La investigación de inteligencia de amenazas de F5 Labs en millones de sitios ha encontrado que casi el 90 % de las cargas de las páginas están encriptadas. Esto se debe a que la adopción de la Seguridad de la capa de transporte (TLS) se ha convertido en la norma para organizaciones de todos los tamaños y en todas las industrias.
Varios factores han contribuido a esta amplia adopción: el Reglamento General de Protección de Datos de la UE (RGPD), las preferencias de clasificación de los resultados de búsqueda de Google, las advertencias de los navegadores para los sitios HTTP (texto claro) y la facilidad de obtener certificados baratos o gratuitos (Let’s Encrypt), por nombrar sólo algunos. Si bien esta evolución mejora la seguridad del tráfico web, tiene un precio: los posibles peligros del malware encubierto en el tráfico cifrado y el aumento de la demanda de la carga de trabajo. Las organizaciones deben implementar una solución que permita que su infraestructura posibilite la velocidad y la disponibilidad, al tiempo que garantice una fuerte seguridad y privacidad.
El 90 % de las cargas de páginas en millones de sitios muestreados están encriptadas, basado en la investigación de Inteligencia de Amenazas de F5 Labs.
El cifrado del tráfico es excelente para prevenir los ataques de tipo «man in the middle» que pueden permitir a un atacante ver o alterar los datos; sin embargo, el cifrado puede hacer que los dispositivos y servicios de inspección o análisis no vean ese tráfico. Cifrar y descifrar el tráfico consume mucha potencia de cálculo, por lo que muchas soluciones de inspección de seguridad como un sistema de detección/prevención de intrusos (IDS/IPS), Malware sandbox, un firewall de nueva generación (NGFW), y otras no se descifran en absoluto o se ven tan afectadas por el rendimiento que pasan el tráfico cifrado solo para mantenerse al día. Ya sea que se trate de tráfico que entra en su aplicación o de tráfico interno que sale a Internet, necesita todas sus inversiones en infraestructura para tener la visibilidad que necesitan para cumplir con su potencial.
Todo el mundo sabe que el malware es peligroso, pero normalmente se necesita una defensa en capas para identificarlo y evitar que se propague a otros usuarios y dispositivos, o que se exfiltren datos. El malware puede adquirirse de varias fuentes diferentes, como sitios web maliciosos o correos electrónicos de phishing, por lo que es crucial inspeccionar el tráfico de salida de la red para asegurarse de que el malware no pueda llamar a los servidores de mando y control, y que ningún dato sensible salga de su entorno controlado. Esto se convierte en un reto, ya que casi todos los atacantes están utilizando canales cifrados para ocultar las comunicaciones salientes de su malware.
También hay dificultades para inspeccionar el tráfico de entrada. Una aplicación o un sitio web es a menudo crucial para el negocio de una organización. el 34 % de las aplicaciones web se reportan como de misión crítica, según el Informe de Protección de Aplicaciones de F5 Labs 2018. Y cuando su aplicación es esencial, es probable que tenga soluciones de seguridad como un firewall de aplicaciones web (WAF) o un IDS/IPS para filtrar el tráfico malicioso. Además de los dispositivos de inspección de seguridad, es posible que necesite ejecutar el tráfico de aplicaciones a través de motores de análisis o soluciones de experiencia del cliente. Todas estas soluciones ofrecen un valor único, pero la desencriptación a escala no es probablemente una de ellas.
de las aplicaciones web se reportan como de misión crítica, y están en riesgo por el tráfico malicioso.
Un reciente estudio de F5 Labs demostró que el 68 % de los programas maliciosos utilizan el cifrado para ocultar sus huellas de los dispositivos de seguridad diseñados para identificarlos y neutralizarlos, y es probable que esa cifra siga creciendo. Al implementar una estrategia de defensa en profundidad, muchos administradores despliegan soluciones de seguridad en una cadena de serie para defenderse del malware. Esto es increíblemente ineficiente, y también deja la puerta abierta para que el tráfico malicioso pase a través de una solución de inspección de seguridad abrumadora. Necesita visibilidad y seguridad, pero no puede sacrificar el rendimiento.
