Etiqueta: SSL

Es posible combinar seguridad y alto rendimiento de descifrado SSL 

A raíz de la explosión del cifrado SSL, A10 Networks muestra que es posible combinar seguridad y alto rendimiento con opciones de cifrado y descifrado SSL avanzadas. 

“A pesar de los posibles puntos ciegos introducidos por el tráfico cifrado, lo cual hace más difícil detectar el malware y otras amenazas cibernéticas, algunas empresas optan por no inspeccionar el tráfico cifrado SSL. ¿La razón? Una percepción errónea sobre determinadas características asociadas al cifrado SSL como rendimiento, costo o seguridad”, afirma Jairo Alberto Parra, Regional Sales Manager Northern LATAM de A10 Networks.  

De igual forma, y para intentar separar realidad de ficción, A10 busca aclarar algunas apreciaciones equivocadas sobre SSL. 

Más cerca del mito que de la realidad… algunos ejemplos: 

SSL es complicado, lento, consume muchos recursos e introduce nuevos riesgos para las redes. En realidad, en estos días, es posible que los procesadores SSL alcancen velocidades tan altas como 44.000 conexiones SSL por segundo (CPS) para archivos cifrados con un tamaño de 128B. El uso de tecnología de entrega de aplicaciones y balanceo de carga de servidor puede descargar el procesamiento intensivo SSL/TLS de los servidores web para un procesamiento más rápido del tráfico SSL. 

Ya sé lo que está sucediendo con nuestro tráfico de red. En realidad, muchos profesionales de TI no son capaces de cuantificar cuánto tráfico cifrado hay en su red hasta que realmente instalan soluciones de descifrado/cifrado SSL/TLS, especialmente aquellas que admiten protocolos distintos de HTTPS y pueden detectar SSL /TLS en puertos no estándar. El cifrado SSL/TLS en escenarios de alto rendimiento y de alta velocidad de conexión puede dar a las empresas la seguridad de que sus plataformas de protección pueden convertirse en “asesinos de ransomware”. 

Tengo una solución de cifrado; no necesito un appliance dedicado. Si bien es cierto que muchas soluciones “todo en uno” pueden procesar el tráfico cifrado, a menudo dichas soluciones llevan un impuesto asociado al procesamiento de SSL. ¿Es posible sacrificar la seguridad por el rendimiento, o viceversa? Contar con un appliance dedicado para el descifrado/cifrado SSL elimina las demandas de procesamiento de sus otros dispositivos, lo que significa que no sufren el impacto del procesamiento de tráfico SSL. También hace más sentido descifrar el tráfico encriptado una sola vez, e inspeccionar múltiples veces. 

Bloqueando el acceso a sitios web no recomendados estaremos a salvo. El mal tráfico no proviene únicamente de sitios web desaconsejados; numerosos sitios web legítimos son explotados. Llamativos son también los riesgos adicionales que los trabajadores móviles infiltran en los perímetros asegurados, como las aplicaciones que pueden incluir malware. Es importante contar con una solución de encriptación que proteja la red desde todos los ángulos. 

Nuevas soluciones SSL de A10: seguridad y rendimiento  

A10 Networks presentó el pasado mes de junio la tercera generación de sus soluciones de hardware SSL/TLS. 

Disponibles para ciertos appliances hardware de la familia A10 Thunder, los nuevos modelos Thunder ofrecen hasta dos veces el rendimiento proporcionado por productos similares de la competencia para el cifrado avanzado, reduciendo drásticamente el costo por conexión. En este sentido, y además de superar a los competidores en conexiones por segundo (CPS), rendimiento general y otras áreas clave, A10 ayuda a los clientes existentes a escalar sus soluciones actuales para acomodarlas el tráfico futuro, sin requerir una actualización y con sustitución de su dispositivo existente, ofreciendo así una verdadera protección de la inversión e importantes ahorros. 

Adicionalmente, y gracias a la funcionalidad de entrega de aplicaciones y de balanceo de carga de servidores de A10 Thunder ADC, A10 garantiza la aceleración de las aplicaciones, descargando el procesamiento intensivo SSL/TLS de los servidores web a los equipos ADC. Esto asegura respuestas rápidas y seguras a las solicitudes de los clientes. Asimismo, A10 Thunder SSLi proporciona visibilidad en el tráfico cifrado, integrándose con una amplia gama de proveedores de seguridad y eliminando el punto ciego SSL, lo que permite proteger a los usuarios de la empresa de los ataques cuando navegan en Internet.
 

