Felipe Contin Sampaio 3:26 PM (0 minutes ago) to me

BR +55 11 3069 3925 | USA +1 469 620 7643

Compliance

e Auditoria

Auditoria

PCI DSS

SOX

ISO 27001

HIPAA

NIST

LGPD

Indústria 4.0

Padrões ISA 62443

Segurança e

Gestão de Risco

Abuso de Privilégios

Acesso de Terceiros

Gravação de Acesso Privilegiado

Insider Threat

Prevenção Contra Roubo de Dados

Senhas Hardcoded

Password Reset

Soluções

Por Indústria

Energia e Serviços Públicos

Soluções Financeiras

Solução Governamental

Solução de Saúde

Solução Legal

Solução de Telecomunicações

Solução de Varejo

Depoimentos

senhasegura

Ver depoimentos

360º Privilege Platform

Account and

Session

PAM Core

Domum

Remote Access

PAM SaaS

MySafe

GO Endpoint

Manager

GO Endpoint

Manager Windows

GO Endpoint

Manager Linux

DevOps Secret

Manager

DevOps Secret

Manager

Multi

Cloud

Cloud IAM

CIEM

Certificate

Manager

Certificate

Manager

Privileged

Infrastructure

PAM Crypto Appliance

PAM Virtual Crypto Appliance

PAM Load Balancer

Delivery : On Cloud (SaaS) | On-premises | Hybrid

Serviços

e Suporte

Documentação

Solution Center

Treinamento e Certificação

Implantação e Consultoria

PAMaturity

PAM 360º

Política de suporte

Recursos

senhasegura

Materiais Ricos

Casos de Estudo

Mídia

Adesivos senhasegura

ARTIGOS

DE BLOG

Sua empresa está preparada contra um ataque cibernético?

Os Pilares da Segurança da Informação

7 sinais de que sua empresa precisa melhorar a segurança de dados sigilosos

Leia mais artigos sobre cibersegurança

Informações

Técnicas

Como Funciona

Arquitetura do Produto

Integração

Segurança

Alta Disponibilidade

Privileged Auditing (Configuration)

Privileged Change Audit

Recursos e

Funcionalidades

Integração ITSM

Análise de Comportamento

Análise de Ameaças

Proteção de Informações Privilegiadas

Scan Discovery

Task Management

Gestão de Sessão (PSM)

Identidade de Aplicações (AAPM)

Gestão de Chaves SSH

Programa de

Parceria Affinity

Sobre o Programa

Torne-se um Parceiro

MSSP Affinity Partner Program

Security Alliance Program

Academy | E-learning for Certification

Portal

Affinity

Portal dedicado aos Parceiros para que encontrem materiais de apoio para uso comercial de marketing do senhasegura.

Portal Affinity

Registro de

Oportunidade

Para que nossa equipe comercial apoie a sua venda de forma eficaz, solicite aqui a sua reserva de oportunidade.

Registre sua Oportunidade

Encontre

Um Parceiro

Trabalhamos juntos para entregar a melhor solução para a sua empresa.

Veja todos os parceiros do senhasegura

Sobre a

Empresa

Sobre nós

Conquistas

Por que senhasegura

Press Release

Imprensa

Eventos

Carreira

Presença no Mundo

Termos de Uso

Contrato de Licença de Usuário Final (EULA)

Política de Privacidade e Cookies

Política de Segurança da Informação

Certificações senhasegura

Depoimentos

senhasegura

Ver depoimentos

Últimos

Relatórios

Relatório Gartner PAM Magic Quadrant 2021

Relatório KuppingerCole Leadership Compass 2021

Relatório GigaOm Radar 2021

Gartner PAM Magic Quadrant 2020

Gartner Critical Capabilities para PAM 2020

Information Services Group, Inc. (ISG)

Relatório KuppingerCole Leadership Compass: PAM 2020

Contate nosso time

Solicite uma Demonstração

A importância do gerenciamento de Certificados Digitais

por | nov 1, 2018 | Blog

A criptografia já existe há algum tempo; O interessante é como isso evoluiu. O cenário está mudando desde o passado, quando tínhamos mainframes e grande poder de computação – com tudo se tornando menor devido à proliferação de dispositivos móveis e IoT. Mais e mais certificados digitais estão sendo colocados em telefones, iPads, dispositivos Android e até mesmo em objetos que simplesmente têm conexões Bluetooth que exigem autenticação. Grandes empresas que estão produzindo dispositivos da Internet das Coisas (IoT) precisam saber como protegê-las. Até mesmo os carros agora se conectam em rede e, portanto, tem a necessidade de atualizar o firmware. Como resultado, há uma explosão de certificados digitais e, como negócio, é difícil gerenciar esses certificados usando um método como planilhas Excel, por exemplo. O uso de certificados para autenticação resulta na necessidade de gerenciar um grande volume deles, com o objetivo de ser mais proativo do que reativo. É importante colocar em perspectiva como sua equipe de segurança deseja gerenciar seus certificados digitais. Se você se esquecer de substituir um certificado em um único dispositivo ou servidor, ou se tiver uma lista de revogação que esqueceu de substituir, tal equívoco pode derrubar toda a sua rede.

