Melhores práticas 11-10-2022

Previsões de segurança da DigiCert para 2023

DigiCert
digicert-blogimages-mar22

Com a chegada dos últimos meses de 2022 e a proximidade das festas de fim de ano, este é um bom momento para considerar o futuro da segurança, da tecnologia e da confiança digital.

Neste ano, percebemos uma intensificação dos ataques, e as cadeias de suprimento de software se tornaram dos criminosos. Na verdade, em um estudo recente com 1.000 CIOs, 82afirmaram que suas organizações estão vulneráveis a ataques cibernéticos direcionados a cadeias de suprimento de software. Em outras palavras: os profissionais da segurança sempre têm algo com que se divertir. E o que esperar de 2023? Nossos especialistas em segurança cibernética, incluindo Avesta Hojjati, Dean Coclin, Mike Nelson, Srinivas Kumar, Stephen Davidson, Steve Job e Tim Hollebeek, conversaram sobre o que esperar no próximo ano.

A computação quântica vai exigir uma criptografia mais ágil

Com a tecnologia atual, derrotar a criptografia de 2048 bits exige um tempo inimaginável. No entanto, um computador quântico poderia fazer isso em meses. No ano passado, prevemos grandes avanços no mundo da computação pós-quântica, quando o Instituto Nacional de Padrões e Tecnologia (NIST) do Departamento de Comércio dos EUA avaliou algoritmos de criptografia que poderiam enfrentar tanto a invasão de computadores tradicional quanto aquela baseada em computação quântica.

Agora, o NIST escolheu o primeiro grupo de ferramentas de criptografia projetadas para suportar o ataque de um futuro computador quântico. Os quatro algoritmos de criptografia selecionados farão parte do padrão de criptografia pós-quântica do NIST. Conforme esse padrão for desenvolvido, prevemos um foco crescente na necessidade de agilidade criptográfica, já que os computadores quânticos representam uma ameaça significativa às interações online seguras. Embora a incorporação dos algoritmos selecionados pelo NIST possa levar vários anos, as organizações precisam começar a se preparar agora, pois tentar acompanhar o ritmo da era pós-quântica poderá ser inútil.

Para se preparar para a era da criptografia pós-quântica, o setor deve aprimorar a agilidade criptográfica, que é a capacidade de um sistema de segurança de alternar rapidamente entre mecanismos de criptografia, com foco na visibilidade e na movimentação dinâmica dos ativos de criptografia de uma organização. Embora a era quântica possa parecer uma realidade distante, o fato é que as comunicações que ocorrem agora, e não no futuro, estão em risco. Agilidade criptográfica significa que as organizações sabem como a criptografia está sendo usada, que elas têm as ferramentas para identificar e corrigir problemas e que estabelecem políticas definidas de melhores práticas de criptografia. Ela também inclui a capacidade de testar novos algoritmos de criptografia. Prevemos que a agilidade criptográfica logo se tornará uma vantagem competitiva.

O Matter se tornará um padrão em todos os lares

O Matter é um padrão de casa inteligente e uma linguagem comum para que dispositivos inteligentes se comuniquem. Ele é um padrão global que une o setor de dispositivos conectados. O objetivo do Matter é simplificar o mercado e permitir que dispositivos de casa inteligente funcionem juntos em várias plataformas. Alguns dos nomes mais conhecidos em tecnologia de casa inteligente, incluindo Google, Apple, Amazon e Samsung, estão por trás do Matter, que está posicionado para conquistar consumidores e fabricantes do setor.

Prevemos que o logotipo do Matter se tornará o símbolo preferido dos consumidores de tecnologia de casa inteligente. Consumidores que buscam dispositivos de casa inteligente irão procurar esse nome. Casas inteligentes terão um dispositivo compatível com o Matter em algum momento de 2023. O Matter se tornará um padrão reconhecível, como o Bluetooth. Como exemplo de sua rápida adoção, o Matter tem suporte no Apple iOS 16 mais recente.

Isso também significa que os fabricantes de dispositivos conectados não querem esperar para adotar a conformidade com o Matter. Esses fabricantes podem exibir o logotipo do Matter em seus dispositivos para que os clientes saibam que se conectarão com segurança e sem impedimentos com seus produtos favoritos. Sem dúvida, ele será o padrão preferido dos consumidores que compram dispositivos de casa conectada, por isso é essencial que você garanta essa conformidade agora.

A assinatura de código provocará uma corrida para a nuvem

Os certificados de assinatura de código são usados pelos desenvolvedores de software para assinar digitalmente aplicativos, drivers, arquivos executáveis e programas de software e permitir que os usuários finais verifiquem que o código recebido não foi alterado ou comprometido por um terceiro. Eles incluem sua assinatura, o nome da sua empresa e um carimbo de data/hora. Certificados de assinatura de código OV (Organization Validation) são necessários para comprovar a legitimidade.

Os certificados de assinatura de código OV estão mudando. Logo, eles serão emitidos em hardware de segurança física, de maneira semelhante à forma como os certificados de assinatura de código EV são emitidos. Em junho de 2023, segundo o órgão regulador do setor de SSL CA/B Forum, as chaves privadas para certificados de assinatura de código OV precisarão ser armazenadas em dispositivos que atendam aos padrões FIPS 140 Level 2, Common Criteria EAL 4+ ou a padrões de segurança equivalentes. Com isso, as certificações serão entregues ao cliente em um dispositivo USB, fornecido no módulo de segurança de hardware do cliente.

Prevemos que com essas mudanças um grande número de clientes irá migrar para a nuvem, em vez de lidar com um token de hardware que precisa ser substituído. Também esperamos que toda assinatura de código passe a ser baseada na nuvem, pois os clientes não vão querer se preocupar com uma chave de hardware.

Ataques de cadeia de suprimento de software transformarão 2023 no ano da SBOM

Ataques de cadeia de suprimento de software, como os conhecidos incidentes que afetaram a SolarWinds e a Kaseya, enfatizaram a importância de entender as dependências de seu software. Em 2021, o presidente dos EUA Joe Biden assinou uma ordem executiva para aperfeiçoar a segurança cibernética do país, exigindo que os vendedores de software fornecessem aos compradores federais uma lista de materiais de software (SBOM) para cada aplicativo de software. Uma SBOM é uma lista de todos os componentes de software de um aplicativo, incluindo todas as bibliotecas do código do aplicativo, além de serviços, dependências, composições e extensões.

Cada vez mais, empresas do setor privado precisam fornecer SBOMs, pois muitos de seus clientes agora exigem as listas como parte de seu contrato de serviços com um fornecedor de software. Analistas do setor de segurança acreditam que as SBOMs logo se tornarão a prática padrão do processo de compras.

Um memorando mais recente do Office of Management and Budget (OMB) vai mais além, incluindo novos requisitos de segurança que as agências federais precisam atender em relação a questões de segurança da cadeia de suprimento de software. Esse memorando exige que os produtores de software atestem a conformidade com a orientação do NIST. Assim, as empresas que desejam vender seu software para o governo precisarão avaliar e comprovar sua conformidade com as diretrizes do NIST.

Isso significa que os produtores de software precisarão se envolver mais no processo de garantir que seus produtos sejam seguros – e para isso a visibilidade será crucial. Devido às informações e à visibilidade que a SBOM proporciona para cadeias de suprimento de software, prevemos que ela será adotada de forma ampla em 2023. Embora no momento a maioria dos requisitos ocorra em nível federal, a SBOM deve chegar aos mercados comerciais em breve.

Os SIMs físicos serão substituídos pelas tecnologias eSIM e iSIM

Muitos já conhecem o SIM (Subscriber Identity Module), um cartão removível em um celular que precisa ser trocado quando o dispositivo host muda de rede. Uma versão mais recente é o eSIM (Embedded eSIM), lançado como alternativa à tecnologia SIM tradicional. Um eSIM ainda é um cartão físico, mas ele fica conectado ao dispositivo de forma permanente. É possível atualizar os dados de um eSIM com uma solução de provisionamento de SIM remoto (RSP).

A novidade é o iSIM (Integrated SIM), muito menor e mais seguro do que os SIMs físicos. O iSIM não requer um processador separado e é consideravelmente menor, não ocupando tanto espaço no hardware. O iSIM fica em uma área segura e confiável dentro da arquitetura SOC (system-on-a-chip) de um dispositivo. Ele incorpora a funcionalidade do SIM ao processador principal do dispositivo.

Alguns líderes do setor, incluindo a Qualcomm e a Vodafone, demonstraram uma prova de conceito do iSIM que pode dispensar o slot do SIM. Prevemos que a nova geração de smartphones irá eliminar a funcionalidade de hardware SIM tradicional e adotará o eSIM e o iSIM como a base da confiança.

A identidade digital e a carteira digital da UE se tornarão o modelo mundial

A Identidade Digital Europeia é uma iniciativa da Comissão Europeia sob o Regulamento eIDAS que criará um sistema de identificação unificado em toda a Europa. Com ela, cidadãos europeus poderão usar versões eID de um documento de identificação oficial em um aplicativo de carteira móvel segura para uso em assinaturas eletrônicas e autenticação online. Além disso, as carteiras vão armazenar " atestados de atributos eletrônicos” – outros aspectos de identidade, como uma qualificação profissional – que podem ser apresentados com a identidade pessoal ou de forma separada. A UE tem projetos transfronteiriços significativos em áreas como serviços financeiros, educação e saúde.

Prevemos que, assim como Apple Pay e Google Pay foram adotados amplamente como pagamentos digitais, a Identidade Digital Europeia se tornará o modelo de identidade digital que o resto do mundo tentará copiar. Com a estrutura legal e as políticas implementadas para adoção no continente, os usuários começarão a se sentir mais confiantes em adotar a carteira digital para armazenar e compartilhar credenciais quando necessário. É claro que a adoção ampla da identidade digital significa que também precisamos ampliar o panorama da confiança digital.

A importância do DNS cresce também

A importância do DNS continuará a crescer com base na contínua expansão da automação do DevOps e da infraestrutura como código.

Conforme as equipes de desenvolvimento continuam a trabalhar de forma remota e global, a maior dependência da integração e do desenvolvimento contínuos nunca foi tão importante para atender metas de desempenho. Com desenvolvedores se conectando a implantações e sistemas em todo o mundo, a capacidade de automatizar alterações de DNS nunca foi tão importante.

A infraestrutura como código continuará a crescer como uma melhor prática para organizações de todos os portes. Ambientes de servidor de grande porte serão implantados e automatizados para fornecer automação e previsibilidade.

Serviços de DNS com mais tempo de atividade, maior velocidade e propagação de DNS rápida serão ferramentas essenciais para as organizações. APIs, SDKs e integrações bem-definidas serão vitais para que uma organização seja produtiva e confiável

Os criminosos vão explorar o Zero Trust

Conforme o Zero Trust avança para se tornar a abordagem de segurança padrão em sistemas de TI, prevemos que os adversários mudarão suas táticas de ataque para superar as estruturas Zero Trust.

Os adversários irão implantar novas tecnologias e aumentar sua taxa de sucesso em ataques futuros. Tecnologias como inteligência artificial e aprendizado de máquina adversário podem ser implantadas por um invasor experiente a fim de encontrar fragilidades em uma estrutura Zero Trust implantada incorretamente. Esse é mais um exemplo de que implantar uma nova estrutura não é o capítulo final. A evolução constante das estruturas de segurança é essencial, já que as abordagens adversariais mudarão conforme criarmos e implantarmos novas barreiras.

Já vimos como os adversários podem usar IA e ML para neutralizar soluções de segurança de prateleira ou para realizar ataques fuzzy baseados em IA. O futuro vai mostrar como uma abordagem Zero Trust dinâmica pode nos proteger de um adversário experiente.