Você treina seu time sobre certificados SSL/TLS?
21 de setembro de 2022Os Certificados digitais TLS/ SSL – Transport Layer Security ou SSL – Secure Sockets Layer que era a denominação das versões anteriores ao TLS, são certificados utilizados para criptografia e identificação digital de empresas, máquinas e aplicações no meio eletrônico.
Artigo escrito por TrustCert
Um recurso de segurança indispensável para qualquer empresa seja para os sites de compras, sites institucionais ou para a segurança de servidores web internos em que se armazena informações sensíveis de clientes e das próprias organizações.
Simplificadamente, os certificados digitais TLS/SSL são apresentados nas seguintes versões:
– Por tipo de verificação de identidade da empresa titular do certificado: DV – Validação de Domínio, OV – Validação de Organização e EV – Validação Estendida.
– Por tipo de emissão: Domínio único, SANs – Múltiplos Domínios, Wildcard
Veja o quadro abaixo:
São informações básicas, mas que nem todos dominam.
Não é de hoje que ocorrem as invasões aos servidores web para extração de informações com o objetivo de venda de dados financeiros ou de saúde, que são os mais valiosos, também para prática de espionagem industrial e, de uns anos para cá, acompanhamos o crescente aumento da prática do Ransomware e o TLS/SSL é a tecnologia indispensável no rol de recursos e soluções para a proteção de dados.
Não basta só adquirir o certificado SSL
E é importante entendermos que não basta só adquirir certificados SSL para sua organização. É preciso também que sua equipe tenha conhecimento sobre o que é, para que serve, quais são as características de cada tipo SSL e como instalar corretamente para eliminar os riscos de invasão por cada tipo de servidor. Será que todos sabem responder:
– Quais são os tipos de certificados SSL que sua organização precisa para cada máquina, cada tipo de informação armazenada e/ou em trânsito e, por fim, para proteger cada tipo de aplicação?
– Qual será a forma de adquirir os certificados? Por Domínio único, SANs – Múltiplos Domínios ou Wildcard?
– Sua organização pode adquirir diferentes de SSL para funções distintas?
– Como configurar corretamente os servidores para a instalação dos certificados SSL?
– Como administrar a expiração dos certificados SSL (função extremamente crítica)?
– Como renovar e regogar os certificados SSL?
Portanto, dependendo do segmento de negócios da organização sua equipe terá atenção a outros requisitos de segurança a serem cumpridos como por exemplo no caso das instituições financeiras brasileiras que precisam cumprir as determinações do BACEN. Nesse caso, estamos falando além dos certificados SSL de raiz internacional, outros 16 tipos de certificados específicos para o SPB – Sistema de Pagamento Brasileiro.
Muitas vezes, diretores e gerentes de segurança da informação imaginam que sua equipe tem conhecimento avançado sobre SSL, mas a realidade é outra.
As ações a serem executadas em relação a gestão dos certificados acabam sendo delegadas aos profissionais mais novos na empresa e são assimiladas sem, no entanto, que esses novos profissionais tenham conhecimento razoável dos protocolos e certificados com os quais estão trabalhando.
Muitas vezes nós, fornecedores dos certificados SSL, percebemos que alguns profissionais que selecionam, adquirem e fazem a gestão dos certificados não possuem conhecimento avançado sobre o que estão executando. E isso acontece mesmo dentro de empresas que tradicionalmente adquirem um grande volume de certificados SSL anualmente.
Tipos de vulnerabilidades que a má instalação pode causar as organizações
A indústria de Ransomware e, até outros tipos de hacks, evoluem tecnicamente com muita velocidade porque estão bem estruturados, são altamente técnicos e possuem recursos financeiros para investir em tecnologia e desenvolvimento de novas formas de ataque.
Além de monitorarem os ambientes com o uso de IA – Inteligência Artificial a expiração dos certificados SSL – muitas vezes melhor que as próprias empresas donas dos certificados SSLs – essas organizações buscam incessantemente brechas para a invasão.
Esses grupos hacks adotam estratégia e tática aprimoradas em cada ataque e uma invasão pode ser planejada e até mesmo ocorrer anos antes do ataque ser concretizado de fato.
Treinamento SSL
Sendo assim a TrustCert resolveu preparar um treinamento completo sobre protocolos de segurança e certificados SSL/TLS para o mercado brasileiro visando preparar os participantes para a gestão 360º dos certificados TLS/SSL.
Será o melhor treinamento já executado no mercado brasileiro sobre o SSL destinado para times de segurança da informação, area de compras e para DPOs.
Além dos participantes aprenderem sobre os tipos os certificados, instalação nas diferentes estruturas operacionais, configurações de ambiente, o treinamento abordará, também, as principais atividades hacks do momento além de orientar como se prevenir desses tipos de ataques e vai orientar como agir em caso de ataques.
Para saber mais sobre esse treinamento que será online e presencial, você deve a acompanhar a Truscert nas redes sociais e escrever para contato@trustcert.com.br.
Sobre TrustCert
O principal objetivo do lobo é proteger aqueles que estão sob sua guarda!
Sua postura inspira confiança, respeito e segurança da mesma forma que o certificado Trustcert, que com astúcia, inteligência e sociabilidade protege o seu site como um lobo faz com sua alcateia
Trustcert – O certificado SSL com tudo que você precisa, direto ao ponto!
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.