Symantec y Google se enfrentan por 30,000 certificados SSL inválidos

Según una encuesta de Netcraft, Symantec es responsable desde 2015 de aproximadamente uno de cada tres certificados SSL utilizados en la web, por lo que es el mayor emisor de certificados comerciales del mundo. Además, como resultado de adquisiciones a lo largo de los años, la compañía ahora controla los certificados de varias autoridades anteriormente independientes, incluyendo VeriSign, GeoTrust, Thawte y RapidSSL.

Sin embargo, Google defiende que muchos de los certificados emitidos por Symantec son incorrectos ya que tienen una antigüedad tan elevada que no permiten confirmar si efectivamente son seguros o no. Un plan propuesto es obligar a la compañía a reemplazar todos los certificados de sus clientes y a dejar de reconocer el estado de validación extendida (EV) de aquellos que lo tienen. Según Google, esta investigación cuestiona la validez de al menos 30,000 certificados emitidos por los socios de Symantec durante varios años. Sin embargo, Symantec disputa este número.

El proceso de emisión y administración de certificados se rige por las reglas creadas por CA/Browser Forum, una organización cuyos miembros incluyen proveedores de navegadores y autoridades de certificación. Cuando se violan estas reglas, los proveedores de navegadores y sistemas operativos pueden revocar la confianza en los certificados infractores y sancionar a las autoridades de certificación responsables, llegando incluso a expulsarlos. Según Google, una investigación sobre un incidente reciente indica que Symantec no ha mantenido las prácticas de seguridad esperadas de las autoridades de certificación, como la validación del control de dominio, la auditoría de los registros de evidencia de emisión no autorizada y la reducción de la capacidad de emisión de certificados fraudulentos.

El plan de Google se pone en práctica, millones de certificados de Symantec existentes no serán de confianza durante los próximos 12 meses en Google Chrome. Esto pondrá una enorme presión sobre Symantec, ya que la empresa tendrá que ponerse en contacto con todos los clientes, validar su identidad y la propiedad de sus dominios de nuevo, y reemplazar sus certificados existentes por otros nuevos, muy probablemente sin coste alguno. Además, Symantec podría tener que reembolsar a los clientes que pagaron por certificados EV que ya no se reconozcan como tales en Chrome, ya que su valor se reduciría significativamente.

Es seguro decir que las sanciones de Google podrían tener un impacto significativo en el negocio SSL de Symantec, ya que es probable que la compañía pierda clientes que no estarán dispuestos a soportar estas restricciones y llevarán su negocio a una autoridad de certificación diferente (CA, en inglés). Los vendedores de navegadores han castigado antes a las CA por emitir de manera inapropiada certificados -o equivocarse en el lenguaje de la industria- pero nunca en esta escala y con un impacto tan grande en el ecosistema.

Redacción

 

Se reduce el malware en 2016, pero el ransomware alcanza cifras históricas

Los ciberdelincuentes lanzaron un menor número de ataques de malware en 2016, aunque la razón de esta disminución es que estaban demasiado ocupados recaudando el dinero de los ataques de ransomware los cuales ya tenían trabajando.

El número de muestras únicas de malware descubiertas en 2016 fue de 60 millones, un 6.25% menos que los 64 millones del año anterior, según un informe publicado por SonicWall. “Es la primera vez que observo que el número de muestras únicas de malware realmente disminuye”, afirma Dmitriy Ayrapetov, director de Gestión de Productos de la compañía.

El informe, basado en datos de más de un millón de sensores, muestra que el número total de intentos de ataque de malware cayó también de 8,200 millones a 7,900 millones.

Una razón para esta disminución de ataques podría sustentarse en la aplicación de la ley, gracias a la cual el año pasado desaparecieron tres kits de exploits (Angler, Neutrino y Nuclear), y en el aumento del uso de cifrado como SSL y TLS para las comunicaciones online, una acción que también ayudó a mejorar la seguridad.

Una de las mayores caídas, de acuerdo con el estudio realizado por SonicWall, se ha producido en el número de variantes de malware en los puntos de venta, que descendió un 88% en 2016. En parte, esto se ha debido al incremento de la seguridad llevado a cabo por la industria minorista.

Después de los ataques de perfil alto ejecutados en 2014, las compañías mejoraron su seguridad y en 2015 los comercios empezaron a reemplazar sus viejos lectores de tarjetas de crédito de banda magnética por máquinas para tarjetas con chip.

