Etiqueta: SSL

Es posible combinar seguridad y alto rendimiento de descifrado SSL聽

A ra铆z de la explosi贸n del cifrado SSL,聽A10 Networks聽muestra que es posible combinar seguridad y alto rendimiento con opciones de cifrado y descifrado SSL avanzadas.

“A pesar de los posibles puntos ciegos introducidos por el tr谩fico cifrado, lo cual hace m谩s dif铆cil detectar el malware y otras amenazas cibern茅ticas, algunas empresas optan por no inspeccionar el tr谩fico cifrado SSL. 驴La raz贸n? Una percepci贸n err贸nea sobre determinadas caracter铆sticas asociadas al cifrado SSL como rendimiento, costo o seguridad”,聽afirma聽Jairo Alberto Parra, Regional Sales Manager聽Northern聽LATAM de A10 Networks.聽

De igual forma, y para intentar separar realidad de ficci贸n, A10 busca aclarar algunas apreciaciones equivocadas sobre SSL.

M谩s cerca del mito que de la realidad鈥 algunos ejemplos:聽

SSL es complicado, lento, consume muchos recursos e introduce nuevos riesgos para las redes.聽En realidad, en estos d铆as, es posible que los procesadores SSL alcancen velocidades tan altas como聽44.000 conexiones SSL por segundo (CPS)聽para archivos cifrados con un tama帽o de 128B. El uso de聽tecnolog铆a de entrega de aplicaciones y balanceo de carga de servidor聽puede descargar el procesamiento intensivo SSL/TLS de los servidores web para un procesamiento m谩s r谩pido del tr谩fico SSL.

Ya s茅 lo que est谩 sucediendo con nuestro tr谩fico de red.聽En realidad, muchos profesionales de TI no son capaces de cuantificar cu谩nto tr谩fico cifrado hay en su red hasta que realmente instalan soluciones de descifrado/cifrado SSL/TLS, especialmente aquellas que admiten protocolos distintos de HTTPS y pueden detectar SSL /TLS en puertos no est谩ndar. El cifrado SSL/TLS en escenarios de alto rendimiento y de alta velocidad de conexi贸n puede dar a las empresas la seguridad de que sus plataformas de protecci贸n pueden convertirse en “asesinos de聽ransomware”.

Tengo una soluci贸n de cifrado; no necesito un聽appliance聽dedicado. Si bien es cierto que muchas soluciones “todo en uno” pueden procesar el tr谩fico cifrado, a menudo dichas soluciones llevan un impuesto asociado al procesamiento de SSL. 驴Es posible sacrificar la seguridad por el rendimiento, o viceversa? Contar con un聽appliance聽dedicado para el descifrado/cifrado SSL elimina las demandas de procesamiento de sus otros dispositivos, lo que significa que no sufren el impacto del procesamiento de tr谩fico SSL. Tambi茅n hace m谩s sentido descifrar el tr谩fico encriptado una sola vez, e inspeccionar m煤ltiples veces.

Bloqueando el acceso a sitios web no recomendados estaremos a salvo.聽El mal tr谩fico no proviene 煤nicamente de sitios web desaconsejados; numerosos sitios web leg铆timos son explotados. Llamativos son tambi茅n los riesgos adicionales que los trabajadores m贸viles infiltran en los per铆metros asegurados, como las aplicaciones que pueden incluir malware. Es importante contar con una soluci贸n de encriptaci贸n que proteja la red desde todos los 谩ngulos.

Nuevas soluciones SSL de A10: seguridad y rendimiento

A10 Networks present贸 el pasado mes de junio聽la tercera generaci贸n de sus soluciones de hardware SSL/TLS.

Disponibles para ciertos聽appliances聽hardware de la familia A10聽Thunder, los nuevos modelos聽Thunder聽ofrecen hasta dos veces el rendimiento proporcionado por productos similares de la competencia para el cifrado avanzado, reduciendo dr谩sticamente el costo por conexi贸n. En este sentido, y adem谩s de superar a los competidores en conexiones por segundo (CPS), rendimiento general y otras 谩reas clave, A10 ayuda a los clientes existentes a escalar sus soluciones actuales para acomodarlas el tr谩fico futuro, sin requerir una actualizaci贸n y con sustituci贸n de su dispositivo existente, ofreciendo as铆 una verdadera protecci贸n de la inversi贸n e importantes ahorros.

Adicionalmente, y gracias a la funcionalidad de聽entrega de aplicaciones y de balanceo de carga de servidores聽de聽A10聽Thunder聽ADC, A10 garantiza la aceleraci贸n de las aplicaciones, descargando el procesamiento intensivo SSL/TLS de los servidores web a los equipos ADC. Esto asegura respuestas r谩pidas y seguras a las solicitudes de los clientes. Asimismo,聽A10聽Thunder聽SSLi聽proporciona visibilidad en el tr谩fico cifrado, integr谩ndose con una amplia gama de proveedores de seguridad y eliminando el punto ciego SSL, lo que permite proteger a los usuarios de la empresa de los ataques cuando navegan en Internet.

