Criptografia AES

Proteja seu negócio com a CyberHoot hoje mesmo!!!

Inscreva-se para assistir

Criptografia AES, também conhecida como Advanced Encryption Standard, é um bloco simétrico cifra usado pelo governo dos EUA para proteger informações confidenciais. Em 1997, o Instituto Nacional de Padrões e Tecnologia (NIST) encomendou o desenvolvimento de uma substituição de criptografia para o Padrão de Criptografia de Dados (DES), que se tornou vulnerável a ataques de força bruta com aumentos no poder computacional. Um concurso foi realizado, criptógrafos apresentaram propostas e o NIST finalmente coroou o AES como vencedor e o novo padrão de criptografia em 2001. O AES venceu por ser um algoritmo de criptografia computacionalmente eficiente que melhorou enormemente a segurança e a velocidade de criptografia em relação ao DES, 3DES e algoritmos concorrentes propostos.

O AES é implementado em software e hardware em todo o mundo para criptografar dados sensíveis. Ele usa cifras de bloco com vários comprimentos de chave, resultando em maior resistência e flexibilidade, já que se previa que o poder computacional aumentaria de acordo com lei de Moore.

• AES-128 usa comprimentos de chave de 128 bits
• AES-192 usa comprimentos de chave de 192 bits
• AES-256 usa comprimentos de chave de 256 bits

Cada cifra criptografa e decifra dados em blocos de 128 bits usando chaves criptográficas de 128, 192 e 256 bits, respectivamente.

Há 10 rodadas para chaves de 128 bits, 12 rodadas para chaves de 192 bits e 14 rodadas para chaves de 256 bits. Uma rodada consiste em várias etapas de processamento que incluem substituição, transposição e mistura da entrada. texto simples para transformá-lo no resultado final de texto criptografado.

O que isso significa para uma PME?

Criptografia e criptografia são importantes para todas as PMEs e MSPs, a fim de proteger a confidencialidade e integridade de informações críticas e sensíveis. A criptografia também desempenha um papel na proteção da disponibilidade dos dados, pois os backups precisam ser protegidos com criptografia se contiverem dados críticos e sensíveis.

PMEs ou MSPs podem estar sujeitos a controles legislativos, como CMMC, HIPAA ou PCI, todos os quais exigem formas específicas de criptografia de dados. Exemplos desses requisitos legislativos incluem registros individuais de saúde sob a Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA), Informações de PAN de cartão de crédito de acordo com os Padrões de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS), Informações não classificadas controladas (CUI) sob os controles legislativos do CMMC, e até mesmo Informações Pessoais Não Públicas (NPPI) sob a Lei Geral de Proteção de Dados na UE, ou aqui nos EUA, o Lei de Privacidade do Consumidor da Califórnia.

Uma estratégia para PMEs lidarem com os requisitos de conformidade do setor é, para começar, NÃO ter esses dados em sua posse. Por exemplo, as obrigações de conformidade com o PCI podem frequentemente ser evitadas por meio de parceria com um Serviço de Pagamento online que realiza a Autorização de Crédito fora do seu controle e simplesmente fornece um código de aprovação ou autorização. No entanto, nos casos em que uma PME/MSP precisa coletar e armazenar dados críticos e sensíveis, ela deve protegê-los com criptografia. Hoje, isso significa usar a criptografia Advanced Encryption Standard (AES), atualmente a forma algorítmica mais poderosa de produzir funções unidirecionais para proteger seus dados contra comprometimento e exposição.

PMEs/MSPs devem criptografar laptops e tablets com o BitLocker da Microsoft ou o FileVault da Apple para proteger os dados críticos e sensíveis que eles contêm contra comprometimento. Isso limita a perda ou perda de um dispositivo, em vez de multas financeiras maiores por violação de dados críticos ou sensíveis regulamentados (registros HIPAA, PCI ou CMMC).