Como consecuencia, los hackers comenzaron a centrarse en algo más lucrativo: ransomware. El número de ataques de esta variante de software malicioso aumentó 167 veces, pasando de 3.8 millones de intentos de ataque de ransomware en 2015 a 638 millones en 2016. “Ahí es donde está el dinero”, asegura Ayrapetov.

De acuerdo con diversos estudios, el ransomware se llevó más de 1,000 millones de dólares el pasado año en todo el mundo. La tónica habitual consistió en lanzarlo a través de correos electrónicos de phishing y oculto en el tráfico cifrado, una de las consecuencias no deseadas del uso de SSL.

Muchas organizaciones no inspeccionan el tráfico encriptado que pasa a través de sus firewalls, según el directivo de SonicWall, lo que proporciona una puerta trasera a los criminales. “Es algo a lo que todas las compañías tendrán que comenzar a prestar atención”, sostiene Dmitriy Ayrapetov.

Maria Korolov

El HTTP/2 ofrece mayor rendimiento, pero baja confianza en seguridad

El nuevo protocolo poco a poco se empieza a implementar, ofrece un mejor rendimiento y es compatible con el protocolo anterior, HTTP/1.1. No se han encontrado problemas de seguridad en el propio protocolo, pero hay vulnerabilidades en algunas implementaciones y la posibilidad de una menor visibilidad en el tráfico de Internet, por lo que vale la pena esperar un poco para actualizarse.

Se debe tener en cuenta que el protocolo HTTP/1.1 tiene alrededor de 16 años y es el estándar de mensajería subyacente para solicitar páginas web y recursos asociados. Cuando los navegadores utilizan varias conexiones para enviar solicitudes paralelas, provoca congestión. Los sitios web utilizan una serie de trucos y soluciones para tratar de ofrecer contenido más rápido.

HTTP/2 promete solucionar el problema con la multiplicación, que beneficia especialmente a los sitios web con muchos objetos pequeños. Para el usuario fina no resultará distinto, pero el sitio web podría cargarse un poco más rápido.

No contiene  cifrado

El cifrado obligatorio no está integrado en el propio protocolo. Sin embargo, todas las implementaciones de navegador actuales requieren encriptación TLS, agregando una capa de seguridad para la web.

Esto significa que las empresas podrían no ser capaces de analizar de forma efectiva el tráfico HTTP/2, tanto las conexiones entrantes que podrían entregar malware como las conexiones salientes que filtran datos críticos.

Algunos proveedores ofrecen soluciones que funcionan con cifrado HTTPS y SSL. Pero los cambios que vienen con HTTP/2 están en un nivel más básico. Resolver este problema no va a ser fácil. Los proveedores tendrán que actualizar sus productos para manejar HTTP/2.

Es recomendable que la empresa ejecute las pruebas primero para ver si son capaces de inspeccionar el tráfico HTTP/2 con sus sistemas actuales y, en caso contrario, es posible que sea mejor esperar.

Nuevas vulnerabilidades

HTTP/2 plantea otros riesgos para las empresas, además de la cuestión de la visibilidad en el tráfico de Internet. Ya se han descubierto varias vulnerabilidades, todas relacionadas con ataques distribuidos de denegación de servicio. Incluyen la lectura lenta, la bomba HPACK, el ataque de ciclo de dependencia y la vulnerabilidad de abuso de multiplexación de flujo.

El protocolo en sí, no tiene problemas, el problema está en las implementaciones. En una prueba realizada recientemente se comprobó que, en los principales servidores web, incluyendo Apache, IIS, Jetty, Nghttpd y Nginx, eran vulnerables a al menos un ataque. Esto significa que los atacantes no necesitan un ejército de máquinas infectadas para actuar como relés o relés de aumento.

A pesar de que se han corregido sus vulnerabilidades, esto no quiere decir que todos los servidores Web hayan instalado los parches.

Las empresas que necesitan actualizarse a HTTP/2 y ejecutar sus propios servidores web y no pueden mantener los parches actualizados, conviene usar un firewall de aplicaciones web que proteja contra las nuevas vulnerabilidades a medida que se descubren.

Maria Korolovo

La tecnología de encriptación aumenta los ciberataques

El incremento del uso de la tecnología de encriptación tiene a la par un incremento de los ciberataques, según un estudio de A10 Networks, proveedor de tecnología de redes de aplicación.

Llevado a cabo en colaboración con el Instituto Ponemon, el informe “Hidden Threats in Encrypted Traffic” destaca los inmensos retos a los que tienen que hacer frente los profesionales de seguridad a la hora de prevenir y detectar ataques en el tráfico cifrado de la red de la empresa.

