Use criptografia centralizada em ambientes de TI em larga escala
31 de março de 2020A criptografia centralizada surge para resolver um grande desafio para as empresas atualmente. A proteção e a confidencialidade dos dados são sempre as principais prioridades de TI
Por E-Val Tecnologia
Nem sempre é fácil atingir esses objetivos em ambientes de data center e nuvem em larga escala.
Um componente crítico de muitos métodos de criptografia corporativa é o gerenciamento centralizado, algo especialmente importante em ambientes de data center e nuvem em larga escala.
Para isso, um servidor de gerenciamento de chave de criptografia pode fornecer essa centralização e também ser dimensionado para oferecer suporte a praticamente todos os recursos de TI que requerem serviços de criptografia.
Isso torna uma estrutura de gerenciamento de chave de criptografia mais escalável em comparação com uma única chave de criptografia mantida por um único usuário.
No entanto, para evitar riscos à segurança, tenha muito cuidado com quem tem acesso à infraestrutura centralizada de gerenciamento de chaves.
Criptografia centralizada em ambientes virtualizados
No campo da virtualização, a maioria dos fornecedores de hipervisores, como VMware , Nutanix e Microsoft, suporta nativamente a criptografia centralizada de máquinas virtuais (VMs) ou dos discos de armazenamento, embora isso geralmente produza custos adicionais.
Além disso, diferentes fornecedores têm implementações específicas da tecnologia de criptografia, mas todos compartilham o mesmo objetivo geral: o uso de um servidor de gerenciamento de chaves para controlar centralmente o acesso às chaves de criptografia.
Os métodos variam entre eles, mas todos funcionam de maneira semelhante.
Criptografia centralizada na nuvem
Ao contrário dos ambientes locais, uma VM na nuvem é uma das muitas em uma matriz de armazenamento e os dados são espalhados por dezenas de discos em uma única estrutura tecnológica.
Algumas dúvidas surgem quando se coloca dados e aplicações na nuvem: como: eu irei proteger essas informações? Se sim quais tecnologias eu irei utilizar?
Se usar criptografia para proteger os dados, onde ficará minhas chaves criptográficas? Na VM que está hospedado o dado ou aplicação não é uma recomendação interessante.
Pois uma vez que o atacante tem acesso a chave ele poderá utilizá-la para remover a proteção dos dados e daí é como se você fecha-se uma porta e deixa-se a chave na fechadura, ou seja, de nada adianta aplicar técnicas de criptografia se você não protege as chaves da forma correta.
Novamente, um servidor ou serviço de gerenciamento de chaves habilita esse processo, mas em vez de usar chaves de criptografia geradas por fornecedores, o que daria aos fornecedores de nuvem acesso às VMs dos usuários, as empresas podem trazer suas próprias chaves protegidas com suas próprias senhas e controle de acesso permissões.
Mas realmente é preciso realizar uma gestão centralizada da criptografia em ambientes de TI em larga escala?
Será que a responsabilidade sobre as chaves de criptografia não pode ser feita por cada usuário? Na teoria sim, porém na realidade isso não é seguro.
Para você ter ideia, as ameaças internas representam um risco de segurança significativo para as empresas.
Segundo especialistas da área de proteção de dados e criptografia, mais de 60% das organizações sofreram um ataque de ameaça interna. Será que vale o risco? Certamente não.
No geral, existem três tipos comuns de ameaças internas:
1. Com pessoas comprometidas, como um funcionário cujas credenciais (chaves de criptografia) foram roubadas.
2. Funcionários negligentes, por exemplo, se um funcionário extraviar um laptop ou enviar um email incorretamente;
3. Pessoas maliciosas, incluindo funcionários descontentes, que cometem atos como roubo, fraude, sabotagem, espionagem e chantagem.
Sem o uso da criptografia centralizada, essas ameaças podem ter um impacto ainda maior para o negócio em virtude do vazamento de dados sensíveis. Abaixo temos exemplos de cinco ameaças internas comuns que representam um perigo para a proteção e privacidade dos dados.
1. Explorar informações via software de acesso remoto
Uma quantidade considerável de violações são realizadas externamente por meio de ferramentas de acesso remoto.
É menos provável que os usuários sejam pegos roubando dados confidenciais quando podem fazê-lo fora do local.