Symantec y Google se enfrentan por 30,000 certificados SSL inv谩lidos

Seg煤n una encuesta de Netcraft, Symantec es responsable desde 2015 de aproximadamente uno de cada tres certificados SSL utilizados en la web, por lo que es el mayor emisor de certificados comerciales del mundo. Adem谩s, como resultado de adquisiciones a lo largo de los a帽os, la compa帽铆a ahora controla los certificados de varias autoridades anteriormente independientes, incluyendo VeriSign, GeoTrust, Thawte y RapidSSL.

Sin embargo, Google defiende que muchos de los certificados emitidos por Symantec son incorrectos ya que tienen una antig眉edad tan elevada que no permiten confirmar si efectivamente son seguros o no. Un plan propuesto es obligar a la compa帽铆a a reemplazar todos los certificados de sus clientes y a dejar de reconocer el estado de validaci贸n extendida (EV) de aquellos que lo tienen. Seg煤n Google, esta investigaci贸n cuestiona la validez de al menos 30,000 certificados emitidos por los socios de Symantec durante varios a帽os. Sin embargo, Symantec disputa este n煤mero.

El proceso de emisi贸n y administraci贸n de certificados se rige por las reglas creadas por CA/Browser Forum, una organizaci贸n cuyos miembros incluyen proveedores de navegadores y autoridades de certificaci贸n. Cuando se violan estas reglas, los proveedores de navegadores y sistemas operativos pueden revocar la confianza en los certificados infractores y sancionar a las autoridades de certificaci贸n responsables, llegando incluso a expulsarlos. Seg煤n Google, una investigaci贸n sobre un incidente reciente indica que Symantec no ha mantenido las pr谩cticas de seguridad esperadas de las autoridades de certificaci贸n, como la validaci贸n del control de dominio, la auditor铆a de los registros de evidencia de emisi贸n no autorizada y la reducci贸n de la capacidad de emisi贸n de certificados fraudulentos.

El plan de Google se pone en pr谩ctica, millones de certificados de Symantec existentes no ser谩n de confianza durante los pr贸ximos 12 meses en Google Chrome. Esto pondr谩 una enorme presi贸n sobre Symantec, ya que la empresa tendr谩 que ponerse en contacto con todos los clientes, validar su identidad y la propiedad de sus dominios de nuevo, y reemplazar sus certificados existentes por otros nuevos, muy probablemente sin coste alguno. Adem谩s, Symantec podr铆a tener que reembolsar a los clientes que pagaron por certificados EV que ya no se reconozcan como tales en Chrome, ya que su valor se reducir铆a significativamente.

Es seguro decir que las sanciones de Google podr铆an tener un impacto significativo en el negocio SSL de Symantec, ya que es probable que la compa帽铆a pierda clientes que no estar谩n dispuestos a soportar estas restricciones y llevar谩n su negocio a una autoridad de certificaci贸n diferente (CA, en ingl茅s). Los vendedores de navegadores han castigado antes a las CA por emitir de manera inapropiada certificados -o equivocarse en el lenguaje de la industria- pero nunca en esta escala y con un impacto tan grande en el ecosistema.

Redacci贸n

 

Se reduce el malware en 2016, pero el ransomware alcanza cifras hist贸ricas

Los ciberdelincuentes lanzaron un menor n煤mero de ataques de malware en 2016, aunque la raz贸n de esta disminuci贸n es que estaban demasiado ocupados recaudando el dinero de los ataques de ransomware los cuales ya ten铆an trabajando.

El n煤mero de muestras 煤nicas de malware descubiertas en 2016 fue de 60 millones, un 6.25% menos que los 64 millones del a帽o anterior, seg煤n un informe publicado por SonicWall. 鈥淓s la primera vez que observo que el n煤mero de muestras 煤nicas de malware realmente disminuye鈥, afirma Dmitriy Ayrapetov, director de Gesti贸n de Productos de la compa帽铆a.

El informe, basado en datos de m谩s de un mill贸n de sensores, muestra que el n煤mero total de intentos de ataque de malware cay贸 tambi茅n de 8,200 millones a 7,900 millones.

Una raz贸n para esta disminuci贸n de ataques podr铆a sustentarse en la aplicaci贸n de la ley, gracias a la cual el a帽o pasado desaparecieron tres kits de exploits (Angler, Neutrino y Nuclear), y en el aumento del uso de cifrado como SSL y TLS para las comunicaciones online, una acci贸n que tambi茅n ayud贸 a mejorar la seguridad.

Una de las mayores ca铆das, de acuerdo con el estudio realizado por SonicWall, se ha producido en el n煤mero de variantes de malware en los puntos de venta, que descendi贸 un 88% en 2016. En parte, esto se ha debido al incremento de la seguridad llevado a cabo por la industria minorista.

Despu茅s de los ataques de perfil alto ejecutados en 2014, las compa帽铆as mejoraron su seguridad y en 2015 los comercios empezaron a reemplazar sus viejos lectores de tarjetas de cr茅dito de banda magn茅tica por m谩quinas para tarjetas con chip.

