Gestão de Identidades de Máquina, preocupações e desafios

O conceito de Gestão de Acesso e Identidade (IAM) já é bem conhecido entre os líderes de TI e cibersegurança, que se preocupam com a autorização e autenticação de usuários humanos, mas o que dizer das máquinas? Hoje em dia, muito da comunicação e das transações eletrônicas são feitas entre dispositivos, incluindo desde servidores a sensores IoT, não entre pessoas, então não seria recomendável destinar identidades a cada uma dessas máquinas e, da mesma forma que é feita pelas soluções IAM, gerenciá-las e protegê-las? Essas identidades de máquina vêm na forma de chaves criptográficas, certificados digitais e outros recursos.

Diante da necessidade de adotar o princípio de confiança zero (“não confie em nada, valide tudo”) nos ambientes de TI afetados cada vez mais pela insegurança e incerteza, as identidades de máquina têm-se tornado essenciais para estabelecer relações confiáveis entre dispositivos e cargas de trabalho entre os mais variados ecossistemas. “No entanto, as decisões sobre ferramentas de soluções de Gestão de Identidades de Máquina (MIM) geralmente não recebem atenção suficiente nas organizações, segundo o Garnter.

A boa notícias é que mais líderes de TI e cibersegurança estão reconhecendo a necessidade de ter uma estratégia para gerenciar Identidades de máquinas. De acordo com uma pesquisa realizada pelo Ponemon Institute e publicada pela Keyfactor que compilou dados da América do Norte, Europa, Oriente Médio e África levantados entre profissionais das áreas de TI, incluindo cibersegurança, infraestrutura, operações e desenvolvimento, 66% dos entrevistados disseram em estar familiarizados ou muito familiarizados com o conceito MIM.

Outro ponto destacado pela pesquisa é que volume de identidades de máquina está crescendo rapidamente, especialmente certificados emitidos internamente nas organizações. Em média, os entrevistados dizem que há cerca de 267.620 certificados confiáveis emitidos dentro das organizações de TI – crescimento de quase 16% em relação ao estudo do ano passado. Por outro lado, em média, há apenas 1.942 certificados confiáveis públicos nas organizações.

O problema é que quanto mais certificados são emitidos e quanto mais curta é sua vida útil, mais difícil se torna a gestão das identidades. Setenta por cento dos entrevistados disseram que o uso crescente de chaves e certificados digitais aumentou significativamente a carga de trabalho dos departamentos de TI, acima dos 62% reportados em 2021. Outros 65% estão preocupados com esse aumento trabalho e riscos de interrupções devido à vida útil mais curta dos certificados, acima de 59% no estudo do ano passado.

Se não forem rastreados, os certificados podem expirar inesperadamente, fazendo com que aplicações ou serviços parem de funcionar. A maioria dos entrevistados (81%) relataram no estudo ter tido, pelo menos, dois ou mais eventos de paralisação nos últimos 24 meses, acima dos 77% em 2021. O tempo para se recuperar (Time to Recovery – TTR) pode ser um problema, visto que 67% dos entrevistados relataram que foram necessárias três ou mais horas para voltar a operar normalmente.

A adoção de ferramentas de gestão de certificados está crescendo, mas planilhas ainda são muito comuns. Quarenta e quatro por cento dos entrevistados afirmaram usa uma solução dedicada de gerenciamento de ciclo de vida de certificados (CLM), no entanto muitos ainda dependem de uma colcha de retalhos de planilhas (42%), de ferramentas fornecidas pelos fornecedores de certificados SSL/TLS e de soluções caseiras (38%).

De acordo com estudo, ter visibilidade completa dos certificados e automação de seus ciclos de vida são os dois principais critérios ao escolher um sistema de gestão de certificados, um aumento significativo em relação ao estudo do ano passado.

Preocupações e ações estratégicas

Sessenta e um por cento dos entrevistados disseram que roubo ou uso indevido de identidades de máquina são fontes de preocupação séria ou muito séria para as organizações de TI, um aumentou expressivo em relação aos 34% dos entrevistados pelo estudo do ano passado. Além disso, metade disse que suas organizações estão propensas ou muito propensas a experimentar mais incidentes de roubo ou uso indevido de identidades de máquina nos próximos 24 meses.

Incertezas e a falta de pessoal qualificado continuam sendo os desafios mais comuns na definição de estratégia de gestão de identidades de máquina (ambos com 41% das repostas), como mostrado na figura abaixo.

Agilidade criptográfica continua sendo a principal prioridade estratégica para a gestão de identidades de máquina, entre uma lista de sete estratégicas para segurança digital. Cinquenta e sete por cento dos entrevistados disseram que agilidade criptográfica (por exemplo, depreciação do algoritmo, criptografia pós-quântica ou comprometimento de CAs) é uma prioridade estratégica para suas organizações. Os itens que citam a redução dos riscos de certificados desconhecidos ou autoassinados (35% dos entrevistados) e a menor complexidade das infraestruturas de TI (55% dos entrevistados) aumentaram notavelmente em importância estratégica quando comparados com os resultados de 2021.