BLOG

Adoção na empresa do TLS 1.3

Miniatura F5
F5
Publicado em 21 de maio de 2019

Com a nova especificação Transport Layer Security (TLS) 1.3 publicada pela IETF em agosto passado, muitas organizações estão considerando planos de adoção do novo padrão. A F5 encomendou um projeto de pesquisa com a Enterprise Management Associates para entender melhor como as empresas estão se adaptando ao uso crescente da criptografia em geral. Embora alguns grupos do setor tenham expressado sérias reservas sobre a capacidade de descriptografar e inspecionar o tráfego para solução de problemas e possível malware usando o TLS 1.3, a boa notícia é que uma porcentagem considerável de entrevistados na pesquisa já está no processo de habilitar o TLS 1.3 ou planeja habilitá-lo em breve. Outro bom sinal é que uma clara maioria dos entrevistados na pesquisa indicou familiaridade com o TLS 1.3 em um nível técnico.

Vários fatores impulsionaram os planos de adoção rápida do novo padrão. Um deles é que os principais fornecedores de servidores e navegadores web já implementaram o TLS 1.3 em seus produtos. Outro são os benefícios percebidos em privacidade aprimorada e segurança de dados de ponta a ponta que vêm com os aprimoramentos do TLS 1.3. Protocolos criptográficos como o TLS existem para ajudar a impedir que adversários espionem e adulterem dados. No entanto, preocupações em torno do monitoramento de segurança de aplicativos estão gerando cautela.

O uso de criptografia na internet cresceu significativamente nos últimos anos. O Relatório de Telemetria TLS de 2017 da F5 Labs observa que 81% das páginas da web agora estão carregando via HTTPS. Embora o uso de criptografia para data centers e redes corporativas tenha aumentado mais nos últimos 18 meses, as empresas voltarão sua atenção para aplicativos e serviços web desenvolvidos internamente nos próximos 18 meses.

Dadas as implicações da especificação TLS 1.3, uma clara maioria dos entrevistados expressou preocupações operacionais e de segurança sobre a implementação do TLS 1.3 em suas organizações. A pesquisa descobriu que 56% de todos os entrevistados expressaram alguma ou significativa preocupação operacional, enquanto 61% expressaram alguma ou significativa preocupação com segurança.

Figura 1: Nível de preocupações operacionais e de segurança para implementar TLS 1.3

A principal preocupação com a segurança foi a visibilidade da segurança do aplicativo e do data center, com 57% dos entrevistados indicando que a incapacidade de monitorar a segurança do aplicativo era sua principal preocupação.   

Figura 2: A Perda de Visibilidade na Segurança de Aplicações é a Maior Preocupação

Do que eles têm medo?

Ausência de comportamento malicioso oculto no tráfego legítimo. Apenas 6% não estavam nem um pouco preocupados.

Figura 3: À medida que mais tráfego de rede é criptografado, quão preocupada está sua organização de que suas práticas/técnicas de monitoramento de segurança existentes não detectem malware oculto em arquivos criptografados?

Apesar dessas preocupações, não há como voltar atrás. Do ponto de vista político, as empresas estão claramente exigindo o uso de criptografia de transporte para proteger dados, e o TLS é o protocolo escolhido.

Para entender como as organizações vão lidar com as implantações do TLS 1.3, juntamente com estratégias, políticas, práticas e preocupações, acesse o Relatório completo sobre Adoção do TLS 1.3 na Empresa aqui.