Pare de olhar o umbigo para a criptografia

Ficamos tão fascinados pela nossa própria genialidade em criptografia que esquecemos que a maioria dos dados em repouso — escondidos em bancos de dados — não são criptografados.

Um exemplo disso é uma análise dos controles de criptografia da Skyhigh que descobriu que 81,8% dos provedores de serviços de nuvem criptografam dados em trânsito usando SSL ou TLS, mas apenas 9,4% dos provedores criptografam dados quando eles são armazenados em repouso na nuvem. Isso faz com que o número crescente de organizações que oferecem acesso irrestrito a bancos de dados em nuvem e buckets de armazenamento AWS S3 seja um pesadelo prestes a acontecer.

As defesas cibernéticas atuais dependem muito do fato de que até mesmo os supercomputadores clássicos mais poderosos levariam quantidades de tempo quase inimagináveis para desvendar os algoritmos criptográficos que protegem nossos dados, redes de computadores e outros sistemas digitais.
De < https://it.slashdot.org/story/18/12/05/2342226/quantum-computers-pose-a-security-threat-that-were-still-totally-unprepared-for >

Esta afirmação é indiscutivelmente verdadeira. O problema é que a criptografia não protege completamente nossos dados, redes de computadores e outros sistemas digitais. Ele protege os dados em trânsito e, se tivermos sorte, em repouso. Ele aumenta o controle de acesso para sistemas críticos. Mas a realidade é que, para que as "redes" e os "sistemas" processem dados e executem lógica, eles devem ser capazes de visualizar dados em texto simples e direto. As organizações enfrentam um risco maior com aplicativos desprotegidos e sem patches do que com curiosos digitais.

É por isso que as violações continuam a ocorrer em taxas cada vez maiores. Não porque os dados não sejam criptografados em trânsito ou em repouso, mas porque os aplicativos e APIs não conseguem processar os dados em seu formato criptografado. Ele deve ser descriptografado, o que o torna vulnerável à exposição. E vulnerabilidades atraem invasores.

Os aplicativos e APIs que interagem e operam nesses dados não criptografados são uma ameaça mais significativa à segurança e à privacidade dos dados do que a quebra da criptografia baseada em criptografia quântica. Essa é uma das razões pelas quais eles são tão frequentemente alvos. Na análise do F5 Labs ao longo de uma década de violações , "os aplicativos foram os alvos iniciais em 53% das violações". Eles não são apenas o caminho mais fácil para os dados, mas também um dos únicos lugares restantes no caminho de dados cada vez mais criptografados, onde os dados não são criptografados e podem ser facilmente utilizados por aqueles que os procuram.

Estamos quase insensíveis às violações hoje em dia porque elas acontecem com uma frequência tão alarmante que é normal ver notícias de milhões de registros extraídos de algum banco de dados por meio de um aplicativo hoje em dia. Isso ocorre apesar dos esforços para nos forçar a usar criptografia — usar HTTPS em vez de HTTP. Isso ocorre apesar dos navegadores imporem padrões criptográficos nos algoritmos e comprimentos de chaves usados para criptografar dados de olhares "intrigados".

Se as "ciberdefesas" atuais realmente dependem muito da força da criptografia, então estamos realmente em apuros. Porque não é apenas a força da criptografia que impede as violações e a exfiltração de dados que assolam nossos feeds de notícias e entopem nossas caixas de entrada. É a força - e cada vez mais, a inteligência - com a qual podemos reconhecer e prevenir um ataque que leva à perda de dados.

Código malicioso criptografado ainda é malicioso. Credenciais criptografadas roubadas inseridas em sistemas de autenticação de aplicativos ainda são credenciais roubadas. Eliminar middleboxes não elimina a ameaça de um servidor web ou de aplicativo vulnerável executar um exploit para obter acesso a dados valiosos e nus.

Não basta olhar com carinho para a nossa capacidade de fortalecer a criptografia se ela transporta os ataques que ameaçam a exploração de aplicativos e APIs diretamente para o coração da nossa economia digital.  Proteger nossos ativos digitais (aplicativos) e os canais pelos quais eles são acessados (APIs) requer uma abordagem mais holística à proteção de aplicativos que combine inteligência, identidade e detecção de ataques, além de criptografia forte.