Como consecuencia, los hackers comenzaron a centrarse en algo m谩s lucrativo: ransomware. El n煤mero de ataques de esta variante de software malicioso aument贸 167 veces, pasando de 3.8 millones de intentos de ataque de ransomware en 2015 a 638 millones en 2016. 鈥淎h铆 es donde est谩 el dinero鈥, asegura Ayrapetov.

De acuerdo con diversos estudios, el ransomware se llev贸 m谩s de 1,000 millones de d贸lares el pasado a帽o en todo el mundo. La t贸nica habitual consisti贸 en lanzarlo a trav茅s de correos electr贸nicos de phishing y oculto en el tr谩fico cifrado, una de las consecuencias no deseadas del uso de SSL.

Muchas organizaciones no inspeccionan el tr谩fico encriptado que pasa a trav茅s de sus firewalls, seg煤n el directivo de SonicWall, lo que proporciona una puerta trasera a los criminales. 鈥淓s algo a lo que todas las compa帽铆as tendr谩n que comenzar a prestar atenci贸n鈥, sostiene Dmitriy Ayrapetov.

Maria Korolov

El HTTP/2 ofrece mayor rendimiento, pero baja confianza en seguridad

El nuevo protocolo poco a poco se empieza a implementar, ofrece un mejor rendimiento y es compatible con el protocolo anterior, HTTP/1.1. No se han encontrado problemas de seguridad en el propio protocolo, pero hay vulnerabilidades en algunas implementaciones y la posibilidad de una menor visibilidad en el tr谩fico de Internet, por lo que vale la pena esperar un poco para actualizarse.

Se debe tener en cuenta que el protocolo HTTP/1.1 tiene alrededor de 16 a帽os y es el est谩ndar de mensajer铆a subyacente para solicitar p谩ginas web y recursos asociados. Cuando los navegadores utilizan varias conexiones para enviar solicitudes paralelas, provoca congesti贸n. Los sitios web utilizan una serie de trucos y soluciones para tratar de ofrecer contenido m谩s r谩pido.

HTTP/2 promete solucionar el problema con la multiplicaci贸n, que beneficia especialmente a los sitios web con muchos objetos peque帽os. Para el usuario fina no resultar谩 distinto, pero el sitio web podr铆a cargarse un poco m谩s r谩pido.

No contiene 聽cifrado

El cifrado obligatorio no est谩 integrado en el propio protocolo. Sin embargo, todas las implementaciones de navegador actuales requieren encriptaci贸n TLS, agregando una capa de seguridad para la web.

Esto significa que las empresas podr铆an no ser capaces de analizar de forma efectiva el tr谩fico HTTP/2, tanto las conexiones entrantes que podr铆an entregar malware como las conexiones salientes que filtran datos cr铆ticos.

Algunos proveedores ofrecen soluciones que funcionan con cifrado HTTPS y SSL. Pero los cambios que vienen con HTTP/2 est谩n en un nivel m谩s b谩sico. Resolver este problema no va a ser f谩cil. Los proveedores tendr谩n que actualizar sus productos para manejar HTTP/2.

Es recomendable que la empresa ejecute las pruebas primero para ver si son capaces de inspeccionar el tr谩fico HTTP/2 con sus sistemas actuales y, en caso contrario, es posible que sea mejor esperar.

Nuevas vulnerabilidades

HTTP/2 plantea otros riesgos para las empresas, adem谩s de la cuesti贸n de la visibilidad en el tr谩fico de Internet. Ya se han descubierto varias vulnerabilidades, todas relacionadas con ataques distribuidos de denegaci贸n de servicio. Incluyen la lectura lenta, la bomba HPACK, el ataque de ciclo de dependencia y la vulnerabilidad de abuso de multiplexaci贸n de flujo.

El protocolo en s铆, no tiene problemas, el problema est谩 en las implementaciones. En una prueba realizada recientemente se comprob贸 que, en los principales servidores web, incluyendo Apache, IIS, Jetty, Nghttpd y Nginx, eran vulnerables a al menos un ataque. Esto significa que los atacantes no necesitan un ej茅rcito de m谩quinas infectadas para actuar como rel茅s o rel茅s de aumento.

A pesar de que se han corregido sus vulnerabilidades, esto no quiere decir que todos los servidores Web hayan instalado los parches.

Las empresas que necesitan actualizarse a HTTP/2 y ejecutar sus propios servidores web y no pueden mantener los parches actualizados, conviene usar un firewall de aplicaciones web que proteja contra las nuevas vulnerabilidades a medida que se descubren.

Maria Korolovo

La tecnolog铆a de encriptaci贸n aumenta los ciberataques

El incremento del uso de la tecnolog铆a de encriptaci贸n tiene a la par un incremento de los ciberataques, seg煤n un estudio de A10 Networks, proveedor de tecnolog铆a de redes de aplicaci贸n.

Llevado a cabo en colaboraci贸n con el Instituto Ponemon, el informe 鈥淗idden Threats in Encrypted Traffic鈥 destaca los inmensos retos a los que tienen que hacer frente los profesionales de seguridad a la hora de prevenir y detectar ataques en el tr谩fico cifrado de la red de la empresa.

