CIOs estão preocupados sobre os riscos de segurança do certificado TLS

Os esforços de transformação digital levaram a uma explosão de certificados TLS para proteger os sistemas de computação modernos

Por Adriano Frare

Mas, ao fazer isso, os processos manuais ou semi-autônomos usados ​​para controlá-los não são mais adequados para o propósito.

O problema tende a piorar: 93% dos entrevistados disseram à Venafi que tinham um mínimo de 10.000 certificados TLS – TLS – Transport Layer Security – ativos, enquanto 40% disseram que tinham mais de 50.000 atualmente em uso. No entanto, quase todos (97%) dos CIOs estimaram que o número de certificados TLS usados ​​por sua organização aumentaria pelo menos 10-20% no próximo ano.

75% dos CIOs globais estão preocupados com a proliferação de certificados TLS e os crescentes riscos de segurança associados a eles, de acordo com um novo estudo da Venafi .

Mais da metade (56%) dos CIOs entrevistados no novo estudo disseram que se preocupam com interrupções e interrupções de negócios devido a esses certificados expirados.

O fornecedor de segurança entrevistou 550 CIOs dos EUA, Reino Unido, França, Alemanha e Austrália para entender melhor as atitudes em relação aos certificados cada vez mais usados ​​para proteger o fluxo de dados para máquinas confiáveis.

Isso pode levar à expiração de um grande número sem o conhecimento de TI, expondo a organização a riscos. Um estudo anterior da Venafi revelou que os profissionais de TI, em média, encontraram mais de 57.000 identidades de máquinas TLS que não sabiam que tinham em seus negócios e nuvens.

Em conjunto ao que já foi dito, temos que levar em consideração que as organizações maiores encontram é que a aquisição de certificados geralmente é descentralizada.

Algum pequeno grupo que opera com seu próprio suporte de TI sai e obtém seus próprios certificados porque não entende os processos corporativos maiores ou mesmo sabe que tais processos existem, ou eles não sentem que deveriam ter para fazer o esforço (e acho que eles podem se safar com isso).

Esses grupos acabam desempenhando um papel crítico, mas um tanto oculto, nas funções da empresa. Ninguém percebe que eles próprios saíram para a PKI até que um certificado TLS expire e funções críticas falhem. Isso não deveria acontecer em uma empresa bem administrada, mas garanto que sim.

Frequentemente. É uma preocupação de um CIO, mas pode ser muito difícil de monitorar e se defender proativamente. Sim, deve ser fácil realizar o monitoramento central, mas na prática, pode ser quase impossível identificar o uso não autorizado.

Se eu fosse um CIO, ou especialmente um CISO, questões como essa me deixariam acordado à noite.

Diante deste cenário, os processos de TI que realizam a gestão do ciclo de vida dos certificados digitais devem ser priorizados e reavaliados, pra que a instituição não atinja e paralise o negócio.

Office 365 – substituição do TLS 1.0 e 1.1. Por Adriano Frare

TLS 1.3: A tímida adoção de criptografia mais forte está ajudando os bandidos. Por Adriano Frare

Como o Google faz o gerenciamento do ciclo de vida do certificado. Por Adriano Frare

Confira mais sobre o certificado TLS, aqui você encontra conteúdo exclusivo!

Crypto ID é o maior canal sobre criptografia no Brasil!

O QUE É CRIPTOGRAFIA?

A criptografia protege a segurança pessoal de bilhões de pessoas e a segurança nacional de países ao redor do mundo.

A criptografia de ponta-a-ponta (end-to-end encryption ou E2EE) é um recurso de segurança que protege os dados durante a troca de mensagens, de forma que o conteúdo só possa ser acessado pelos dois extremos da comunicação: o remetente e o destinatário.