Do caos fragmentado da criptografia à proteção uniforme de dados

Views: 188
0 0
Read Time:4 Minute, 55 Second

A criptografia é tão crítica para a segurança corporativa que é quase como o ar: é uma necessidade, está em toda parte e não podemos viver sem ela.

Na superfície, ter criptografia em todos os lugares parece uma ótima ideia. No entanto, de muitas maneiras, o impulso para alcançar a segurança de dados onipresente se prejudicou. Isso porque muitas vezes a única maneira de abordar a ubiquidade é combinando uma variedade de sistemas pontuais, fornecedores e tecnologias para cobrir dados em uma combinação vertiginosa de vários estados e locais potenciais (no local, na nuvem, em uso, em repouso e em movimento).

Isso não é apenas ineficiente, mas também aumenta a complexidade—um inimigo conhecido da segurança. Vários sistemas de criptografia separados podem causar confusão ou obscurecer qual ativo em qual área de localização está protegida, bem como quais dados, em quais estados, estão sujeitos a políticas e gerenciamento específicos. Essa miscelânea de sistemas de criptografia impede saber com toda a certeza o que é criptografado em cada estado de dados—resultando em um perímetro de dados potencialmente cheio de buracos ou sobreposições caras.

Há muitos relatos de violações de dados nas organizações que assumiram que a criptografia protegeria seus dados quando armazenados ou transmitidos. Na realidade, a criptografia não estava sendo aplicada da maneira esperada ou estava sujeita a regras ou condições que não forneciam o nível desejado de segurança. Em outras palavras, a complexidade da criptografia resultou em lacunas perigosas.

Além disso, devido à incapacidade de contar com a onipresença das proteções subjacentes, os aplicativos geralmente criam controles de segurança adicionais que sobrepõem outros mecanismos de criptografia usados em toda a organização. Deixar a segurança dos dados para o aplicativo aumenta a complexidade, o que exige que muitas instâncias de criptografia por aplicativo sejam implantadas e gerenciadas. Isso resulta, novamente, em possíveis lacunas, inconsistência de políticas ou cobertura e limitações de escala em todos os portfólios de aplicativos corporativos.

O problema mais significativo com a criptografia fragmentada é que ela geralmente cobre apenas dados armazenados ou transmitidos. Hoje, praticamente nenhuma organização estende a criptografia ao processamento ou execução de dados em tempo de execução, onde é especialmente vulnerável a maus atores ou software. Deixar os dados na memória – o padrão em praticamente todos os hosts de computador hoje – é semelhante a apenas trancar algumas portas em um prédio, mas não se preocupar em trancar todos os outros. Um princípio central da segurança é que uma entidade é tão segura quanto seu elo mais fraco. Muitas organizações assumem que seus dados estão totalmente protegidos. Eles nem estão cientes da vulnerabilidade que existe na memória não criptografada em tempo de execução. A falta de criptografia de dados em uso prejudica todos os outros controles de criptografia.

Essa lacuna de segurança de dados em uso também enfraquece todos os outros esquemas de criptografia. As chaves de criptografia geralmente são mantidas continuamente na memória, o que significa que elas são continuamente expostas à medida que são usadas continuamente. Os atacantes sabem como obtê-los e como essencialmente derrotar esses sistemas de criptografia simplesmente despejando e classificando a memória não criptografada. Para continuar a analogia, esse problema é como trancar a porta da frente, mas deixar a chave debaixo do tapete da porta.

A criptografia de dados durante o tempo de execução só recentemente se tornou viável. Esse tipo de tecnologia é incorporada diretamente à infraestrutura de nuvem pública da geração atual (incluindo nuvens da Amazon, Microsoft e outros), garantindo que os dados de tempo de execução possam ser totalmente protegidos mesmo que um invasor obtenha acesso root. A tecnologia exclui qualquer acesso não autorizado a dados usando uma combinação de criptografia de memória em nível de hardware e/ou isolamento de memória. É um passo aparentemente pequeno que abre caminho para um salto quântico na segurança de dados—especialmente na nuvem.

Infelizmente, essa proteção para dados em tempo de execução tem eficácia limitada para a TI corporativa. Usá-lo sozinho requer que cada aplicativo seja modificado para executar a implementação específica para cada nuvem pública. Geralmente, isso envolve recodificação e recompilação—um obstáculo fundamental para a adoção de equipes de entrega de aplicativos já estressadas. No final, isso se torna mais um silo de criptografia/segurança de dados para gerenciar – em cada host – adicionando ao caos da criptografia.

A TI corporativa precisa de uma única construção de software uniforme para proteger dados que cubra todos os estados de dados em qualquer lugar que elimine possíveis lacunas e complexidade. De uma perspectiva técnica, essa construção de segurança poderia se estender por provedores e nuvens, fornecendo um perímetro contínuo de proteção que também poderia ser gerenciado centralmente. Esse recurso de segurança não deve apenas tornar a segurança dos dados mais fácil de gerenciar, mas também permitir que as cargas de trabalho sejam processadas praticamente em qualquer lugar, protegidas por hardware aprimorado de segurança – encontrado em instalações de nuvem pública localizadas, mesmo em geografias não confiáveis.

Essa implementação contígua e onipresente cria outra oportunidade de impulsionar a segurança na infraestrutura e longe da complexidade da implementação no “espaço de aplicativos”. Ao aprimorar o ambiente operacional, a revisão de aplicativos para aproveitar as instalações de segurança subjacentes ao nível de hardware e ao nível de hardware torna-se desnecessária. Talvez ainda mais poderosamente, ele subsumi esses recursos como um serviço da pilha de software subjacente, criando um perímetro de dados singular, transparente e impenetrável que praticamente elimina superfícies de ataque de dados, mesmo em ambientes multinuvem.

A conclusão é, sim, criptografia em todos os lugares é uma ótima coisa. Mas quando implementado de maneira fragmentada, introduz lacunas e complexidade que as organizações não querem ou precisam. Implementar a criptografia como um sistema contínuo e integrado em toda a infraestrutura de nuvem pública permitirá que as organizações melhorem drasticamente a segurança dos dados, reduzindo a complexidade e os custos de gerenciamento.

FONTE: HELPNET SECURITY

Previous post Bug bounty ou pentest, eis a questão!
Next post Suas chaves criptográficas estão realmente seguras? Raiz de Confiança redefinida para a era da nuvem

Deixe um comentário