El cifrado SSL no s贸lo oculta el tr谩fico de datos de posibles hackers, tambi茅n lo hace de las herramientas comunes de seguridad. Es por ello que, cada vez son m谩s las compa帽铆as que recurren a la tecnolog铆a de encriptaci贸n para mantener seguros sus datos en la red. La tecnolog铆a de cifrado es crucial para proteger datos importantes que est谩n en movimiento, tales como transacciones, emails o aplicaciones m贸viles, que pueden permitir que un malware se esconda en ese tr谩fico encriptado para pasar inadvertido por la seguridad de la empresa.

Casi el 50% de los encuestados en el estudio se帽al贸 la falta de permisos en las herramientas de seguridad como primera raz贸n para no examinar el tr谩fico encriptado de la web, seguido de otras como la falta de recursos y de la disminuci贸n del rendimiento de la red. El 80% dijo que sus empresas hab铆an sido v铆ctimas de amenazas internas o ciberataques durante el a帽o anterior, y cerca de la mitad asegur贸 que los atacantes suelen utilizar la encriptaci贸n para evitar que les descubriesen.

Aunque el 75% de los encuestados asegura que sus redes corren el riesgo de tener un malware oculto en el interior del tr谩fico encriptado, aproximadamente dos tercios admiten que su empresa no est谩 preparada para detectar vulnerabilidades en el tr谩fico SSL, haci茅ndoles vulnerables a las violaciones de datos importantes y a la p茅rdida de propiedad intelectual. La mayor铆a de estas empresas pertenecen al sector de servicios financieros, a la sanidad y al sector p煤blico.

Se espera que la amenaza empeore en la medida en la que el tr谩fico encriptado de datos contin煤e creciendo. Muchas empresas podr铆an ser cazadas por sorpresa, debido a que sus soluciones de seguridad est谩n colapsadas bajo el peso enorme de las vulnerabilidades SSL.

鈥淟os criminales buscan retorno de la inversi贸n, pero no quieren trabajar duro para conseguirlo. Los l铆deres en IT tienen que ser m谩s efectivos y centrarse en asuntos m谩s estrat茅gicos con la mejor tecnolog铆a disponible鈥, concluy贸 Chase Cunnigham, director de ciberoperaciones en A10 Networks.

Redacci贸n

 

Citrix lanza una versi贸n gratuita de carga NetScaler para desarrolladores

El tema de la Transformaci贸n Digital, es donde las empresas en la actualidad llevan a la l铆nea del negocio al adoptar metodolog铆as veloces de desarrollo e implementaci贸n de aplicaciones, tales como DevOps.

Las empresas est谩n desarrollando sus propias aplicaciones para mejorar la productividad interna y aumentar el compromiso de los clientes. Citrix anunci贸 el lanzamiento de NetScaler CPX Express, una versi贸n gratuita para desarrolladores, que es un NetScaler en factor de forma de contenedor que entrega un balanceador de carga probado rigurosamente para que los desarrolladores puedan crear aplicaciones de microservicios.

A diferencia de las alternativas de software gratuito y de c贸digo abierto (F/OSS), NetScaler CPX Express es un balanceador de carga con funcionalidades completas compatible con microservicios que les da a los desarrolladores la misma funcionalidad segura y de nivel empresarial que la plataforma NetScaler, permite una transici贸n sin inconvenientes de la infraestructura para entrega de aplicaciones en los dos ciclos, desde el desarrollo hasta la implementaci贸n. NetScaler CPX Express ofrece a los desarrolladores de aplicaciones de microservicios como:

  • Capacidades de balanceo de carga con reconocimiento de aplicaciones
  • Actualizaciones f谩ciles y en servicio sin disrupci贸n para los microservicios
  • Capacidades de seguridad avanzadas tales como descarga de SSL y protecci贸n contra vectores de amenazas DDoS para la capa de la red, el transporte y las aplicaciones, y l铆mites a la velocidad de API para mitigaci贸n de ataques DDoS
  • Descubrimiento y autorreconfiguraci贸n de servicios con los sistemas de gesti贸n de contenedores Google Kubernetes, Docker Swarm y Apache Mesos
  • Visibilidad, gesti贸n y an谩lisis en tiempo real mediante la integraci贸n con Sistema de an谩lisis y administraci贸n de NetScaler
  • La capacidad de puesta en funcionamiento en menos de cinco minutos

Redacci贸n

Vulnerabilidades, factor cr铆tico para la seguridad de los sitios web

Si los servidores web est谩n desprotegidos, tambi茅n lo est谩n los sitios web que se alojan en ellos y, en consecuencia, las personas que acceden a los sitios web y los visitan. Los ciberdelincuentes aprovechan cualquier vulnerabilidad para atacar los sitios y tomar el control de sus servidores host.

Symantec se帽ala en un comunicado que, tanto las vulnerabilidades como los nuevos tipos de malware dejan claro que las empresas deben interesarse y enfocarse por completo en mejorar la seguridad de los sitios.

