
Google Nest Mini x Apple HomePod Mini: pequeno confronto de alto-falantes inteligentes
May 25, 2023Os pilotos enfrentam terrenos acidentados para arrecadar fundos para as Olimpíadas Especiais
May 26, 202387ª Feira Agrícola do Condado de Iredell marcada para começar em 1º de setembro
May 27, 2023Quarenta Acres Insider: 29 de agosto
May 28, 2023Rua Roodepoort North entrando no nono dia de impotência
May 29, 2023Certificados Digitais Cheios de Fraquezas de Segurança
Home » Security Boulevard (Original) » Certificados digitais repletos de falhas de segurança
Um estudo publicado hoje descobriu que 79% dos certificados na Internet são vulneráveis a ataques man-in-the-middle (MitM), com até 10% expirados ou autoassinados (15%) de uma forma considerada insegura.
O estudo, conduzido pela Enterprise Management Associates em nome da AppViewX, um provedor de gerenciamento automatizado de identidade de máquina (MIM) e serviços de segurança de infraestrutura de aplicativos, também descobriu que apenas 21% dos servidores na Internet estão usando a versão 1.3 do Transport Layer Security (TLS). ) protocolo que permite a criptografia.
No total, 45% dos endereços IP analisados que estão expostos a vulnerabilidades não corrigidas também tinham certificados expirados (22%) ou certificados autoassinados (23%).
Christian Simko, vice-presidente de marketing de produto da AppViewX, observou que o número de certificados expirados só vai aumentar. O Google está defendendo que as organizações renovem os certificados TLS a cada 90 dias. A maioria das organizações, no entanto, não possui processos que lhes permitam automatizar essas renovações, disse Simko.
Em geral, seria aconselhável que os profissionais de segurança cibernética tivessem cuidado com os ataques MitM, que muitas vezes são difíceis de detectar, uma vez que os cibercriminosos retransmitem secretamente e potencialmente alteram as comunicações entre as partes. Protocolos como a versão mais recente do TLS incluem alguma forma de autenticação de endpoint verificada por uma autoridade de certificação terceirizada para evitar ataques MITM. O desafio é o uso contínuo e generalizado de certificados SSL (Secure Socket Layer) mais antigos, que são muito mais simples de comprometer.
Apesar de as interrupções continuarem a ocorrer porque os certificados não foram renovados, muitas organizações ainda não incorporaram o gerenciamento de certificados nos fluxos de trabalho DevOps que já usam para implantar aplicações web, observou Simko. Como resultado, o gerenciamento de certificados ainda é um processo manual que muitas organizações ignoram porque não há um lembrete de renovação gerado automaticamente, acrescentou.
Com efeito, cada certificado digital, se não for renovado, representa uma potencial bomba-relógio capaz de perturbar qualquer número de processos empresariais. Num mundo ideal, as organizações teriam visibilidade sobre quais certificados digitais poderiam potencialmente perturbar fluxos de trabalho específicos. Isso é especialmente crítico à medida que mais organizações adotam iniciativas de transformação digital de negócios que dependem da atualização contínua de certificados válidos.
Parte do problema é simplesmente que, em muitas organizações, existe uma clara falta de responsabilidade no gerenciamento de certificados digitais. Em muitos casos, o administrador de TI que inicialmente forneceu um certificado deixou a empresa. O único registro de que o certificado existe é uma planilha há muito enterrada que pode ou não ser verificada antes que o certificado expire.
É claro que, se o Google conseguir o que quer, o gerenciamento de certificados se tornará um processo contínuo, e não um evento esporádico. Isso deve ajudar a melhorar a segurança cibernética à medida que mais organizações adotam as versões mais recentes do TLS sempre que os certificados precisam ser atualizados. Entretanto, no entanto, as organizações podem querer assumir que as coisas vão piorar antes de melhorarem, à medida que os cibercriminosos se tornam mais hábeis em explorar as fraquezas dos certificados existentes que podem não expirar antes do lançamento do próximo ataque cibernético.

