Con el crecimiento de la autenticación basada en certificados, muchas organizaciones han encontrado CA de IT en la sombra administradas por ingenieros que necesitaban certificados y no utilizaban la CA privada aprobada por la empresa. Por lo general, estos no se crean con intenciones maliciosas, sino que un ingeniero se da cuenta de que necesita una autoridad de certificación para crear certificados para su autenticación (ya sea para su aplicación, para un servicio en la nube o cualquier otra cosa). Como no saben con quién hablar o si la organización tiene una autoridad de certificación interna para este caso de uso, siguen adelante y crean una autoridad de certificación por su cuenta. Este es un riesgo importante para usted, ya que las autoridades certificadoras, si no se configuran correctamente, pueden convertirse en enormes vulnerabilidades para su organización. El problema con las autoridades de certificación de Shadow IT y los certificados autofirmados es que, dado que no fueron creados por su equipo, son difíciles de encontrar.
Estos certificados pueden ocultarse en cualquier lugar, desde puertos utilizados para RDP, bases de datos, etc. hasta ser utilizados por aplicaciones y dispositivos IoT para autenticación, e incluso usarse como certificados SSL para sitios internos. Para encontrar estos certificados en todas esas áreas, tendría que crear un script que verifique cada uno de esos lugares en busca de certificados que no conoce. Para ayudarle con esto, hemos creado EZMonitor. El escaneo de red interna de EZMonitor se puede configurar en minutos simplemente ejecutando nuestro agente en una computadora con Windows en su red (si tiene múltiples redes, EZMonitor le permite escanear y encontrar todos esos certificados en todas las redes).
El mayor temor al ejecutar este análisis es encontrar lo que esperamos no encontrar: una autoridad de certificación creada sin permiso. Si esto sucede, debemos asegurarnos de que los servicios que utilizan esa autoridad de certificación pasen a una autoridad de certificación segura y compatible. Si su organización tiene una que puedan usar, charle con el líder del equipo y explíquele por qué es importante usar una CA aprobada y luego recomendaría crear guías y compartirlas con su organización para permitirles usar esa CA y evitar esto en el futuro. Si su organización no tiene una y no planea crear ni administrar una, recomendaría dirigir al equipo a una autoridad de certificación basada en la nube como EZCA que se encarga de toda la seguridad y el cumplimiento de la CA, permitiéndoles concentrarse en ejecutar sus servicios mientras los expertos en PKI de Keytos administran y protegen su autoridad certificadora.