Una vulnerabilidad cr铆tica es aquella que, en caso de ser aprovechada, puede permitir que se ejecute un c贸digo malicioso sin necesidad de la interacci贸n de un usuario, lo cual facilita la fuga de datos y pone en peligro a los internautas que visiten los sitios web afectados.

El n煤mero de vulnerabilidades var铆a ligeramente de un a帽o a otro, sin embargo, sigue observ谩ndose una tendencia al alza. Las m谩s conocidas tienen soluci贸n si se instalan revisiones o se toman otras medidas, pero los creadores de malware saben que vale la pena tratar de aprovecharlas porque las empresas no se interesan en remediarlas. En muchos casos se utiliza un dropper (programa o componente de malware, dise帽ado para instalar alg煤n tipo de virus o c贸digo da帽ino en un sistema de destino), que busca vulnerabilidades conocidas sin resolver, para usarlas como puerta trasera y propagar el malware. Instalar las actualizaciones resulta, por tanto, trascendental.

C贸mo sucede

Con frecuencia los ciberdelincuentes contaminan los servidores web afectados con c贸digo que conduce a kits de herramientas de ataque o bien env铆an mensajes de correo electr贸nico no deseados para robar nombres de usuario y contrase帽as. Adem谩s, en ocasiones utilizan dichos servidores como trampol铆n para seguir causando estragos, por ejemplo, mediante ataques DDoS, aprovechando que el ancho de banda de un proveedor de alojamiento (host) es mucho mayor que el de un usuario dom茅stico con una conexi贸n de banda ancha.

Abundan cada vez m谩s los kits de herramientas de ataque automatizadas y especializadas que buscan sistemas de gesti贸n de contenidos desprotegidos y otras aplicaciones web riesgosas. Si bien durante los 煤ltimos a帽os los principales proveedores de sistemas de gesti贸n de contenidos han mejorado sus defensas y han implantado las actualizaciones autom谩ticas, sus complementos siguen constituyendo un grave problema para la seguridad.

Qu茅 hacer

Los certificados SSL y TLS tienen un objetivo. Cabe destacar que, aunque la seguridad web pas贸 por momentos dif铆ciles hace dos a帽os, los certificados SSL y TLS (sus equivalentes m谩s modernos) siguen siendo esenciales y ofrecen la misma o incluso m谩s protecci贸n que antes.

Gracias al esfuerzo y la vigilancia de organizaciones como el CA/Browser Forum, los est谩ndares del sector mejoran constantemente. Los mecanismos b谩sicos que garantizan la protecci贸n de un sitio web y sus visitantes no solo siguen siendo v谩lidos, sino que cada vez son m谩s eficaces.

N. de P. Symantec

Para 2017, el 50% de los ciberataques utilizar谩n tr谩fico encriptado

Seg煤n Gartner, para 2017 m谩s de la mitad de los ataques de red dirigidos a empresas utilizar谩n el tr谩fico encriptado para evadir los controles, mientras que en 2013 la cifra era menor al 5%.

Estas cifras son alarmantes y se deben a que el聽 tr谩fico encriptado crea puntos ciegos graves en las infraestructuras de seguridad de red actuales que dan lugar al malware avanzado, al tiempo que aumenta los riesgos relacionados con la privacidad y el cumplimiento reglamentario. Asimismo, Blue Coat descubri贸 que el 70% de las empresas conf铆an ciegamente en el encriptado SSL/TLS para proteger sus 聽datos privados y evitar que puedan visualizarse cuando est谩n en tr谩nsito.

Por otro lado, NSS Labs predice un aumento promedio del 20聽% anual del tr谩fico SSL/TLS, impulsado por el r谩pido aumento en el uso de HTTPS y otros servicios y protocolos basados en SSL/TLS. La migraci贸n de las empresas a los servicios de nube y las aplicaciones m贸viles, en especial a nubes externas, tambi茅n fomentar谩 una mayor confianza en el tr谩fico encriptado. El tr谩fico SSL/TLS es utilizado cotidianamente por empresas y p煤blico en general ya que funciona como la base para proteger m煤ltiples servicios de red esenciales como:聽 correo electr贸nico,聽 transferencia de archivos, mensajer铆a de grupos de noticias,聽 acceso al directorio,聽 mensajer铆a instant谩nea, 聽servicios de chat privado y en grupo, y otros.

El problema reside en que los聽 firewalls de pr贸xima generaci贸n (NGFW) no proporcionan todo lo que聽 requieren las infraestructuras de seguridad de red y los atacantes aprovechan聽 estas brechas para聽 el robo de informaci贸n. Este tipo de firewalls actuales 聽combinan las tecnolog铆as convencionales y prevenci贸n de intrusiones en una 煤nica soluci贸n, y pueden a帽adir otras tecnolog铆as como el filtrado de URL y el an谩lisis antivirus. No obstante, seg煤n los principales analistas de la actualidad, estos firewalls no pueden reemplazar ni llevar a cabo todas las funciones requeridas para la protecci贸n integral de la empresa, en especial la inspecci贸n y el descifrado del tr谩fico encriptado SSL/TLS.

