0
0
Um novo relatório do pesquisador de segurança e especialista em TLS, Scott Helme, avalia o uso de criptografia nos principais milhões de sites do mundo nos últimos seis meses e revela a necessidade de um plano de controle para automatizar o gerenciamento de identidades de máquinas em ambientes de nuvem cada vez mais complexos.
A pesquisa sugere que, embora tenha sido feito progresso em algumas áreas, é necessária mais educação para garantir que as identidades das máquinas sejam usadas da maneira mais eficaz para proteger nosso mundo on-line:
- O uso do TLSv1.2 diminuiu 13% nos últimos seis meses, com a v1.3 em uso em quase 50% dos sites — mais do que o dobro de sites da v1.2. A adoção da v1.3 está sendo impulsionada por iniciativas de transformação digital generalizada, migração para a nuvem e novas pilhas nativas de nuvem que são padrão para a v1.3.
- Mesmo que as organizações estejam adotando protocolos TLS mais fortes, elas não estão acoplando isso com uma mudança para chaves mais fortes para identidades de máquinas TLS.
- As chaves ECDSA padrão do setor agora são usadas por apenas 17% dos sites — acima dos 14% há seis meses. Chaves RSA mais lentas e menos seguras ainda são usadas por 39% dos principais milhões de sites.
- O crescimento na adoção do HTTPS se estabilizou em 72% — o mesmo nível de dezembro.
“O fato de as empresas estarem implantando o TLS v1.3 com identidades de máquina usando chaves RSA mostra que ainda há muito progresso a ser feito com o gerenciamento de identidade da máquina. Um algoritmo forte significa muito pouco se for usado em conjunto com uma chave fraca — é semelhante à construção de uma fortaleza de pedra, mas deixando o portão de madeira desprotegido”, explicou Helme. “A adoção de chaves EDCSA mais novas, mais eficientes e mais seguras tem sido insignificante nos últimos seis meses. Isso, juntamente com o fato de que a adoção de HTTPS se estabilizou nos últimos seis meses, mostra que a internet não é mais segura do que era há meio ano. Os cibercriminosos estão constantemente aumentando a aposta, por isso é desanimador ver que as empresas não estão seguindo o exemplo.”
Let’s Encrypt continua sendo a Autoridade de Certificação (CA) de escolha para o milhão mais alto, mas a Cloudflare está compensando. Essa aceitação parece ser a força motriz por trás da adoção do TLS v1.3, com 50% dos sites implantando a v1.3 fazendo isso através do Cloudflare. O declínio no uso de certificados de Validação Estendida (EV) também continuou, com uma diminuição de 16% nos últimos seis meses, após mudanças dos fabricantes de navegadores que reduziram drasticamente o valor dos certificados EV para os proprietários de sites.
Há algumas boas notícias nesta análise. Os dados sugerem que as organizações estão tomando mais medidas para gerenciar seus ambientes de identidade de máquina. Desde dezembro, também houve um aumento de 13% no número de sites que fazem uso da autorização da Autoridade de Certificação (CAA), o que permite que as empresas criem uma lista de autoridades de certificação aprovadas que podem ser usadas dentro de suas organizações. A adoção desse controle é um sinal positivo de que as organizações parecem estar cientes da importância das identidades das máquinas na segurança geral e estão mostrando maior vigilância nas maneiras como as gerenciam.
“O recente boom na migração para a nuvem significa que todas as empresas precisam de muito mais identidades de máquinas TLS para proteger a comunicação entre dispositivos, nuvens, software, contêineres e APIs”, disse Kevin Bocek, vice-presidente de estratégia de segurança e inteligência contra ameaças da Venafi. “O fato de que mais e mais empresas estão fazendo uso da CAA é um sinal positivo de que as empresas estão despertando para a necessidade de gerenciamento de identidade da máquina. A adoção da CAA também ressalta a necessidade urgente de um plano de controle de gerenciamento de identidade da máquina que possa automatizar o uso de identidades de máquina em ambientes de nuvem cada vez mais complexos.”
FONTE: HELPNET SECURITY