Una solución SSL/TLS para desencriptar el tráfico y enviarlo a los dispositivos de inspección es un buen primer paso para mitigar los efectos del malware. Sin embargo, puede introducir una latencia innecesaria si cierto tráfico no necesita pasar por ciertos dispositivos de inspección. Por ejemplo, si el tráfico saliente de un usuario va a un buen sitio conocido (o dirección IP), y la solución de prevención de pérdida de datos (DLP) no detecta nada sensible, ¿sigue siendo necesario que el tráfico pase por el NGFW o el IDS? Tal vez, pero es importante tener la capacidad de personalizar la ruta de su tráfico de acuerdo con su tolerancia al riesgo.
Cambiar las cifras más antiguas a medida que se van depreciando es más fácil cuando hay un punto de control centralizado.
El protocolo TLS tiene una contramedida de vigilancia pasiva llamada protección de secreto perfecto de avance (PFS), que añade un intercambio adicional al protocolo de establecimiento de claves entre los dos lados de la conexión cifrada. Al generar una clave de sesión única para cada sesión que inicia el usuario, el PFS garantiza que un atacante no puede simplemente recuperar una sola clave y descifrar millones de conversaciones previamente grabadas.
A medida que el PFS se convierte en la norma de facto, especialmente porque es el único método permitido en el TLS 1.3, necesitará tener un plan para cualquier solución de inspección pasiva para el tráfico entrante. Anteriormente, con las claves RSA, compartiría la clave con cualquiera de esas soluciones. Sin embargo, esto no es posible con el PFS generando una clave única para cada sesión. F5 SSL Orchestrator puede desencriptar y reenviar el tráfico de texto claro a las soluciones de inspección, o puede desencriptar y volver a encriptar usando TLS 1.2 con RSA. La segunda opción hace recaer la responsabilidad de descifrar en los dispositivos de inspección, pero no se requeriría que las soluciones estuvieran en línea con el tráfico, y por lo tanto no aumentaría la latencia, ni habría datos de texto claro en tránsito dentro de su centro de datos.
Aún no se han encontrado vulnerabilidades con los códigos de curva elíptica, que son obligatorios cuando se implementa el PFS; pero como todos sabemos, cualquier cosa que sea segura hoy en día no permanecerá así para siempre. La investigación de seguridad y las herramientas de hacking continúan avanzando, al igual que la potencia de los ordenadores, y eso inevitablemente ayudará a descubrir una vulnerabilidad. Tener un punto de control centralizado para todo el descifrado y el cifrado facilita el cambio de los cifrados, ya que los antiguos son obsoletos.
Tener la capacidad de ver el interior de los paquetes que entran en sus aplicaciones, o que salen de su red, es un gran paso; pero es solo el primero. Recurrir a la conexión en cadena manual o a la configuración para gestionar el descifrado/encriptado en toda la pila de seguridad es tedioso, y todos sabemos que cualquier política que ordena que las cosas deben ser de una determinada manera siempre viene con una excepción. F5 SSL Orchestrator ofrece visibilidad a gran escala, pero es la orquestación lo que realmente lo diferencia del paquete.
La orquestación proporciona una dirección del tráfico basada en políticas a una cadena de servicios basada en el riesgo y las condiciones dinámicas de la red. A través de la virtud de ser un full-proxy tanto para SSL/TLS como para HTTP, SSL Orchestrator puede tomar decisiones inteligentes para dirigir el tráfico entrante y saliente a las cadenas de servicio dentro de la pila de seguridad. Y mientras que la mayor parte de su tráfico es probablemente HTTPS, SSL Orchestrator le permite manejar inteligentemente el descifrado y el reencriptado con otros tipos de tráfico como STARTTLS en FTP, IMAP, POP3, e ICAP. Ningún otro producto puede hacer todo eso, por lo que ninguna otra solución SSL/TLS proporciona una protección más completa para sus aplicaciones y su red.
¿Tiene alguna pregunta de seguridad, algún problema o algo más de lo que le gustaría hablar?
¡Nos encantaría saber de usted!