Asimismo una prueba independiente realizada por NSS Labs indica que 鈥渁ctivar鈥 la visibilidad del 聽tr谩fico encriptado SSL en los firewalls de pr贸xima generaci贸n (NGFW) puede disminuir el desempe帽o de los dispositivos hasta en un 80聽%, volvi茅ndolos ineficaces, poco pr谩cticos o muy costosos. De igual manera, menos del 20聽% de los dispositivos:聽 firewalls de siguiente generaci贸n (NGFW), Sensores de prevenci贸n de intrusiones (IPS) y聽 Gestores聽 Unificados de amenazas (UTM) que se聽 implementan en las redes empresariales detectan amenazas聽 dentro del tr谩fico encriptado SSL/TLS y otorgan protecci贸n contra las amenazas a la informaci贸n. Gartner hall贸 que pocas de las organizaciones que utilizan un firewall, un sistema de prevenci贸n de intrusiones o un dispositivo de administraci贸n unificada de amenazas descifran activamente el tr谩fico SSL entrante o saliente.

Dado lo anterior, la privacidad de los datos constituye una creciente preocupaci贸n en todo el mundo, especialmente debido al aumento en las comunicaciones a trav茅s del tr谩fico encriptado SSL/TLS. Y es por esto que las organizaciones deben ponderar la importancia de la privacidad de los datos de las comunicaciones de sus socios, clientes y empleados debido al tr谩fico encriptado frente a la necesidad de inspeccionar este tipo de tr谩fico en busca de malware peligroso y transferencia no autorizada de datos de propiedad exclusiva.

Para resolver los problemas de seguridad de red聽 la soluci贸n no 聽es bloquear el acceso de los usuarios a sitios web externos indeseables. Sabemos que la mayor铆a de las amenazas provienen de sitios web leg铆timos que han sido vulnerados por delincuentes cibern茅ticos, incluidos los sitios de noticias, empresas u organismos gubernamentales que tienen mucho tr谩fico. Con el aumento significativo del phishing, el ransomware y las comunicaciones de Comando y control (C&C) ocultas, muchas amenazas penetran la organizaci贸n desde el interior. Por lo tanto, es fundamental inspeccionar selectivamente el tr谩fico encriptado entrante y saliente en busca de posibles amenazas y transferencia no autorizada de datos.

De acuerdo a Blue Coat este dilema se resuelve con la aplicaci贸n de pol铆ticas integrales. Las soluciones dedicadas de administraci贸n del tr谩fico encriptado prueban que un enfoque de inspecci贸n, descifrado, reencriptado y administraci贸n de tr谩fico SSL/TLS garantiza una total 聽visibilidad de las amenazas maliciosas y de la transferencia no autorizada de datos, y otorga la m谩xima protecci贸n contra ellas. No obstante, las soluciones no tienen por qu茅 degradar el desempe帽o ni la eficiencia de la red, como as铆 tampoco de los diversos dispositivos de seguridad que la protegen. Se necesita una soluci贸n integral de administraci贸n del tr谩fico encriptado para aumentar la eficiencia de la infraestructura de seguridad completa y, al mismo tiempo, controlar de manera eficaz todas las 聽comunicaciones encriptadas.

 

N. de P. Blue Coat.

Siete puntos a considerar del tr谩fico encriptado

El incremento de amenazas crece de manera proporcional al tr谩fico en internet, adem谩s de las comunicaciones encriptadas SSL/ TLS, tambi茅n lo hace el riesgo debido a las amenazas ocultas.

Blue Coat Systems se帽ala que es importante utilizar soluciones de administraci贸n del tr谩fico encriptado que optimicen las capacidades de la infraestructura de seguridad de la red de manera rentable y, al mismo tiempo, administren eficazmente el tr谩fico encriptado SSL/TLS.

A continuaci贸n le compartimos 7 puntos a considerar:

