BLOG

Adopción de TLS 1.3 en la empresa

Miniatura F5
F5
Publicado el 21 de mayo de 2019

Con la nueva especificación Transport Layer Security (TLS) 1.3 publicada por el IETF en agosto pasado, muchas organizaciones están considerando planes de adopción para el nuevo estándar. F5 encargó un proyecto de investigación a Enterprise Management Associates para comprender mejor cómo se están adaptando las empresas al uso creciente del cifrado en general. Si bien algunos grupos de la industria han expresado serias reservas sobre la capacidad de descifrar e inspeccionar el tráfico para solucionar problemas y posible malware usando TLS 1.3, la buena noticia es que un porcentaje saludable de los encuestados ya están en el proceso de habilitar TLS 1.3 o planean habilitarlo pronto. Otra buena señal es que una clara mayoría de los encuestados indicaron estar familiarizados con TLS 1.3 a nivel técnico.

Múltiples factores han impulsado los planes de rápida adopción del nuevo estándar. El hecho de que los principales proveedores de servidores web y navegadores ya hayan implementado TLS 1.3 en sus productos es un ejemplo. Otro son los beneficios percibidos en la mejora de la privacidad y la seguridad de datos de extremo a extremo que vienen con las mejoras de TLS 1.3. Existen protocolos criptográficos como TLS para ayudar a evitar que los adversarios escuchen y manipulen los datos. Sin embargo, las preocupaciones en torno al monitoreo de la seguridad de las aplicação incitan a la cautela.

El uso del cifrado en Internet ha crecido significativamente en los últimos años. El informe de telemetría TLS de F5 Labs 2017 señala que el 81% de las páginas web ahora se cargan a través de HTTPS. Si bien el uso de cifrado para los centros de datos y las redes empresariales aumentó más en los últimos 18 meses, las empresas centrarán su atención en las aplicações y servicios web desarrollados internamente en los próximos 18 meses.

Dadas las implicaciones de la especificación TLS 1.3, una clara mayoría de los encuestados expresaron preocupaciones tanto operativas como de seguridad sobre la implementación de TLS 1.3 dentro de sus organizaciones. La encuesta encontró que el 56% de todos los encuestados expresaron algunas preocupaciones operativas o preocupaciones significativas, mientras que el 61% expresó algunas preocupaciones operativas o preocupaciones significativas.

Figura 1: Nivel de preocupaciones operativas y de seguridad para la implementación de TLS 1.3

La principal preocupación de seguridad fue la visibilidad de la seguridad de las aplicação y el centro de datos: el 57 % de los encuestados indicó que la incapacidad de monitorear la seguridad de las aplicação era su principal preocupación.   

Figura 2: La pérdida de visibilidad en la seguridad de las aplicação es la mayor preocupación

¿De qué tienen miedo?

Comportamiento malicioso faltante oculto en el tráfico legítimo. Sólo el 6% no se mostró preocupado en absoluto.

Figura 3: A medida que se cifra más tráfico de red, ¿qué tan preocupada está su organización de que sus prácticas/técnicas de monitoreo de seguridad actuales pasen por alto malware oculto en archivos cifrados?

A pesar de esas preocupaciones, no hay vuelta atrás. Desde una perspectiva política, las empresas están exigiendo claramente el uso de cifrado de transporte para proteger los datos, y TLS es el protocolo elegido.

Para comprender cómo las organizaciones manejarán las implementaciones de TLS 1.3 junto con las estrategias, políticas, prácticas y preocupaciones, acceda al Informe completo de adopción de TLS 1.3 en la empresa aquí.