Considere a Amazon, por exemplo. Para cada transação que a Amazon faz, um certificado é gerado. Se a infraestrutura de chave pública (PKI) da Amazon cair, eles perderão milhões de dólares por segundo. Portanto, ter certificados digitais em funcionamento e contar com eles para dar suporte às funções e tarefas diárias do negócio exige proatividade.

Existem dois tipos de impactos críticos em certificados digitais:

1. Interrupção

Impacto potencial nos negócios:

  • Perda de renda
  • Insatisfação do cliente

As interrupções acontecem quando um certificado é revogado e não é substituído, ou o ciclo de vida expirou. Às vezes, no que se refere ao gerenciamento de certificados, pode haver um único certificado que expirou, mas 400 caixas precisam ser substituídas. Se um deles for perdido ou for usado de maneira inadequada, uma interrupção poderá ocorrer.

2. Violação

Impacto potencial nos negócios:

  • Perda de dados
  • Danos à reputação
  • Multas

Os certificados usados ​​para assinatura digital permitem que o proprietário do certificado tenha a prova de assinatura de um documento e a verificação de identidade no momento da assinatura digital. Se um certificado for violado, você não será mais confiável. No mundo financeiro, por exemplo, isso pode resultar em multas como resultado da expiração do certificado e das funcionalidades que não estão funcionando ou funcionando incorretamente. Se houver uma violação em um site de comércio eletrônico, por exemplo, os visitantes serão expostos se inserirem dados de cartão de crédito porque não serão criptografados quando passarem para o servidor do site de comércio eletrônico.

Com isso dito, o que é o gerenciamento de certificados digitais? O objetivo é ter uma visibilidade completa de todos os certificados de forma holística, identificando os que são mais importantes para os negócios e concentrando a energia em garantir que eles estejam funcionando, não sejam comprometidos e não expirem. Muitas vezes, no entanto, o gerenciamento de certificados digitais é visto como uma tarefa de manutenção relativamente baixa, já que, dependendo da duração dos seus certificados, você só precisa se preocupar com a expiração a cada 1 a 5 anos. O problema é que essa perspectiva permite um erro humano. Se o funcionário responsável pelo gerenciamento de certificados digitais sair de férias na semana em que um certificado expirar, sua empresa poderá estar em risco. O objetivo do gerenciamento adequado de certificados digitais é estar ativamente engajado em garantir que os certificados estejam em funcionamento.

Há muitas tarefas críticas que acompanham o gerenciamento de certificados corporativos, e ignorar ou manipular incorretamente qualquer uma delas pode preparar o terreno para uma exploração de aplicativo da Web.

Para aqueles que são novos no gerenciamento de certificados, tarefas envolvidas podem ser surpreendentes. Por exemplo, os certificados precisam ser comprados, implantados e renovados quando expirarem. Isso tudo leva tempo, especialmente quando multiplicado pelas dezenas ou até centenas de aplicativos e domínios existentes em muitas empresas.

Depois, há a questão de garantir que cada certificado esteja correto para o aplicativo da Web com o qual está sendo emparelhado. É necessário ter certificados de Validação Estendida, que são mais caros porque são fornecidos e controlados por uma autoridade de certificação (CA) confiável?  Ou os certificados de baixa garantia (mais baratos) seriam apropriados, para aplicativos da Web não públicos, por exemplo?

O conjunto de ofertas de fornecedores de certificados é confuso. Existem vários níveis diferentes de validação oferecidos, diferentes tipos de hash, comprimentos e garantias (que na verdade protegem o usuário final, não o proprietário do certificado). Pode ser difícil saber que tipo de certificado é necessário para um aplicativo específico.

Pior ainda, pesquisadores descobriram que mais da metade das empresas já perdeu um certificado digital, ou havia certificados em sua rede cujas origens não puderam ser contabilizadas. Isso pode acontecer porque um desenvolvedor ou outro funcionário criou um certificado sem avisar ninguém, um problema que muitas vezes ninguém sabe.

