sem fio não seguras podem facilmente colocar dados sensíveis em risco. Basta dar uma olhada nas comunicações por email ou na transferência de arquivos para que informações valiosas sejam roubadas.

As redes Wi-Fi são mais suscetíveis a esses ataques, mas não ignore o Bluetooth em smartphones e tablets. Além disso, se você tiver LANs sem fio em sua organização, os funcionários poderão usá-las para explorar a rede após o expediente.

O relatório ” 2019 Verizon Data Breach Investigations ” afirmou que 34% de todas as violações de dados no ano anterior foram resultado de atores internos, acima de 28% e 25% em 2017 e 2016, respectivamente.

Se você implementar estratégias de mitigação sozinho, elas funcionarão no curto prazo.

Para um valor comercial de longo prazo, além de adotar a criptografia centralizada, verifique se eles estão associados a um programa de ameaças internas, treinamento de conscientização do usuário, políticas e processos internos.

Agora imagine um cenário, que hoje já é realidade para muitas empresas, no qual há uma quantidade enorme de certificados digitais a serem gerenciados pela organização.

Por isso, o uso efetivo de soluções de criptografia centralizada, associado a métricas de segurança para determinar se suas ações estão funcionando adequadamente, pode fornecer excelente proteção contra todos os tipos de ameaças internas, comprometidas, negligentes e maliciosas.

Rede Blockchain perdeu cerca de US $ 4,5 bilhões em crimes de criptografia em 2019

Aplicar criptografia com eficácia ainda é um desafio para proteger dados de empresas. Ouça

Sobre a E-val Tecnologia

E-VAL Tecnologia atua há mais de 15 anos oferecendo soluções de segurança da informação para o mercado, pioneira em iniciativas no uso da certificação digital no Brasil, tais como, SPB, COMPE, Autenticação, Assinatura digital de contratos, Gerenciamento de Chaves e Proteção de dados e armazenamento de chaves criptográficas para os segmentos de instituições financeiras, educação e indústria.

Fonte: E-Val Tec

Mais uma polêmica envolvendo a criptografia nos serviços de mensagem do Facebook

Serviços eletrônicos proporcionam mobilidade, mas estão seguros?

Criptografia como Serviço: a conformidade com LGPD não precisa custar milhões à sua companhia

Criptografia Simétrica e Assimétrica: Qual a diferença entre elas?

Todas as atualizações sobre criptografia você encontra aqui!

  Explore outros artigos!