BLOG

Novo estudo revela o que está impulsionando e limitando a implementação do TLS 1.3

Rachael Shah Miniatura
Raquel Xá
Publicado em 18 de novembro de 2022

Quatro anos atrás, Meghan Markle se casou com o príncipe Harry. Enquanto isso, a Sears entrou com pedido de falência, e o mundo foi agraciado com uma rara superlua azul de sangue. A Toys “R” Us também fechou todas as suas lojas, e a Apple se tornou a primeira empresa americana de capital aberto a atingir US$ 1 trilhão em valor.

Não podemos esquecer que 2018 também marcou a aprovação do TLS 1.3 pela Internet Engineering Task Force (IETF).

Desde então, as organizações tiveram bastante tempo para avaliar os benefícios e desafios da adoção do TLS 1.3, a versão mais recente de um dos protocolos criptográficos mais amplamente utilizados, que permite a segurança e a privacidade de dados na Internet.

Para entender por que — ou por que não (ainda) — as empresas implementaram o TLS 1.3, a Enterprise Management Associates (EMA) preparou o relatório de pesquisa, “Quarto aniversário do TLS 1.3: O que aprendemos sobre implementação e monitoramento de rede?”

O estudo da EMA patrocinado pela F5 inclui opiniões de líderes de tecnologia e negócios na América do Norte em setores como serviços de tecnologia, finanças e saúde. Os participantes destacam como as empresas estão priorizando a segurança da informação e as prioridades de conformidade, sem mencionar como as regulamentações para segurança e privacidade de dados influenciaram a direção das prioridades de segurança.

Aqui estão três conclusões do relatório:

1.       Controles regulatórios e de fornecedores, segurança de dados aprimorada e trabalho remoto impulsionam a adoção

Os padrões de privacidade e segurança de dados têm sido prioridade para líderes empresariais e de tecnologia nos últimos anos. Portanto, não é nenhuma surpresa que os participantes do estudo tenham indicado a segurança e a privacidade de dados aprimoradas como os principais motivadores para a implementação do TLS 1.3. De fato, 85% dos indivíduos pesquisados indicaram a segurança de dados como o maior benefício da implementação do TLS 1.3.

Além disso, à medida que as empresas se adaptaram à pandemia da COVID-19, o impulso em direção ao trabalho remoto e sua continuidade e a necessidade de lidar com segurança com dados confidenciais e propriedade intelectual da empresa desempenharam um papel na adoção do TLS 1.3. Como mostra a Figura 1, 76% dos entrevistados usam TLS 1.3 para tráfego comercial de funcionários remotos.

Figura 1: As organizações pesquisadas que implementaram o TLS 1.3 responderam se o tráfego comercial para funcionários trabalhando remotamente é criptografado usando o TLS 1.3

2.       Considerações sobre visibilidade e monitoramento são os principais obstáculos

Apesar dos controles regulatórios e de fornecedores, como o HIPAA e o Regulamento Geral de Proteção de Dados (GDPR) da UE, as organizações estão lutando para avançar com o TLS 1.3 devido ao impacto previsto nos planos de segurança e monitoramento em seu ambiente, conforme demonstrado na Figura 2. Além disso, não é segredo que esse tipo de integração pode ser desafiador. Então, em vez de assumir o compromisso, muitas organizações estão ganhando tempo para mapear um plano de migração e avaliar soluções provisórias que sejam mais fáceis e menos invasivas de implementar do que o TLS 1.3.

A perda de visibilidade também causa hesitação em 96% dos participantes da pesquisa. Afinal, 44% dos entrevistados que implementaram o TLS 1.3 foram forçados a reverter a implementação devido à perda de visibilidade do tráfego, e mais de um quarto dos entrevistados acredita que pode ter sofrido uma violação de segurança devido à falta de visibilidade do tráfego com o protocolo.

Figura 2: As organizações pesquisadas que não implementaram o TLS 1.3 classificaram os problemas potenciais com a implantação do TLS 1.3 em relevância para sua organização

3.       Os custos de recursos e de implementação são substanciais

Oitenta e sete por cento das organizações pesquisadas que implementaram o TLS 1.3 exigiram algum nível de mudança de infraestrutura para acomodar a integração, conforme ilustrado na Figura 3. Atualizar uma topologia de rede certamente é uma tarefa difícil de engolir para muitos. É demorado e caro. É difícil justificar a captação de recursos para implementar um projeto dessa escala, dados os recursos humanos limitados de uma equipe de segurança já sobrecarregada e seu valor comercial percebido muito baixo em comparação às necessidades comerciais concorrentes (81%).

Figura 3: As organizações pesquisadas que implementaram o TLS 1.3 avaliaram se a ativação do TLS 1.3 exigiu uma mudança em sua arquitetura de rede/segurança

Embora diversas variáveis continuem a influenciar a adoção do TLS 1.3, uma coisa é certa: o TLS como um protocolo de privacidade de dados recomendado veio para ficar.

E com quase 90% de todo o tráfego da Internet agora criptografado, e esse número continuando a crescer, o que você não pode ver pode lhe prejudicar. Os cibercriminosos estão constantemente aproveitando o tráfego criptografado para ocultar cargas maliciosas, independentemente da versão do TLS. Se você não inspecionar, estará deixando sua organização vulnerável.

Saiba mais sobre o que os líderes de tecnologia e negócios dizem sobre a implementação do TLS 1.3 no relatório completo da EMA e entenda por que a visibilidade e a orquestração do tráfego criptografado SSL/TLS — especialmente o tráfego de entrada e saída criptografado com TLS 1.3 — são tão vitais hoje.