Muitas organizações globais, que dependem de infraestrutura de chave pública (PKI) para criptografar e autenticar dados em redes e transações online, anunciaram recentemente falhas e invasões imprevistas nos seus sistemas de segurança da informação, apesar de todos os esforços e investimentos realizados para reduzir ao máximo os riscos intrínsecos a que estão submetidos os seus dados críticos em modelos de colaboração para automação e comunicação de processos de negócios.
Esta realidade levou os especialistas da SafeNet a uma análise detalhada das principais causas dessas brechas na segurança dos sistemas por criminosos digitais, cada vez mais profissionalizados. Como resultado, a multinacional americana anuncia ao mercado brasileiro as diretrizes de segurança essenciais para tornar mais eficientes as implementações de PKI pelas empresas.
A companhia faz um alerta aos gestores corporativos da área: “a confiabilidade e a integridade dos dados em PKI deve ser baseada em hardware. Somente HSMs conseguem proteger as diversas camadas dos ambientes e todo o ciclo de vida do gerenciamento de chaves e certificados digitais.”
Segundo Paulo Vianna, gerente de Negócios da multinacional americana no mercado nacional, o conjunto de instruções dos especialistas em criptografia e autenticação de dados da SafeNet pode ajudar as empresas brasileiras a definirem uma infraestrutura com segurança forte, eliminando em quase 100% os riscos a que estão sujeitas, mesmo vinculadas às Autoridades Certificadoras (AC) confiáveis.
“Devido às características da PKI, trata-se de uma temática difícil até mesmo para tecnólogos especializados em Segurança. PKI é um processo que utiliza chaves públicas e certificados digitais para garantir a segurança do sistema e confirmar a identidade de seus usuários. Ocorre que, muitas vezes, ela é implementada de maneira incorreta, abrindo lacunas de exposição aos dados críticos, que podem impactar diretamente o modelo de negócios das organizações, como tem acontecido nesses últimos meses. Isso pode levar a uma grande instabilidade. A recente onda de violações envolvendo Autoridades Certificadoras abala até mesmo o próprio fundamento da confiança que as organizações têm em PKI. Nosso objetivo, como especialistas em criptografia e autenticação de dados, é aclarar alguns pontos essenciais do processo e resgatar a confiança nos sistemas.”, diz o executivo.
Segundo Vianna, PKI baseia-se em um processo de confiança, no qual duas partes confiam na mesma AC que verifica e confirma a identidade de ambas. Com a PKI, como a de um banco on-line e o cliente usuário, por exemplo, ambos concordam em confiar na AC, que emite seus certificados digitais. E, normalmente, o aplicativo de software que utiliza o certificado digital traz algum mecanismo para confiar na AC, mas, como o gerenciamento da confiança é executado pelo aplicativo de software e, se a identidade do certificado em si, que é a parte vital dentro da PKI, estiver comprometida, então tudo pode tornar-se um grande problema”, observa o gerente de Negócios da SafeNet Brasil.
Os especialistas da SafeNet Inc. aconselham as seguintes ações:
1. Pesquise as diversas opções de proteção, avalie os riscos e escolha sabiamente – Todas as recentes violações ocorridas em grandes empresas globais tiveram um ponto em comum: as chaves e certificados estavam protegidos por software, e assim, tornaram-se vulneráveis. Segurança baseada em software traz algumas vantagens – é portátil e de grande flexibilidade. Entretanto, um software pode ser copiado facilmente e compartilhado em vários locais ao mesmo tempo, fazendo com que seus benefícios se traduzam em maior risco à segurança, que, portanto, deve ser baseada em hardware – por HSM (hardware security module) – suportando a confiança que bloqueia as chaves privadas e só permite acesso às informações vitais a partir de uma fonte autorizada. Da mesma forma, cartões e tokens baseados em hardware, pela mesma razão, também conseguem blindar os certificados de segurança e eliminar os riscos a que estão expostos.
2. O fato de estar vinculado a uma AC (Autoridade Certificadora) não garante a segurança da infraestrutura – Mesmo que a AC seja confiável para autenticar, autorizar e validar os serviços de aplicação de uma organização é importante lembrar que o próprio certificado é a peça vital dentro da PKI. Se a chave privada do certificado estiver comprometida, o ambiente inteiro também estará. Portanto é necessário utilizar camadas de criptografia segura e selecionar as opções baseadas em hardware para assegurar a proteção nos pontos críticos de processamento.
3. Planeje a próxima geração de aplicações – Tradicionalmente, na ponta da infraestrutura de chave pública estão Autoridades Certificadoras, Autoridades de Registro (AR), servidores SSL e servidores de aplicações, que agora passam a incluir as aplicações de missão crítica de processamentos de negócio, como smart grid, transações financeiras, notas fiscais eletrônicas, assinaturas de código e fabricação de dispositivos seguros. A natureza das aplicações avançadas em PKI exige maior diligência, dado o perfil de risco que essas aplicações permitem. É fundamental estabelecer uma base de confiança para a proteção e emissão de chaves e certificados dentro destas aplicações vitais, assegurando que as chaves não podem ser roubadas e as transações possam ser realizadas por essas chaves autenticadas. “Um HSM poderia ter atenuado imensamente os danos causados pelas falhas de Segurança mais recentes. Poderia ter bloqueado ataques APT sobre ACs confiáveis, os de certificado SSL, de assinatura de código de dispositivo e até mesmo do sofisticado worm Stuxnet, que vêm abalando o mercado industrial e governos por explorar quatro distintas vulnerabilidades de Zero-Day, utilizando certificados válidos para manter o malware escondido”, conclui Paulo Vianna.
HSMs SafeNet – Definidos como uma âncora de confiança, os HSMs SafeNet fornecem proteção para aplicativos, transações online, autorizações de acesso e a todos os ativos de informação, salvaguardando as chaves criptográficas em qualquer ambiente de identidade digital. Um HSM pode garantir total proteção às chaves de certificação privadas, mantendo-as em hardware físico durante todo o ciclo de vida do gerenciamento de chaves. Esses equipamentos servem de base de proteção forte, adicionando várias camadas de segurança e protegendo as chaves contra as ameaças às quais os servidores baseados em software estão suscetíveis, já que criptografa as chaves no hardware, assegurando que permaneçam dentro do dispositivo durante todo o seu ciclo de vida.