Além disso, laptops desprotegidos, por exemplo, podem acabar nas mãos de um invasor se deixados sem vigilância, perdidos ou roubados. Várias ferramentas de acesso remoto, como o RDP (Microsoft Remote Desktop Protocol ), são particularmente suscetíveis à violação.
2. Ameaças de terceiros
Terceiros que têm acesso aos sistemas corporativos, pense em contratados, funcionários em meio período, clientes, fornecedores e prestadores de serviços, que podem apresentar um risco maior para dados confidenciais.
Portanto, colaboradores terceirizados também podem deixar os dados confidenciais e prejudicarem a reputação da empresa.
Um exemplo que teve bastante destaque foi o ocorrido na violação da empresa Target em 2013, na qual os dados do cliente foram roubados depois que as credenciais de um contratado foram obtidas por hackers.
No últimos anos, a incidência de casos relativos a violação de dados e a perda de privacidade devido a falta do uso da criptografia centralizada tem aumentado drasticamente, causando grandes prejuízos para as empresas e clientes.
3. Vazamento de dados por e-mail e mensagens instantâneas
Informações confidenciais incluídas ou anexadas a um e-mail ou mensagem instantânea podem facilmente e, muitas vezes, sem intenção, acabar em mãos erradas.
Esse é um dos tipos mais fáceis de ameaças internas que podem ocorrer.
4. Compartilhamento inseguro de arquivos
Independentemente de você permitir ou não software de compartilhamento de arquivos, como Dropbox ou Google Drive, ou ferramentas de colaboração como IM, Slack ou Skype, é provável que estejam na sua rede.
Os serviços em si não são o problema, é como eles são usados que causa problemas. Basta uma configuração incorreta simples para servir as unidades locais e de rede da sua rede ao mundo.
5. Descuido em sua rede sem fio
Um dos tipos mais involuntários de ameaças internas é o uso inseguro da rede sem fio.
Seja em uma cafeteria, aeroporto ou hotel, as redes sem fio não seguras podem facilmente colocar dados sensíveis em risco. Basta dar uma olhada nas comunicações por email ou na transferência de arquivos para que informações valiosas sejam roubadas.
As redes Wi-Fi são mais suscetíveis a esses ataques, mas não ignore o Bluetooth em smartphones e tablets. Além disso, se você tiver LANs sem fio em sua organização, os funcionários poderão usá-las para explorar a rede após o expediente.
O relatório ” 2019 Verizon Data Breach Investigations ” afirmou que 34% de todas as violações de dados no ano anterior foram resultado de atores internos, acima de 28% e 25% em 2017 e 2016, respectivamente.
Se você implementar estratégias de mitigação sozinho, elas funcionarão no curto prazo.
Para um valor comercial de longo prazo, além de adotar a criptografia centralizada, verifique se eles estão associados a um programa de ameaças internas, treinamento de conscientização do usuário, políticas e processos internos.
Agora imagine um cenário, que hoje já é realidade para muitas empresas, no qual há uma quantidade enorme de certificados digitais a serem gerenciados pela organização.
Por isso, o uso efetivo de soluções de criptografia centralizada, associado a métricas de segurança para determinar se suas ações estão funcionando adequadamente, pode fornecer excelente proteção contra todos os tipos de ameaças internas, comprometidas, negligentes e maliciosas.
Rede Blockchain perdeu cerca de US $ 4,5 bilhões em crimes de criptografia em 2019
Aplicar criptografia com eficácia ainda é um desafio para proteger dados de empresas. Ouça
Sobre a E-val Tecnologia
A E-VAL Tecnologia atua há mais de 15 anos oferecendo soluções de segurança da informação para o mercado, pioneira em iniciativas no uso da certificação digital no Brasil, tais como, SPB, COMPE, Autenticação, Assinatura digital de contratos, Gerenciamento de Chaves e Proteção de dados e armazenamento de chaves criptográficas para os segmentos de instituições financeiras, educação e indústria.
Fonte: E-Val Tec
Mais uma polêmica envolvendo a criptografia nos serviços de mensagem do Facebook
Serviços eletrônicos proporcionam mobilidade, mas estão seguros?
Criptografia como Serviço: a conformidade com LGPD não precisa custar milhões à sua companhia
Criptografia Simétrica e Assimétrica: Qual a diferença entre elas?