  • La visibilidad limitada del tr谩fico encriptado da lugar a la p茅rdida y a la transferencia no autorizada de datos. Es que el tr谩fico SSL/TLS abarca m谩s que el tr谩fico TTPS/Web/puerto 443, debido a que las aplicaciones m贸viles y de nube innovadoras, as铆 como el malware avanzado, utilizan cada vez m谩s puertos diferentes y no est谩ndares. As铆 mismo las herramientas de seguridad de protecci贸n contra la p茅rdida de datos (DLP) y protecci贸n contra el robo de datos no ven los datos dentro del tr谩fico SSL/TLS, lo que genera un mayor riesgo, as铆 como el incumplimiento de las normativas y las pol铆ticas.
  • Un Sandboxing incompleto no puede analizar todas las amenazas maliciosas. Las soluciones antimalware o de sandbox no ven el tr谩fico encriptado y no pueden inspeccionar, aislar ni detonar el malware que est谩 oculto dentro de SSL/TLS. Estas herramientas est谩n demostrando ser menos eficaces para detener las amenazas persistentes avanzadas (APT) modernas y sofisticadas.
  • La protecci贸n inadecuada contra intrusiones no detiene los ataques. La mayor铆a de las soluciones de detecci贸n y prevenci贸n de intrusiones (IDS/IPS) no pueden ver ni inspeccionar el tr谩fico SSL/TLS, lo que las vuelve menos eficaces para proteger las redes modernas.
  • T茅cnicas forenses de red deficientes no pueden supervisar ni captar ataques sofisticados. Las herramientas de t茅cnicas forenses de red no pueden ver ni analizar las amenazas ocultas en el tr谩fico SSL/TLS, como as铆 tampoco responder ante ellas, lo que da como resultado puntos ciegos de seguridad graves y una respuesta a incidentes deficiente.
  • El descifrado de SSL descentralizado agrega complejidad y costos. La incorporaci贸n de una nueva herramienta de administraci贸n del tr谩fico SSL/TLS a menudo requiere que se agreguen dispositivos de seguridad duplicados o m谩s capacidad de hardware para satisfacer las necesidades de desempe帽o de la red. Esto puede ser bastante costoso y dif铆cil ya que tambi茅n requiere el redise帽o de su infraestructura de seguridad de red.
  • El descifrar junto con la inspecci贸n del tr谩fico SSL ralentizan las tareas. Los dispositivos de seguridad que pueden ver e inspeccionar el tr谩fico SSL, como IPS y NGFW, sufren una degradaci贸n del desempe帽o importante de hasta el 80% una vez que el SSL 鈥渟e activa鈥.
  • La cuesti贸n de las crecientes exigencias de cumplimiento normativo y de privacidad de los datos no es menor. Inspeccionar y descifrar ciertos tipos de tr谩fico SSL/TLS viola las normativas de cumplimiento y privacidad de los datos. Pero no inspeccionar ni descifrar el tr谩fico SSL/TLS plantea riesgos debido al aumento del malware avanzado innovador que se oculta dentro del tr谩fico encriptado. Un enfoque de descifrado de SSL de tipo 鈥渢odos o ninguno鈥 es poco realista y poco pr谩ctico.

驴Qu茅 hacer ante ello? Dentro del mercado pueden encontrar soluciones para estos problemas, cuya r谩pida propagaci贸n est谩 sacando de un letargo a las organizaciones.

Eliminar puntos ciegos de seguridad, prevenci贸n de p茅rdida de datos (DLP) con tr谩fico descifrado y no encriptado, visibilidad de SSL para aumentar la eficiencia en la detecci贸n, el aislamiento y eliminaci贸n de las APT, la r谩pida identificaci贸n de comportamientos sospechosos de atacantes y de la red, y la remediaci贸n de activos de red vulnerados. Todo ello con una capacidad que admite hasta 9 Gbps de rendimiento de SSL y 800.000 sesiones de SSL simult谩neas, para satisfacer las necesidades de las empresas m谩s exigentes.

Finalmente, Blue Coat seala que se puede tener una inspecci贸n y descifrado selectivos basados en un motor de pol铆ticas integral, para que pueda descifrar el tr谩fico desconocido y sospechoso, y permitir que el tr谩fico 鈥渂ueno鈥 y confiable atraviese la red en su estado encriptado. De esta forma se garantizan la privacidad de los datos y el cumplimiento, y satisfacen los intereses de todos, especialmente de los equipos de Asuntos legales, Cumplimiento y Recursos Humanos.

Redacci贸n

El cifrado SSL es una tendencia en auge

Seguridad-SSL

Se dice que el descubrimiento de oscuras pr谩cticas por parte de agencias gubernamentales y tendencias como SPDY y HTTP2.0 han disparado las peticiones de gesti贸n del tr谩fico cifrado. Seg煤n Javier M煤gica, FSE Leader Spain en F5 Networks, remarca que escucharemos “SSL est谩 hasta en la sopa”.

A consecuencia de una degeneraci贸n profesional, el cifrado SSL estar谩 en todas partes. Platica que hace unos d铆as, cuando ayudaba a si hermana a darle la comida a su peque帽a sobria, observ贸 que al terminar le quedaron en el plato s贸lo tres letras: 鈥淪鈥, 鈥淪鈥 y 鈥淟鈥, lo que le record贸 que estamos viendo cada vez m谩s peticiones relacionadas con la gesti贸n del tr谩fico cifrado por parte de los 聽clientes y partners.

Las razones son m煤ltiples, desde el descubrimiento 鈥渟e dice鈥 de ciertas oscuras pr谩cticas por parte de algunas agencias gubernamentales, ya que muchos fueron los que decidieron cambiar sus estrategias de entrega de servicios web para cifrar el tr谩fico con sus clientes y/o usuarios.

Adem谩s, estamos viendo tambi茅n nuevas tendencias que incorporan la necesidad de cifrado para el transporte de los datos, concretamente SPDY y HTTP 2.0, que introducen una mejora de alrededor de un 30% en la descarga y presentaci贸n de los contenidos web, hoy por hoy ya soportan todos los browsers. De hecho, hay compa帽铆as como Google que aprovechan que el protocolo es 鈥渃ompatible hacia atr谩s鈥, ya presentan todos sus servicios mediante SPDY o HTTP 2.0 como el buscador, Youtube, Gmail, Google Maps, Drive, Apps, entre otras, Google, est谩 liderando un gran cambio de paradigma, ya que eval煤a el cifrado de las p谩ginas para mejorar o empeorar el posicionamiento en su buscador, as铆 que nadie se sorprenda cuando los departamentos de marketing empiecen a preguntar a IT por qu茅 la publicaci贸n de servicios no tiene un 鈥淎+鈥 en 鈥渟sl labs鈥.