El cifrado SSL no sólo oculta el tráfico de datos de posibles hackers, también lo hace de las herramientas comunes de seguridad. Es por ello que, cada vez son más las compañías que recurren a la tecnología de encriptación para mantener seguros sus datos en la red. La tecnología de cifrado es crucial para proteger datos importantes que están en movimiento, tales como transacciones, emails o aplicaciones móviles, que pueden permitir que un malware se esconda en ese tráfico encriptado para pasar inadvertido por la seguridad de la empresa.

Casi el 50% de los encuestados en el estudio señaló la falta de permisos en las herramientas de seguridad como primera razón para no examinar el tráfico encriptado de la web, seguido de otras como la falta de recursos y de la disminución del rendimiento de la red. El 80% dijo que sus empresas habían sido víctimas de amenazas internas o ciberataques durante el año anterior, y cerca de la mitad aseguró que los atacantes suelen utilizar la encriptación para evitar que les descubriesen.

Aunque el 75% de los encuestados asegura que sus redes corren el riesgo de tener un malware oculto en el interior del tráfico encriptado, aproximadamente dos tercios admiten que su empresa no está preparada para detectar vulnerabilidades en el tráfico SSL, haciéndoles vulnerables a las violaciones de datos importantes y a la pérdida de propiedad intelectual. La mayoría de estas empresas pertenecen al sector de servicios financieros, a la sanidad y al sector público.

Se espera que la amenaza empeore en la medida en la que el tráfico encriptado de datos continúe creciendo. Muchas empresas podrían ser cazadas por sorpresa, debido a que sus soluciones de seguridad están colapsadas bajo el peso enorme de las vulnerabilidades SSL.

“Los criminales buscan retorno de la inversión, pero no quieren trabajar duro para conseguirlo. Los líderes en IT tienen que ser más efectivos y centrarse en asuntos más estratégicos con la mejor tecnología disponible”, concluyó Chase Cunnigham, director de ciberoperaciones en A10 Networks.

Redacción

 

Citrix lanza una versión gratuita de carga NetScaler para desarrolladores

El tema de la Transformación Digital, es donde las empresas en la actualidad llevan a la línea del negocio al adoptar metodologías veloces de desarrollo e implementación de aplicaciones, tales como DevOps.

Las empresas están desarrollando sus propias aplicaciones para mejorar la productividad interna y aumentar el compromiso de los clientes. Citrix anunció el lanzamiento de NetScaler CPX Express, una versión gratuita para desarrolladores, que es un NetScaler en factor de forma de contenedor que entrega un balanceador de carga probado rigurosamente para que los desarrolladores puedan crear aplicaciones de microservicios.

A diferencia de las alternativas de software gratuito y de código abierto (F/OSS), NetScaler CPX Express es un balanceador de carga con funcionalidades completas compatible con microservicios que les da a los desarrolladores la misma funcionalidad segura y de nivel empresarial que la plataforma NetScaler, permite una transición sin inconvenientes de la infraestructura para entrega de aplicaciones en los dos ciclos, desde el desarrollo hasta la implementación. NetScaler CPX Express ofrece a los desarrolladores de aplicaciones de microservicios como:

  • Capacidades de balanceo de carga con reconocimiento de aplicaciones
  • Actualizaciones fáciles y en servicio sin disrupción para los microservicios
  • Capacidades de seguridad avanzadas tales como descarga de SSL y protección contra vectores de amenazas DDoS para la capa de la red, el transporte y las aplicaciones, y límites a la velocidad de API para mitigación de ataques DDoS
  • Descubrimiento y autorreconfiguración de servicios con los sistemas de gestión de contenedores Google Kubernetes, Docker Swarm y Apache Mesos
  • Visibilidad, gestión y análisis en tiempo real mediante la integración con Sistema de análisis y administración de NetScaler
  • La capacidad de puesta en funcionamiento en menos de cinco minutos

Redacción

Vulnerabilidades, factor crítico para la seguridad de los sitios web

Si los servidores web están desprotegidos, también lo están los sitios web que se alojan en ellos y, en consecuencia, las personas que acceden a los sitios web y los visitan. Los ciberdelincuentes aprovechan cualquier vulnerabilidad para atacar los sitios y tomar el control de sus servidores host.

Symantec señala en un comunicado que, tanto las vulnerabilidades como los nuevos tipos de malware dejan claro que las empresas deben interesarse y enfocarse por completo en mejorar la seguridad de los sitios.

