Los ciberataques de firma de código como el de ASUS van en aumento. Los atacantes evolucionan continuamente los conjuntos de herramientas que utilizan para infiltrarse en las redes empresariales. En el caso de los ataques de operaciones de firma de código, los hackers explotan certificados y claves vulnerables, plantando y desplegando malware, entre otras herramientas.
Los certificados de firma de código firman digitalmente cada aplicación, controlador y software producidos, lo que permite a los usuarios finales verificar su autenticidad. Sin embargo, hoy en día, la práctica de firma de código no está estandarizada entre los equipos DevOps que desarrollan, actualizan y despliegan software y las actualizaciones de aplicaciones. De hecho, una investigación reciente realizada por el Ponemon Institute cifra el coste del uso indebido de certificados y claves de firma de código en 15 millones de dólares y estima en un 29% la probabilidad de que las organizaciones sufran incidentes de firma de código en los próximos dos años.
Se trata de una preocupación importante, no solo para los productores de software , sino también para los consumidores de software , incluidas las empresas.
Reconociendo este riesgo, Keyfactor y Thales se asociaron para desarrollar una integración que ofrece firma de código segura a los proveedores de software , desarrolladores de aplicaciones móviles, organizaciones de TI empresariales y fabricantes de dispositivos IoT .
La integración combina las soluciones PKI deKeyfactor Control y los módulos de seguridad (HSM) SafeNet Data Protection On Demand (DPoD) y SafeNet Luna Hardware basados en la nube de Gemalto, que permiten a las empresas y a los fabricantes de IoT disponer de una PKI segura, ya sea en la nube o en entornos alojados por el cliente. La entrega en la nube de la solución supuso que los usuarios reconocieran rápidamente las ventajas que incluía una PKI segura altamente personalizable, flexible y escalable. El proyecto y la asociación permiten varias soluciones en la nube, como PKI, seguridad de aplicaciones SSL , firma de código, actualizaciones de firmware, gestión de dispositivos IoT , cifrado de datos, gestión de claves y control de acceso de usuarios.
Hasta esta colaboración, las empresas necesitaban crear e integrar sistemas dispares para aprovechar el valor de la transformación digital. Sin una raíz de confianza basada en la nube y una sólida gestión de claves, la gran escala de despliegues de IoT no sería posible. Ahora, las empresas pueden desplegar eficientemente estos servicios seguros basados en la nube en cuestión de horas, manteniendo la confianza a escala. La solución interactúa con todos los casos de uso de PKI, tanto públicos como privados, y proporciona gestión del ciclo de vida para cada par de identidades y claves a escala masiva.
Ganadores del premio a la innovación MSP del proyecto del año 2019: Keyfactor y Thales
La integración llamó la atención de Channel Partner Insight, que otorgó a Keyfactor y Thales su Premio a la Innovación MSP del Proyecto del Año 2019. La distinción reconoce a los MSP que demuestran cómo un proyecto o aplicación ha proporcionado al cliente ahorro de costes, expansión e innovación.
El caso de uso más reciente de la integración afectó a una conocida empresa biotecnológica de la lista Fortune 500 que reconoció la necesidad de seguridad continua para los marcapasos instalados a escala mundial. Necesitaban una alta garantía de que los datos que se transferían entre los pacientes y las redes back-end eran seguros en todo momento y seguirían siendo auténticos durante toda la comunicación. Esta conexión segura debía ser accesible en cualquier circunstancia: dondequiera que estuviera el paciente, en cualquier lugar del mundo. También era necesario que el firmware estuviera firmado por el fabricante y verificado por el marcapasos.
La solución permitió al cliente crear un proceso innovador que mantenía la seguridad de los datos en todas las comunicaciones. La clave pública de cifrado de datos y la raíz de confianza se instalaron en el marcapasos; a continuación, el marcapasos verificaría el firmware firmado con la raíz de confianza. El marcapasos cifró los datos del paciente con la clave pública y, a continuación, esos datos cifrados fluyeron a través de Windows Azure, lo que permitió un alcance global del acceso a los datos, mientras que los datos cifrados restantes solo podían descifrarse dentro del centro de datos del fabricante, utilizando la clave privada de cifrado de datos y los HSM SafeNet Luna.
Según Channel Partner Insight, "vimos el proyecto como un ejemplo realmente ambicioso e innovador de aprovechamiento del poder de IoT."
Los Premios a la Innovación MSP, impulsados por Channel Partner Insight, honran a los proveedores, distribuidores y MSP norteamericanos que lideran el camino de los servicios gestionados y en un momento de disrupción y cambio sin precedentes en el canal.
