Três quartos dos CIOs em boa parte do mundo estão preocupados com a proliferação de certificados TLS e os crescentes riscos à segurança associados a eles, de acordo com um novo estudo da Venafi, empresa de segurança cibernética que desenvolve software para proteger chaves criptográficas e certificados digitais.
Certificado TLS (Transport Layer Security) é um protocolo de segurança que protege as comunicações via internet feitas por meio de serviços como e-mail (SMTP) e a navegação dos usuários por páginas (HTTPS) contra vazamentos e ataques de hackers.
O estudo observa que os esforços de transformação digital levaram a uma explosão de certificados TLS para proteger os sistemas de computação modernos, mas os processos manuais ou semiautônomos usados para gerenciá-los não são os mais adequados à segurança, já que podem levar à expiração de grandes números de certificados sem o conhecimento da área de TI, expondo a organização a riscos.
Um estudo anterior da Venafi revelou que, em média, os profissionais de TI encontraram mais de 57 mil identidades de máquinas TLS que que não sabiam que tinham em seus negócios e nuvens. Agora, mais da metade (56%) dos CIOs consultados no novo estudo disseram estar preocupados com interrupções dos negócios devido a esses certificados expirados.
Veja isso
CISOS e CIOs dizem não ter capacidade de resistir a ataque na nuvem pública
Relatório apregoa que CISOs devem ser transformacionais
A previsão é que o problema vai piorar: 93% dos entrevistados disseram ter, no mínimo, 10 mil certificados TLS ativos, enquanto 40% disseram ter mais de 50 mil atualmente em uso. No entanto, quase todos (97%) CIOs estimam que o número de certificados TLS usados por sua organização aumentaria pelo menos de 10% a 20% no próximo ano.
O vice-presidente de estratégia de segurança e inteligência de ameaças da Venafi, Kevin Bocek, acredita que os CIOs provavelmente estão subestimando o número de identidades de máquinas TLS que atualmente usam. “Como resultado, eles desconhecem o tamanho da superfície de ataque e os riscos operacionais que essas identidades desconhecidas da máquina trazem para sua organização. Quer se trate de interrupções debilitantes de certificados expirados ou de invasores ocultos no tráfego criptografado por longos períodos, os riscos são muitos”, disse ele à Infosecurity.
A única maneira de eliminar esses riscos, segundo ele, é descobrir, monitorar e automatizar continuamente o ciclo de vida de todos os certificados TLS em toda a rede corporativa – e isso inclui certificados de curta duração usados nos ambientes de nuvem, virtual e DevOps. Para o levantamento foram entrevistados 550 CIOs dos EUA, Reino Unido, França, Alemanha e Austrália, com o propósito de entender melhor as atitudes em relação aos certificados que cada vez mais usados para proteger dados que fluem para máquinas confiáveis.