Una vulnerabilidad crítica es aquella que, en caso de ser aprovechada, puede permitir que se ejecute un código malicioso sin necesidad de la interacción de un usuario, lo cual facilita la fuga de datos y pone en peligro a los internautas que visiten los sitios web afectados.

El número de vulnerabilidades varía ligeramente de un año a otro, sin embargo, sigue observándose una tendencia al alza. Las más conocidas tienen solución si se instalan revisiones o se toman otras medidas, pero los creadores de malware saben que vale la pena tratar de aprovecharlas porque las empresas no se interesan en remediarlas. En muchos casos se utiliza un dropper (programa o componente de malware, diseñado para instalar algún tipo de virus o código dañino en un sistema de destino), que busca vulnerabilidades conocidas sin resolver, para usarlas como puerta trasera y propagar el malware. Instalar las actualizaciones resulta, por tanto, trascendental.

Cómo sucede

Con frecuencia los ciberdelincuentes contaminan los servidores web afectados con código que conduce a kits de herramientas de ataque o bien envían mensajes de correo electrónico no deseados para robar nombres de usuario y contraseñas. Además, en ocasiones utilizan dichos servidores como trampolín para seguir causando estragos, por ejemplo, mediante ataques DDoS, aprovechando que el ancho de banda de un proveedor de alojamiento (host) es mucho mayor que el de un usuario doméstico con una conexión de banda ancha.

Abundan cada vez más los kits de herramientas de ataque automatizadas y especializadas que buscan sistemas de gestión de contenidos desprotegidos y otras aplicaciones web riesgosas. Si bien durante los últimos años los principales proveedores de sistemas de gestión de contenidos han mejorado sus defensas y han implantado las actualizaciones automáticas, sus complementos siguen constituyendo un grave problema para la seguridad.

Qué hacer

Los certificados SSL y TLS tienen un objetivo. Cabe destacar que, aunque la seguridad web pasó por momentos difíciles hace dos años, los certificados SSL y TLS (sus equivalentes más modernos) siguen siendo esenciales y ofrecen la misma o incluso más protección que antes.

Gracias al esfuerzo y la vigilancia de organizaciones como el CA/Browser Forum, los estándares del sector mejoran constantemente. Los mecanismos básicos que garantizan la protección de un sitio web y sus visitantes no solo siguen siendo válidos, sino que cada vez son más eficaces.

N. de P. Symantec

Para 2017, el 50% de los ciberataques utilizarán tráfico encriptado

Según Gartner, para 2017 más de la mitad de los ataques de red dirigidos a empresas utilizarán el tráfico encriptado para evadir los controles, mientras que en 2013 la cifra era menor al 5%.

Estas cifras son alarmantes y se deben a que el  tráfico encriptado crea puntos ciegos graves en las infraestructuras de seguridad de red actuales que dan lugar al malware avanzado, al tiempo que aumenta los riesgos relacionados con la privacidad y el cumplimiento reglamentario. Asimismo, Blue Coat descubrió que el 70% de las empresas confían ciegamente en el encriptado SSL/TLS para proteger sus  datos privados y evitar que puedan visualizarse cuando están en tránsito.

Por otro lado, NSS Labs predice un aumento promedio del 20 % anual del tráfico SSL/TLS, impulsado por el rápido aumento en el uso de HTTPS y otros servicios y protocolos basados en SSL/TLS. La migración de las empresas a los servicios de nube y las aplicaciones móviles, en especial a nubes externas, también fomentará una mayor confianza en el tráfico encriptado. El tráfico SSL/TLS es utilizado cotidianamente por empresas y público en general ya que funciona como la base para proteger múltiples servicios de red esenciales como:  correo electrónico,  transferencia de archivos, mensajería de grupos de noticias,  acceso al directorio,  mensajería instantánea,  servicios de chat privado y en grupo, y otros.

El problema reside en que los  firewalls de próxima generación (NGFW) no proporcionan todo lo que  requieren las infraestructuras de seguridad de red y los atacantes aprovechan  estas brechas para  el robo de información. Este tipo de firewalls actuales  combinan las tecnologías convencionales y prevención de intrusiones en una única solución, y pueden añadir otras tecnologías como el filtrado de URL y el análisis antivirus. No obstante, según los principales analistas de la actualidad, estos firewalls no pueden reemplazar ni llevar a cabo todas las funciones requeridas para la protección integral de la empresa, en especial la inspección y el descifrado del tráfico encriptado SSL/TLS.