Assim como acontece com as chaves físicas, o gerenciamento lógico de chaves é importante. Certifique-se de armazenar as chaves de descriptografia em um local seguro, e não no dispositivo para o qual a chave descriptografa os dados. Certifique-se de proteger o uso da chave com uma senha forte, longa e exclusiva, armazenada em um Gerenciador de Senhas, que também é protegido por controles de senha semelhantes e autenticação de dois fatores. Além da criptografia e do gerenciamento de chaves, as empresas podem adotar as seguintes medidas para se protegerem ainda mais contra comprometimentos.

Recomendações adicionais de segurança cibernética

As recomendações abaixo ajudarão você e sua empresa a permanecerem seguros diante das diversas ameaças que você pode enfrentar no dia a dia. Todas as sugestões listadas abaixo podem ser obtidas contratando os serviços vCISO da CyberHoot.

1. Governe os funcionários com políticas e procedimentos. Você precisa, no mínimo, de uma política de senhas, uma política de uso aceitável, uma política de tratamento de informações e um programa de segurança da informação (WISP) por escrito.
2. Treinar os funcionários sobre como identificar e evitar ataques de phishing. Adote um sistema de gerenciamento de aprendizagem como o CyberHoot para ensinar aos funcionários as habilidades necessárias para que eles sejam mais confiantes, produtivos e seguros.
3. Teste funcionários com ataques de phishing para praticar. Os testes de phishing da CyberHoot permitem que as empresas testem funcionários com ataques de phishing confiáveis e submetam aqueles que falham a um treinamento corretivo de phishing.
4. Implementar tecnologia crítica de segurança cibernética, incluindo autenticação de dois fatores em todas as contas críticas. Habilite a filtragem de SPAM de e-mail, valide backups, implante proteção de DNS, antivirus, e antimalware em todos os seus endpoints.
5. Na era moderna do trabalho em casa, certifique-se de gerenciar dispositivos pessoais que se conectam à sua rede validando sua segurança (patches, antivírus, proteções de DNS, etc.) ou proibindo seu uso completamente.
6. Se você não passou por uma avaliação de risco terceirizada nos últimos 3 anos, deveria ter uma agora. Estabelecer uma estrutura de gestão de riscos na sua organização é fundamental para lidar com os riscos mais graves com seu tempo e dinheiro limitados.
7. Contrate um Seguro Cibernético para se proteger em caso de desastre. O Seguro Cibernético não é diferente de um seguro de carro, incêndio, inundação ou vida. Ele está lá quando você mais precisa.

Todas essas recomendações estão incorporadas ao produto CyberHoot ou aos Serviços vCISO da CyberHoot. Com a CyberHoot, você pode gerenciar, treinar, avaliar e testar seus funcionários. Visite CyberHoot.com e inscreva-se em nossos serviços hoje mesmo. No mínimo, continue aprendendo inscrevendo-se em nosso serviço mensal Boletins informativos sobre segurança cibernética para ficar por dentro das atualizações atuais sobre segurança cibernética.

Para saber mais sobre o Advanced Encryption Standard (AES), assista a este breve vídeo de 2 minutos:

Fontes: 

Techopedia

TechTarget

Leitura Adicional:

Fibras de seda usadas para gerar chaves seguras “inquebráveis”

Termos relacionados:

Criptografia

Criptografia de disco completo (FDE)

O CyberHoot também oferece outros recursos. Abaixo, você encontra links para todos os nossos recursos. Sinta-se à vontade para consultá-los sempre que quiser: 

• Blog
• Cybrary (Biblioteca Cibernética)
• Infográficos
• newsletters
• Comunicados de imprensa
• Vídeos instrucionais (como fazer) – muito útil para nossos SuperUsuários!

Nota: Se você quiser assinar nossa newsletter, visite qualquer link acima (exceto infográficos) e insira seu endereço de e-mail no lado direito da página e clique em ''Envie-me boletins informativos'.