2020 traz níveis únicos de desafios de uso do PKI

Views: 153
0 0
Read Time:5 Minute, 13 Second

As organizações estão aumentando rapidamente o tamanho, o escopo e a escala de sua infraestrutura de proteção de dados, refletidos em aumentos dramáticos na adoção de infraestrutura de chaves públicas (PKI)em empresas em todo o mundo, de acordo com a pesquisa da Entrust.

O PKI está no centro de quase todas as infraestruturas de TI, permitindo a segurança para iniciativas digitais críticas, como nuvem, implantação de dispositivos móveis, identidades e ioT.

O estudo anual é baseado no feedback de mais de 1.900 profissionais de segurança de TI em 17 países.

IoT, autenticação e nuvem, principais drivers no crescimento do uso de PKI

À medida que as organizações se tornam mais dependentes de informações digitais e enfrentam ataques cibernéticos cada vez mais sofisticados, elas dependem do PKI para controlar o acesso aos dados e verificar as identidades de pessoas, sistemas e dispositivos em uma escala de massa.

A IoT é a tendência de crescimento mais rápido que impulsiona a implantação de aplicativos PKI, subindo 26% nos últimos cinco anos para 47% em 2020, com os serviços baseados em nuvem o segundo driver mais alto citado por 44% dos entrevistados.

O uso de PKI aumenta para casos de uso de nuvem e autenticação

Os certificados TLS/SSL para sites e serviços voltados para o público são o caso de uso mais citado para credenciais PKI (84% dos entrevistados).

Os aplicativos baseados em nuvem pública tiveram o crescimento mais rápido em relação ao ano anterior, citado por 82%, um aumento de 27% em relação a 2019, seguido pela autenticação de usuários corporativos por 70% dos entrevistados, um aumento de 19% em relação a 2019. Todos ressaltam a necessidade crítica do PKI no suporte a aplicações corporativas principais.

O número médio de certificados que uma organização precisa gerenciar cresceu 43% no estudo de 2020 em relação ao ano anterior, de 39.197 para 56.192 certificados, destacando um requisito fundamental para a gestão de certificados corporativos.

O aumento provavelmente é impulsionado pela transição do setor para períodos de validade de certificados mais curtos e pelo crescimento acentuado nos casos de uso de usuários de nuvem e de usuários corporativos.

Desafios, mudanças e incertezas

O estudo constatou que os profissionais de segurança de TI estão enfrentando novos desafios para permitir que os aplicativos usem o PKI. 52% citaram a falta de visibilidade dos recursos de segurança existentes do PKI como seu principal desafio, um aumento de 16% em relação ao estudo de 2019.

Essa questão ressalta a falta de experiência em segurança cibernética disponível até mesmo nas organizações mais bem-aproveitadas, e a necessidade de especialistas em PKI que possam criar roteiros corporativos personalizados com base em práticas recomendadas de segurança e operacionais.

Os entrevistados também citaram a incapacidade de alterar aplicativos legados e a incapacidade de seus PKIs existentes de suportar novos aplicativos como desafios críticos – ambos em 51%.

Quando se trata de implantar e gerenciar um PKI, os profissionais de segurança de TI são os mais desafiados por questões organizacionais, como nenhuma propriedade clara, habilidades insuficientes e recursos insuficientes.

Os números de implantação do PKI do estudo indicam claramente uma tendência para abordagens mais diversificadas, com as ofertas como serviço se tornando ainda mais prevalentes do que as ofertas presenciais em alguns países.

As duas maiores áreas de mudança e incerteza do PKI vêm de novas aplicações, como IoT (52% dos entrevistados) e mandatos e padrões externos (49%). O ambiente regulatório também está impulsionando cada vez mais a implantação de aplicativos que usam PKI, citados por 24% dos entrevistados.

As práticas de segurança não acompanharam o crescimento

Nos próximos dois anos, uma média estimada de 41% dos dispositivos IoT dependerá principalmente de certificados digitais para identificação e autenticação. A criptografia para dispositivos IoT, plataformas e repositórios de dados, enquanto cresce, está em apenas 33% – um potencial ponto de exposição para dados confidenciais.

Os entrevistados citaram várias ameaças à segurança de IoT, incluindo alterar a função de dispositivos IoT através de malware ou outros ataques (68%) e controle remoto de um dispositivo por um usuário não autorizado (54%).

No entanto, os respondentes classificaram os controles relevantes para a proteção contra malware – como fornecer patches e atualizações com segurança para dispositivos IoT – em última parte de uma lista dos cinco recursos de segurança de IoT mais importantes.

O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST)recomenda que os módulos criptográficos para as autoridades de certificados(CAs),os principais servidores de recuperação e os respondentes OCSP sejam validados para o nível 3 ou superior do FIPS 140-2.

Trinta e nove por cento dos entrevistados neste estudo usam módulos de segurança de hardware (HSMs) para proteger seus PKIs, na maioria das vezes para gerenciar as chaves privadas para suas CAs raiz, emissão ou política. No entanto, apenas 12% dos entrevistados indicam o uso de HSMs em suas instalações osCP, demonstrando uma diferença significativa entre as melhores práticas e as práticas observadas.

“A PKI sustenta a segurança tanto do mundo dos negócios quanto do consumidor, desde a assinatura digital de transações e aplicativos para provar a origem, bem como a integridade, até o apoio à autenticação de smartphones, consoles de jogos, passaportes cidadãos, bilheteria de transporte coletivo e mobile banking, diz Larry Ponemon,fundador do Instituto Ponemon.

“O Global PKI e IoT Trends Study de 2020 mostra um aumento no uso de credenciais PKI para aplicativos baseados em nuvem e autenticação de usuários corporativos, ressaltando a criticidade do PKI no suporte a aplicativos corporativos principais.”

“Estamos vendo uma crescente dependência do PKI justaposta com lutas de equipes internas para adaptá-lo às novas necessidades de mercado — impulsionando mudanças nos modelos e métodos tradicionais de implantação do PKI”, diz John Grimm,vice-presidente de estratégia de soluções digitais da Entrust.

“Em áreas mais novas como a IoT, as empresas estão claramente falhando em priorizar mecanismos de segurança, como a assinatura de firmware que combateriam as ameaças mais urgentes, como o malware.

“E com o aumento maciço de certificados emitidos e adquiridos encontrados no estudo deste ano, a importância do gerenciamento automatizado de certificados, uma abordagem flexível de implantação de PKI e uma forte segurança baseada em práticas recomendadas, incluindo HSMs, nunca foi tão grande.”

FONTE: HELPNET SECURITY

Previous post Ransomware: como evitar a onda perigosa de ataques
Next post FireEye Stories – Quão segura é sua infraestrutura de trabalho remoto?

Deixe um comentário