Asimismo una prueba independiente realizada por NSS Labs indica que “activar” la visibilidad del  tráfico encriptado SSL en los firewalls de próxima generación (NGFW) puede disminuir el desempeño de los dispositivos hasta en un 80 %, volviéndolos ineficaces, poco prácticos o muy costosos. De igual manera, menos del 20 % de los dispositivos:  firewalls de siguiente generación (NGFW), Sensores de prevención de intrusiones (IPS) y  Gestores  Unificados de amenazas (UTM) que se  implementan en las redes empresariales detectan amenazas  dentro del tráfico encriptado SSL/TLS y otorgan protección contra las amenazas a la información. Gartner halló que pocas de las organizaciones que utilizan un firewall, un sistema de prevención de intrusiones o un dispositivo de administración unificada de amenazas descifran activamente el tráfico SSL entrante o saliente.

Dado lo anterior, la privacidad de los datos constituye una creciente preocupación en todo el mundo, especialmente debido al aumento en las comunicaciones a través del tráfico encriptado SSL/TLS. Y es por esto que las organizaciones deben ponderar la importancia de la privacidad de los datos de las comunicaciones de sus socios, clientes y empleados debido al tráfico encriptado frente a la necesidad de inspeccionar este tipo de tráfico en busca de malware peligroso y transferencia no autorizada de datos de propiedad exclusiva.

Para resolver los problemas de seguridad de red  la solución no  es bloquear el acceso de los usuarios a sitios web externos indeseables. Sabemos que la mayoría de las amenazas provienen de sitios web legítimos que han sido vulnerados por delincuentes cibernéticos, incluidos los sitios de noticias, empresas u organismos gubernamentales que tienen mucho tráfico. Con el aumento significativo del phishing, el ransomware y las comunicaciones de Comando y control (C&C) ocultas, muchas amenazas penetran la organización desde el interior. Por lo tanto, es fundamental inspeccionar selectivamente el tráfico encriptado entrante y saliente en busca de posibles amenazas y transferencia no autorizada de datos.

De acuerdo a Blue Coat este dilema se resuelve con la aplicación de políticas integrales. Las soluciones dedicadas de administración del tráfico encriptado prueban que un enfoque de inspección, descifrado, reencriptado y administración de tráfico SSL/TLS garantiza una total  visibilidad de las amenazas maliciosas y de la transferencia no autorizada de datos, y otorga la máxima protección contra ellas. No obstante, las soluciones no tienen por qué degradar el desempeño ni la eficiencia de la red, como así tampoco de los diversos dispositivos de seguridad que la protegen. Se necesita una solución integral de administración del tráfico encriptado para aumentar la eficiencia de la infraestructura de seguridad completa y, al mismo tiempo, controlar de manera eficaz todas las  comunicaciones encriptadas.

 

N. de P. Blue Coat.

Siete puntos a considerar del tráfico encriptado

El incremento de amenazas crece de manera proporcional al tráfico en internet, además de las comunicaciones encriptadas SSL/ TLS, también lo hace el riesgo debido a las amenazas ocultas.

Blue Coat Systems señala que es importante utilizar soluciones de administración del tráfico encriptado que optimicen las capacidades de la infraestructura de seguridad de la red de manera rentable y, al mismo tiempo, administren eficazmente el tráfico encriptado SSL/TLS.

A continuación le compartimos 7 puntos a considerar:

  • La visibilidad limitada del tráfico encriptado da lugar a la pérdida y a la transferencia no autorizada de datos. Es que el tráfico SSL/TLS abarca más que el tráfico TTPS/Web/puerto 443, debido a que las aplicaciones móviles y de nube innovadoras, así como el malware avanzado, utilizan cada vez más puertos diferentes y no estándares. Así mismo las herramientas de seguridad de protección contra la pérdida de datos (DLP) y protección contra el robo de datos no ven los datos dentro del tráfico SSL/TLS, lo que genera un mayor riesgo, así como el incumplimiento de las normativas y las políticas.
  • Un Sandboxing incompleto no puede analizar todas las amenazas maliciosas. Las soluciones antimalware o de sandbox no ven el tráfico encriptado y no pueden inspeccionar, aislar ni detonar el malware que está oculto dentro de SSL/TLS. Estas herramientas están demostrando ser menos eficaces para detener las amenazas persistentes avanzadas (APT) modernas y sofisticadas.
  • La protección inadecuada contra intrusiones no detiene los ataques. La mayoría de las soluciones de detección y prevención de intrusiones (IDS/IPS) no pueden ver ni inspeccionar el tráfico SSL/TLS, lo que las vuelve menos eficaces para proteger las redes modernas.
  • Técnicas forenses de red deficientes no pueden supervisar ni captar ataques sofisticados. Las herramientas de técnicas forenses de red no pueden ver ni analizar las amenazas ocultas en el tráfico SSL/TLS, como así tampoco responder ante ellas, lo que da como resultado puntos ciegos de seguridad graves y una respuesta a incidentes deficiente.
  • El descifrado de SSL descentralizado agrega complejidad y costos. La incorporación de una nueva herramienta de administración del tráfico SSL/TLS a menudo requiere que se agreguen dispositivos de seguridad duplicados o más capacidad de hardware para satisfacer las necesidades de desempeño de la red. Esto puede ser bastante costoso y difícil ya que también requiere el rediseño de su infraestructura de seguridad de red.
  • El descifrar junto con la inspección del tráfico SSL ralentizan las tareas. Los dispositivos de seguridad que pueden ver e inspeccionar el tráfico SSL, como IPS y NGFW, sufren una degradación del desempeño importante de hasta el 80% una vez que el SSL “se activa”.
  • La cuestión de las crecientes exigencias de cumplimiento normativo y de privacidad de los datos no es menor. Inspeccionar y descifrar ciertos tipos de tráfico SSL/TLS viola las normativas de cumplimiento y privacidad de los datos. Pero no inspeccionar ni descifrar el tráfico SSL/TLS plantea riesgos debido al aumento del malware avanzado innovador que se oculta dentro del tráfico encriptado. Un enfoque de descifrado de SSL de tipo “todos o ninguno” es poco realista y poco práctico.

¿Qué hacer ante ello? Dentro del mercado pueden encontrar soluciones para estos problemas, cuya rápida propagación está sacando de un letargo a las organizaciones.

Eliminar puntos ciegos de seguridad, prevención de pérdida de datos (DLP) con tráfico descifrado y no encriptado, visibilidad de SSL para aumentar la eficiencia en la detección, el aislamiento y eliminación de las APT, la rápida identificación de comportamientos sospechosos de atacantes y de la red, y la remediación de activos de red vulnerados. Todo ello con una capacidad que admite hasta 9 Gbps de rendimiento de SSL y 800.000 sesiones de SSL simultáneas, para satisfacer las necesidades de las empresas más exigentes.

Finalmente, Blue Coat seala que se puede tener una inspección y descifrado selectivos basados en un motor de políticas integral, para que pueda descifrar el tráfico desconocido y sospechoso, y permitir que el tráfico “bueno” y confiable atraviese la red en su estado encriptado. De esta forma se garantizan la privacidad de los datos y el cumplimiento, y satisfacen los intereses de todos, especialmente de los equipos de Asuntos legales, Cumplimiento y Recursos Humanos.

Redacción

El cifrado SSL es una tendencia en auge

Seguridad-SSL

Se dice que el descubrimiento de oscuras prácticas por parte de agencias gubernamentales y tendencias como SPDY y HTTP2.0 han disparado las peticiones de gestión del tráfico cifrado. Según Javier Múgica, FSE Leader Spain en F5 Networks, remarca que escucharemos “SSL está hasta en la sopa”.

A consecuencia de una degeneración profesional, el cifrado SSL estará en todas partes. Platica que hace unos días, cuando ayudaba a si hermana a darle la comida a su pequeña sobria, observó que al terminar le quedaron en el plato sólo tres letras: “S”, “S” y “L”, lo que le recordó que estamos viendo cada vez más peticiones relacionadas con la gestión del tráfico cifrado por parte de los  clientes y partners.

Las razones son múltiples, desde el descubrimiento “se dice” de ciertas oscuras prácticas por parte de algunas agencias gubernamentales, ya que muchos fueron los que decidieron cambiar sus estrategias de entrega de servicios web para cifrar el tráfico con sus clientes y/o usuarios.

Además, estamos viendo también nuevas tendencias que incorporan la necesidad de cifrado para el transporte de los datos, concretamente SPDY y HTTP 2.0, que introducen una mejora de alrededor de un 30% en la descarga y presentación de los contenidos web, hoy por hoy ya soportan todos los browsers. De hecho, hay compañías como Google que aprovechan que el protocolo es “compatible hacia atrás”, ya presentan todos sus servicios mediante SPDY o HTTP 2.0 como el buscador, Youtube, Gmail, Google Maps, Drive, Apps, entre otras, Google, está liderando un gran cambio de paradigma, ya que evalúa el cifrado de las páginas para mejorar o empeorar el posicionamiento en su buscador, así que nadie se sorprenda cuando los departamentos de marketing empiecen a preguntar a IT por qué la publicación de servicios no tiene un “A+” en “ssl labs”.

