Você é cripto-ágil para responder rapidamente às mudanças nas ciberameaças?

Gonzalo Álvarez Marañón    10 noviembre, 2020
Você é cripto-ágil para responder rapidamente às mudanças nas ciberameaças?

Uma empresa é considerada ágil se for capaz de responder rapidamente às mudanças do mercado, adaptando-se para manter a estabilidade. Agora, sem criptografia não há segurança e sem segurança não há negócio. Portanto, em última análise, a agilidade de um negócio será condicionada por sua criptoagilidade.

E o que uma empresa precisa para ser cripto-ágil? Poder adotar uma alternativa ao método de criptografia em uso quando se mostrar vulnerável, com impacto mínimo na infraestrutura da organização. Quanto mais rápido e automatizado for o processo de substituição de um algoritmo criptográfico (ou seus parâmetros), maior será a cripto-agilidade do sistema.

Na criptografia, nenhum algoritmo é totalmente “seguro”, na melhor das hipóteses é “aceitável”

A definição de segurança em criptografia é contingente. Quando um algoritmo é considerado seguro, na realidade, o que se quer dizer é que atualmente não há risco de segurança conhecido quando usado de acordo com as diretrizes adequadas. A palavra-chave aqui é “atualmente”, porque o que é considerado seguro hoje muito provavelmente deixará de ser amanhã , devido aos avanços na computação (computador quântico à vista?), Avanços na criptoanálise, avanços no hardware e avanços na matemática. Em outras palavras, um algoritmo é considerado seguro se for computacionalmente inviável quebrá-lo hoje.

A descoberta de vulnerabilidades em criptos sistemas e a retirada de algoritmos afetados são inevitáveis ​​com o tempo. É por isso que você precisa ser cripto-ágil: para ser capaz de atualizar os métodos de criptografia usados ​​nos protocolos, sistemas e tecnologias que você usa assim que novas vulnerabilidades são descobertas… ou mesmo antes que elas apareçam!

E você não precisa apenas pensar nas vulnerabilidades. No Mundo Real™, a criptografia deve estar em conformidade com os regulamentos e padrões, que em muitos casos exigirão mudanças nos algoritmos de criptografia e protocolos de comunicação.

Como encontrar criptoagilidade

O pior momento para avaliar sua criptografia é depois que um acordo ocorreu com o mundo inteiro correndo como uma galinha sem cabeça. Ser cripto-ágil implica controle total sobre os mecanismos e processos criptográficos de sua organização . Obter esse controle não é uma tarefa fácil porque, como o Gartner aponta em seu relatório Better Safe Than Sorry: Preparing for Crypto-Agility:

  • Os algoritmos criptográficos quebram “repentinamente” , pelo menos do ponto de vista do usuário final. Apesar de haver crônicas de mortes anunciadas, como a do SHA-1, há organizações que nem sabem até que ocorra o incidente, quando é tarde demais para trocar o algoritmo por outro sem impacto na organização.
  • A maioria das organizações não tem conhecimento de sua criptografia: que tipo de criptografia usam, quais aplicativos a usam ou como ela é usada.
  • Os desenvolvedores geralmente permanecem cegos para os detalhes das bibliotecas de funções criptográficas, portanto, eles programam dependências criptográficas enquanto ignoram a flexibilidade das bibliotecas. Isso pode tornar a correção ou resposta difícil ou imprevisível no caso de um incidente.
  • Os algoritmos de código aberto são geralmente considerados seguros porque qualquer pessoa pode auditar, mas as análises do seu aplicativo real são raras.

Nesse contexto, toda organização deve se preparar para o pior. Como? De acordo com o Gartner, essa preparação envolve:

  • Inclua a criptoagilidade desde o design no desenvolvimento de aplicativos ou no fluxo de trabalho de aquisição de aplicativos de terceiros .
    • Todo o software criado internamente deve estar em conformidade com os padrões de segurança criptográficos aceitos pelo setor, como Suite B ou FIPS 140-3; ou com os regulamentos e padrões atuais, como o RGPD.
    • É conveniente utilizar frameworks de desenvolvimento, como JCA ou .NET, que abstraem a criptografia, facilitando a substituição de alguns algoritmos por outros sem alterar o código. Da mesma forma, existem outras linguagens e bibliotecas que favorecem a reutilização e substituição rápida de código criptográfico, que deve ser priorizado em relação a alternativas menos flexíveis.
    • Ao adquirir aplicativos de terceiros, certifique-se de que o provedor siga as diretrizes acima. Todo software e firmware deve incluir as mais recentes técnicas criptográficas e algoritmos considerados seguros.
  • Aplicativos de inventário que usam criptografia e identificam e avaliam sua dependência de algoritmos. Preste atenção especial aos sistemas de gerenciamento de identidade e acesso, as infraestruturas de chave pública (PKI) em uso em sua organização e como as chaves são gerenciadas. Este trabalho tornará mais fácil para você avaliar o impacto de uma violação de criptografia e permitirá que você determine o risco para aplicativos específicos e priorize planos de resposta a incidentes.
  • Inclua alternativas criptográficas e um procedimento de troca de algoritmo em seus planos de resposta a incidentes: por exemplo, a identificação e substituição de algoritmos, a extensão ou modificação de comprimentos de chave e a recertificação de alguns tipos de aplicativos. No caso de dispositivos de hardware, pergunte ao fabricante como eles lidam com as mudanças de chave e algoritmo. Esteja preparado se, em caso de comprometimento, você precisar descriptografar dados privados com uma chave ou algoritmo desatualizado para recriptografá-los com uma nova chave ou algoritmo. E não se esqueça de incluir dispositivos IoT em seu inventário, porque alguns vêm com chaves pré-carregadas e pouca flexibilidade criptográfica e são implantados em campo por muitos anos.

Vulnerabilidades, regulamentações, computadores quânticos,… Mudanças criptográficas espreitam de todos os cantos. A aplicação dessas práticas recomendadas aumentará sua criptoagilidade para reagir rapidamente a ameaças cibernéticas.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *