A criptografia de tráfego da Web (também conhecida como SSL, TLS, HTTPS) tem sido a norma para a maioria dos serviços da Web, especialmente para aplicativos SaaS corporativos, como Salesforce, Microsoft Outlook 365 e Skype. Para ajudar a proteger esse tráfego contra espionagem e possível exposição de dados confidenciais, a criptografia de ponta a ponta é uma medida de segurança crítica e eficaz para reduzir riscos.
As organizações, no entanto, enfrentam uma gama muito mais ampla de ameaças, incluindo ransomware e outras formas de malware transmitido pela Web, violações de dados e muito mais. Para resolver isso, ferramentas de segurança como filtragem de URL, antivírus, sandbox, Data Loss Prevention (DLP), Cloud Access Security Brokers (CASB), para citar alguns, são implantadas e encarregadas de inspecionar todo o tráfego da web.
Embora a maioria dos profissionais de segurança acredite que a combinação certa de ferramentas de segurança manterá seus usuários e organizações seguros, uma prática amplamente prevalente chamada “fixação de certificados” impede que essas ferramentas forneçam a proteção que lhes foi confiada.
O que é fixação de certificado e como isso coloca sua organização em risco?
As ferramentas de segurança de rede implementam suas proteções inspecionando o tráfego da web à medida que ele flui através delas. Para o tráfego criptografado, isso exige que eles o descriptografem para obter a visibilidade necessária. A maioria das ferramentas de segurança resolve isso realizando o que é conhecido como inspeção SSL. Sem entrar em detalhes técnicos, diremos apenas que isso geralmente é feito usando certificados autoassinados e uma técnica conhecida como man-in-middle. Na maioria das vezes, isso funciona muito bem, até que eles encontrem um serviço que usa fixação de certificado. Novamente, sem se aprofundar muito, a fixação de certificados é um mecanismo usado pelos serviços da Web para evitar a inspeção man-in-the-middle, que faz com que qualquer tentativa de encerrar a conexão e impeça os usuários de realizarem seu trabalho, causando frustração e impactando os negócios.
A única maneira de habilitar esses serviços é ignorar a inspeção SSL, inutilizando seus produtos de segurança e deixando seus usuários expostos a ameaças.
Quão comum é o uso de fixação de certificado? Ele é usado por todos os serviços mencionados acima: Salesforce, Microsoft 365 Outlook e Skype, bem como por muitos outros aplicativos de negócios comumente usados: Dropbox, Google Drive, Webex Teams, Amazon Drive, DocuSign e muitos mais.
Os fornecedores de segurança estão muito conscientes desta deficiência e desenvolveram soluções que não dependem da inspeção SSL. As soluções são baseadas em API e, sem entrar em muitos detalhes, diremos apenas que elas têm duas desvantagens muito críticas. A primeira é que eles não fornecem proteção em tempo real. Eles contam com um alerta enviado pelo provedor de SaaS que precisa ser visualizado, analisado e só então acionado. Isso pode levar de minutos a horas e, às vezes, dias, quando normalmente é tarde demais para impedir uma violação.
Em segundo lugar, esta solução só pode ser aplicada a aplicações SaaS sancionadas das quais a empresa tenha conhecimento e para as quais tenha implementado a solução. Com mais de 85% dos aplicativos SaaS não sancionados, isso deixa uma parte significativa da superfície de ataque SaaS completamente descoberta, mesmo para alertas posteriores.
As soluções baseadas em API estão claramente longe de serem ideais para fornecer a segurança que sua organização precisa.
Como podemos superar a fixação de certificados?
O problema está na abordagem man-in-the-middle que as ferramentas tradicionais usam. Isso se aplica a soluções fornecidas como dispositivos implantados na borda, físicos ou virtuais, bem como a serviços fornecidos em nuvem (por exemplo, SWG em nuvem, CASB, SSE/SASE).
Ao mover o local de implantação para o próprio navegador, podemos superar essa limitação. Como o navegador tem visibilidade do tráfego de saída antes de ser criptografado e do tráfego de entrada depois de descriptografado, a inspeção do tráfego nesse ponto de interseção permite o insight necessário para detectar e bloquear ameaças com eficácia. Isso permite cobertura de segurança completa com proteção em tempo real para todo o tráfego da web, inclusive para serviços que usam fixação de certificado.
Colocar a segurança da web no navegador traz muitos outros benefícios, incluindo melhor desempenho e experiência do usuário, já que o tráfego pode ser enviado diretamente para seu destino, também visibilidade dos componentes do navegador, como extensões arriscadas, e visibilidade das ações não autorizadas do usuário no navegador, como copiar e colar dados confidenciais, bem como inseri-los nas ferramentas Gen AI. Ele também oferece benefícios de TCO, reduzindo o número de soluções necessárias e eliminando a necessidade de soluções complementares, como segurança baseada em API.
A extensão LayerX Enterprise Browser integra-se nativamente com qualquer navegador, transformando-o no espaço de trabalho mais seguro e gerenciável. As empresas usam LayerX para proteger seus dispositivos, identidades, dados e aplicativos SaaS contra ameaças transmitidas pela Web e riscos de navegação, como vazamento de dados pela Web, aplicativos SaaS e ferramentas GenAI, extensões maliciosas de navegador, phishing, invasão de contas e muito mais.
Solicite uma demonstração do LayerX aqui.