La pregunta se remonta a que estos protocolos no sólo mejoran la velocidad de descarga, haciendo que algunos se planteen abandonar el uso de CDN y habilitar el servicio en SPDY/H2.0, sino que también mejoran la seguridad de la entrega, ya que requieren el uso de cifrado para su funcionamiento, introduciendo la necesidad de offloading del mismo en plataformas hardware con capacidad de cifrado. Además de hacer este offloading, los BIG-IP, también pueden funcionar como Gateway SPDY/HTTP2.0.

El resultado que el cifrado ofrece es una tendencia en evidente auge, tanto es así que en algunas reuniones con los principales operadores, en España, han reconocido rangos superiores a un 40% de tráfico cifrado sobre el tráfico total que sirven. Esto, les genera otros problemas de optimización del tráfico a los operadores, haciendo que la optimización del tráfico TCP sea una alternativa muy interesante para los ISP, por encima de soluciones tradicionales de caching.

internet-seguridad-SSL

Por otra parte, este último año ha sido especialmente importante desde el punto de vista de la seguridad y arquitecturas de cifrado. La aparición del ataque HeartBleed, que ha sido categorizado como la vulnerabilidad más importante desde el nacimiento de Internet, dado que entre otras posibles fugas de información permitía obtener la clave privada de los certificados, y también del ataque Poodle, ha hecho que muchos reconsideren estrategias de cifrado, tipos de protocolos (TLS1.1/1.2), cipher” a usar, uso de offloading centralizado, HSM y netHSM, uso de ECC (Elliptic curve cryptography Cipher, que permite cifrado seguro con claves más pequeñas, para dispositivos con menor capacidad), entre otras.

A pesar de estas nuevas amenazas, hace unos días pude leer en un informe de seguridad de Cisco que aún existen un 56% de servidores sobre su muestreo con versiones de OpenSSL con más de 4 años de antigüedad sin parchear, lo cual me da que pensar si realmente las empresas están preocupadas o no por la seguridad. En cualquier caso, hay brotes verdes. David Holmes, uno de nuestros expertos en seguridad, haciendo su propio muestreo, ha observado importantes mejoras en la adopción de FPS o Forward Perfect Secrecy y TLS desde la aparición de estos ataques.

La adopción de SSL ha tenido otros nuevos casos de uso como herramienta de comunicación entre botnets, malware y C&C, limitando la capacidad de detección de fugas de información, descarga de contenidos maliciosos. Además, el uso de SSL para la realización de ataques DDoS, ya sea para tratar de evitar el filtrado del ataque en la nube, como para atacar a los aplicativos, como pueden ser peticiones recurrentes a la capa 7 transportadas mediante SSL, o bien ataques DDoS al propio protocolo, tales como ataques de renegociación, ya que el servidor consume 15x ciclos de CPU en cada renegociación de clave SSL con respecto al cliente.

Por todo ello, aparece la necesidad continua en las organizaciones de cifrar el tráfico hacia el exterior, pero también de descifrar el tráfico entrante y saliente de la organización, para poder dar visibilidad de estos tráficos a todos los elementos de seguridad que tienen las organizaciones: sistemas IPS, sistemas anti APT, firewalls, SIEM, etc., tradicionalmente ciegos ante este tipo de tráficos o con problemas de rendimiento o compatibilidad con la funcionalidad de descifrado.

Finalmente, existen dos estrategias, para descifrar y cifrar en cada uno de estos dispositivos, lo cual además de latencias, introduce otros muchos problemas: rendimiento, compatibilidad con los últimos ciphers, costos, o bien usar una plataforma centralizada de descifrado e inspección de estos tráficos, que además permita el “steering” de tráfico a estos sistemas así como escalarlos y darles alta disponibilidad. Es por ello que, como decía al principio, cada vez más clientes y partners nos pregunten sobre esto, ya que ha aparecido un “nuevo” caso de uso para nuestros equipos, haciendo tanto el offload del tráfico cifrado hacia los servidores, como el funcionamiento interceptando el tráfico saliente cifrado para su inspección por otros sistemas de seguridad.

-Javier Múgica, F5 Networks