Brian Trzupek (*)
Está cada vez mais claro que ninguém pode avaliar a magnitude do recente ataque à SolarWinds, a provedora multinacional líder de serviços de TI. Há mais ou menos seis meses a empresa teve um de seus servidores comprometido por agentes maliciosos – supostamente hackers estatais patrocinados pelo governo russo – que infectaram um de seus softwares com malware. Quem fez o download da versão falsa de tal programa acabou nas mãos de criminosos.
Toda a conversa atual sobre o ataque SolarWinds é sobre a magnitude desse ataque: quem foi comprometido? Qual nível de acesso foi obtido? O que fazer se você estiver comprometido? No entanto, como um profissional de segurança que ajudou muitas organizações com a assinatura de código, não posso deixar de alertar sobre os erros simples que foram cometidos que levaram a esse comprometimento generalizado.
Tradicionalmente, a assinatura de código envolve o armazenamento de chaves em desktops, compartilhamento de chaves e nenhuma visibilidade das atividades de assinatura. Se não for gerenciada com cuidado, essa assinatura de código tradicional pode levar ao uso indevido e até mesmo à assinatura de malware.
O gerenciamento incorreto de armazenamento e compartilhamento de chaves pode ser esquecido ou difícil de rastrear se você não estiver rastreando todas as suas atividades de assinatura de código. Além disso, códigos não assinados ou chaves privadas expostas podem ser prejudiciais à sua reputação e causar perdas financeiras significativas.
Sua equipe deve contar com uma solução de assinatura de código como serviço e gerenciar a assinatura de código mais rapidamente, cabendo facilmente em seus fluxos de trabalho de desenvolvimento. Um gerenciador de assinatura de código oferece assinatura automatizada usando integração API embutida e você pode pré-planejar e aprovar janelas de assinatura para lançamentos e atualizações seguras.
Isso não só devolverá o tempo, mas também tornará seu código mais seguro para lhe dar mais paz de espírito. Um gerenciador ou solução de assinatura de código oferece visibilidade e percepção sobre qualquer sinal de alerta para simplificar a verificação de problemas em potencial. Portanto, se surgir um problema, você pode responder com rapidez e eficiência para manter a segurança. Além disso, um gerenciador de assinatura de código ajuda você a cumprir os requisitos de assinatura de código a um custo mínimo.
Os administradores podem controlar o acesso baseado em permissão, com visibilidade de quem tem permissão para assinar com quais chaves privadas e certificados de assinatura. Isso pode impor a responsabilidade sobre os usuários e atividades de assinatura e evitar que as chaves de assinatura de código sejam compartilhadas.
Uma maneira moderna de gerenciar a assinatura de código é habilitando a segurança automatizada em pipelines de Integração/Entrega Contínua (CI/CD) com modelos de implantação portáteis e flexíveis e gerenciamento seguro de chaves. Além disso, nessas soluções inovadoras, as chaves são geradas na nuvem, portanto, quando não estão em uso, ficam no modo offline para garantir que não sejam compartilhadas, perdidas ou roubadas.
A DigiCert desenvolveu o Secure Software Manager que integra facilmente o código de assinatura em seus processos de desenvolvimento de produto, ao mesmo tempo que delega operações criptográficas, atividades de assinatura e gerenciamento de maneira controlada e auditável. Seu uso reduz o risco de roubo e uso indevido de chaves, reforçando a segurança em torno da acessibilidade e armazenamento de chaves.
A assinatura de hash permite que os desenvolvedores protejam a propriedade intelectual, já que nenhum arquivo é carregado para a nuvem. Além disso, as organizações de TI devem cumprir uma variedade de regulamentações que mudam rapidamente e que exigem proteções de chaves robustas em ambientes cada vez mais dinâmicos e orquestrados. Eles também exigem recursos completos de relatório e auditoria para garantir a conformidade.
(*) – É vice-presidente sênior de Gerenciamento de Produtos (www.digicert.com).