A maioria das empresas gerencia uma variedade de certificados digitais manualmente com planilhas. Isso pode levar a erros, como certificados perdidos, incompatíveis ou rotulados incorretamente. Os certificados podem expirar inadvertidamente, o que significa que as autoridades de certificação não consideram mais um site ou aplicativo da Web seguro e confiável. Isso pode ser um erro muito caro se um aplicativo da Web afetado estiver voltado para o público. Pode causar danos à reputação da organização ou os navegadores dos visitantes podem bloquear totalmente o acesso ao site. Essa situação tem sido a causa de muitas interrupções de sistemas e é frequentemente uma das últimas causas que os administradores investigam, contribuindo significativamente para mais tempo de inatividade.

Outro problema ocorre se a CA que emitiu o certificado da organização estiver comprometida, como já aconteceu com a DigiNotar, Comodo e a TurkTrust, por exemplo. Os certificados são revogados por outras autoridades de certificação, portanto, quando um cliente se conecta ao servidor afetado, o certificado não é mais válido. Sem o gerenciamento apropriado dos certificados em um nível corporativo, é impossível dizer quantos dos seus certificados não são mais válidos.

Felizmente, existem soluções para o dilema do gerenciamento de certificados corporativos, sendo uma das mais eficazes a automação. Ferramentas automatizadas podem pesquisar uma rede e registrar todos os certificados descobertos. Essas ferramentas geralmente podem atribuir certificados a proprietários e podem gerenciar a renovação automática de certificados. O software também pode verificar se o certificado foi implantado corretamente para evitar o uso incorreto de um certificado antigo. No entanto, as ferramentas automatizadas não são perfeitas e podem exigir alguma intervenção manual, pois o scanner pode perder certificados armazenados em locais aos quais não têm acesso.

Ao adquirir uma dessas ferramentas automatizadas, verifique se o software pode gerenciar certificados de todas as CAs. Alguns só gerenciam certificados emitidos por uma autoridade de certificação específica, e é fácil perder alguns dos certificados no seu domínio, mesmo que você acredite que só usa um provedor.

É essencial para um bom gerenciamento de certificados corporativos que certos eventos sejam planejados e gerenciados. Os procedimentos devem ser escritos e comunicados, detalhando o que deve acontecer se uma autoridade de certificação for invadida e como os certificados na rede da organização devem ser substituídos. O rastreamento de certificados da CA comprometida é demorado se não for planejado antecipadamente.

Se sua organização estiver fazendo o gerenciamento de certificados manualmente, talvez seja hora de investigar uma alternativa automatizada, mesmo que você saiba que conhece todos os seus certificados. Você pode ter uma surpresa.

Conheça a nossa solução de gerenciamento de certificados digitais.

Força de senha: como criar senhas fortes para as credenciais?

A força de senha é um dos critérios considerados na criação de políticas de senhas. Afinal, essa é uma das medidas mais eficientes para evitar que as senhas sejam violadas. E se preocupar com isso é de suma importância para as organizações nos dias atuais. Isso porque...
Leia mais

As principais causas de vazamentos de dados

Vazamentos de dados ocorrem sempre que um usuário ou organização têm suas informações sigilosas expostas, colocando em risco a segurança e a privacidade de empresas e pessoas. Saiba mais! O Data Breach Investigation Report 2022, conduzido pelo Ponemon Institute,...
Leia mais

O que é o relatório SOC 2 e qual a sua importância para o senhasegura?

O SOC 2 fornece um relatório após finalizar a auditoria. Recentemente o senhasegura conquistou este marco, providenciando detalhes sobre os princípios de confidencialidade, integridade de processamento, disponibilidade e segurança da informação. Quer saber mais sobre...
Leia mais

O que é um ataque de movimento lateral e como ele ocorre?

Um ataque de movimento lateral ocorre quando o cibercriminoso obtém acesso a um alvo inicial para mover-se entre os dispositivos dentro da rede sem que sua presença seja notada. Neste artigo, explicamos detalhadamente o que são ameaças laterais e como evitá-las. Quer...
Leia mais

Por que as organizações governamentais são o alvo favorito dos criminosos cibernéticos?

O segmento governamental foi um dos mais atacados por hackers no último trimestre de 2022. Saiba mais! Nos últimos anos, agentes maliciosos têm demonstrado propensão a atacar organizações governamentais, inclusive por meio de ransomware, embora os governos não estejam...
Leia mais

Construindo um Plano de Resposta a Incidentes para ransomwares

Ransomware é um tipo de ataque cibernético em que os atacantes maliciosos bloqueiam os computadores de suas vítimas e exigem resgate para desbloquear. Nesse texto, mostramos como criar um plano de resposta a incidentes envolvendo ramsomware. Quer saber tudo sobre o...
Leia mais