La pregunta se remonta a que estos protocolos no s贸lo mejoran la velocidad de descarga, haciendo que algunos se planteen abandonar el uso de CDN y habilitar el servicio en SPDY/H2.0, sino que tambi茅n mejoran la seguridad de la entrega, ya que requieren el uso de cifrado para su funcionamiento, introduciendo la necesidad de offloading del mismo en plataformas hardware con capacidad de cifrado. Adem谩s de hacer este offloading, los BIG-IP, tambi茅n pueden funcionar como Gateway SPDY/HTTP2.0.

El resultado que el cifrado ofrece es una tendencia en evidente auge, tanto es as铆 que en algunas reuniones con los principales operadores, en Espa帽a, han reconocido rangos superiores a un 40% de tr谩fico cifrado sobre el tr谩fico total que sirven. Esto, les genera otros problemas de optimizaci贸n del tr谩fico a los operadores, haciendo que la optimizaci贸n del tr谩fico TCP sea una alternativa muy interesante para los ISP, por encima de soluciones tradicionales de caching.

internet-seguridad-SSL

Por otra parte, este 煤ltimo a帽o ha sido especialmente importante desde el punto de vista de la seguridad y arquitecturas de cifrado. La aparici贸n del ataque HeartBleed, que ha sido categorizado como la vulnerabilidad m谩s importante desde el nacimiento de Internet, dado que entre otras posibles fugas de informaci贸n permit铆a obtener la clave privada de los certificados, y tambi茅n del ataque Poodle, ha hecho que muchos reconsideren estrategias de cifrado, tipos de protocolos (TLS1.1/1.2), cipher鈥 a usar, uso de offloading centralizado, HSM y netHSM, uso de ECC (Elliptic curve cryptography Cipher, que permite cifrado seguro con claves m谩s peque帽as, para dispositivos con menor capacidad), entre otras.

A pesar de estas nuevas amenazas, hace unos d铆as pude leer en un informe de seguridad de Cisco que a煤n existen un 56% de servidores sobre su muestreo con versiones de OpenSSL con m谩s de 4 a帽os de antig眉edad sin parchear, lo cual me da que pensar si realmente las empresas est谩n preocupadas o no por la seguridad. En cualquier caso, hay brotes verdes. David Holmes, uno de nuestros expertos en seguridad, haciendo su propio muestreo, ha observado importantes mejoras en la adopci贸n de FPS o Forward Perfect Secrecy y TLS desde la aparici贸n de estos ataques.

La adopci贸n de SSL ha tenido otros nuevos casos de uso como herramienta de comunicaci贸n entre botnets, malware y C&C, limitando la capacidad de detecci贸n de fugas de informaci贸n, descarga de contenidos maliciosos. Adem谩s, el uso de SSL para la realizaci贸n de ataques DDoS, ya sea para tratar de evitar el filtrado del ataque en la nube, como para atacar a los aplicativos, como pueden ser peticiones recurrentes a la capa 7 transportadas mediante SSL, o bien ataques DDoS al propio protocolo, tales como ataques de renegociaci贸n, ya que el servidor consume 15x ciclos de CPU en cada renegociaci贸n de clave SSL con respecto al cliente.

Por todo ello, aparece la necesidad continua en las organizaciones de cifrar el tr谩fico hacia el exterior, pero tambi茅n de descifrar el tr谩fico entrante y saliente de la organizaci贸n, para poder dar visibilidad de estos tr谩ficos a todos los elementos de seguridad que tienen las organizaciones: sistemas IPS, sistemas anti APT, firewalls, SIEM, etc., tradicionalmente ciegos ante este tipo de tr谩ficos o con problemas de rendimiento o compatibilidad con la funcionalidad de descifrado.

Finalmente, existen dos estrategias, para descifrar y cifrar en cada uno de estos dispositivos, lo cual adem谩s de latencias, introduce otros muchos problemas: rendimiento, compatibilidad con los 煤ltimos ciphers, costos, o bien usar una plataforma centralizada de descifrado e inspecci贸n de estos tr谩ficos, que adem谩s permita el 鈥渟teering鈥 de tr谩fico a estos sistemas as铆 como escalarlos y darles alta disponibilidad. Es por ello que, como dec铆a al principio, cada vez m谩s clientes y partners nos pregunten sobre esto, ya que ha aparecido un 鈥渘uevo鈥 caso de uso para nuestros equipos, haciendo tanto el offload del tr谩fico cifrado hacia los servidores, como el funcionamiento interceptando el tr谩fico saliente cifrado para su inspecci贸n por otros sistemas de seguridad.

-Javier M煤gica, F5 Networks