¿Cómo ocuparnos de los puntos ciegos de seguridad creados por el tráfico cifrado SSL?
Miguel Ángel Martos, Director general Blue Coat sur de Europa, analiza en este artículo los retos del tráfico cifrado SSL para detectar fugas y brechas de seguridad.
El cifrado SSL/TLS es una práctica hoy en día muy extendida dirigida a proteger las comunicaciones con servidores tanto internos como externos, pero también, y como “daño colateral”, pueden llegar a cegar determinados mecanismos de seguridad e impedir así la inspección del tráfico que circula por la red. De hecho, Gartner predice que en 2017, más de la mitad de los ataques dirigidos contra las empresas utilizarán el tráfico cifrado para evitar los controles.
Y con unos atacantes acechando en búsqueda de esos puntos vulnerables creados por el tráfico cifrado, es necesario que echemos un vistazo a los cinco errores más habituales que se producen a la hora de inspeccionar el tráfico en la red:
Falta de atención: Gartner nos dice que, en muchas ocasiones, las estrategias defensivas exhaustivas no suelen tener en cuenta esas brechas. Quizás nos sorprenda, pero la mayoría de las organizaciones carecen de una política formal de control y gestión del tráfico cifrado. Menos del 50% de las empresas que disponen de pasarelas seguras de Internet (Secure Web Gateways) descodifican el tráfico Web saliente. Menos del 20% de las organizaciones que disponen de un firewall, de un IPD o sistema de prevención de intrusiones, o de un dispositivo UTM de gestión unificada de amenazas, descifran el tráfico SSL saliente o entrante.
Imprecisión: Las empresas tiran su dinero muchas veces al no tener ningún criterio e invirtiendo en todo tipo de soluciones, desde sistemas detectores de intrusos y sistemas de prevención de intrusos IDS/IPS y prevención de pérdida de datos (DLP), a firewalls de nueva generación (NGFW), análisis de malware y otras muchas. Mientras que estas soluciones intentan resolver toda una amplia casuística, suelen ofrecer inspección SSL como una funcionalidad añadida y, casi siempre, con una visibilidad limitada únicamente al tráfico web/HTTPS. Siendo este el caso, se hace necesario desplegar múltiples dispositivos para dar soporte a la inspección de tráfico SSL, y con un uso intensivo del procesador, lo que supone un reto costoso, ineficaz y operativo.
Obstáculos: Arrancar y tener que parar, suponen a menudo un auténtico tormento para los equipos de seguridad IT cuando se tienen que enfrentar a la necesidad de descifrar el tráfico encriptado. La maraña de leyes y normas relativas a la protección de datos, hace muy complicada la toma de decisiones de los equipos de Legal, RRHH o de Cumplimiento. Más aún, el riesgo potencial de conflicto y de insatisfacción con los empleados (¿Por qué TI está inspeccionando mis correos electrónicos?), hacen que en muchas ocasiones los esfuerzos por descifrar el tráfico encriptado fracasen.
Salir al terreno de juego contando con una defensa débil: El malware utiliza SSL para hacer daño. Por ejemplo, el omnipresente botnet Zeus, nos dice Gartner utiliza las comunicaciones SSL/TLS para actualizarse una vez que inicialmente ha infectado mediante un correo electrónico. Además, desde los laboratorios de Blue Coat hemos podido ver también como el troyano Dyre a menudo utiliza mecanismos de mando y control (C2C) como Upatre para comunicarse de modo secreto con sus servidores de mando y control.
Dejar que la nube sea el nuevo campo de juego: La rápida adopción de aplicaciones y servicios en la nube han ampliado y complicado el entorno TI de manera significativa, acelerando el uso del tráfico cifrado SSL/TLS y extendiendo el terreno puesto en peligro para su utilización por el atacante. Las aplicaciones actuales, como redes sociales, almacenamiento, búsqueda o software en la nube, utilizan de manera creciente SSL/TSL como algo fundamental en sus comunicaciones. Monitorizar y escudriñar estas aplicaciones en búsqueda de contenidos y actividades maliciosas, es algo que debe hacerse de modo imperativo en toda organización. Y no ha de sorprendernos que la extensión en el uso de estas aplicaciones dé lugar a la aparición de nuevas preguntas sobre cuándo estratégicamente es conveniente cifrar y descifrar.
Desde Blue Coat creemos que estas cuatro recomendaciones pueden ayudar a eliminar los puntos ciegos en nuestras redes:
- Realizar un inventario y un plan para crecer: calcula cuál puede ser la composición y el volumen de tráfico SSL cifrado en nuestra empresa.
- Evaluar el riesgo del tráfico no inspeccionado: comparte la información y colabora con tus colegas no técnicos en RRHH, Legal o Cumplimiento, revisa y ajusta las políticas existentes desde el punto de vista de seguridad, privacidad y cumplimiento, y entonces elabora un plan conjunto de acción para resolver cualquier vulnerabilidad.
- Mejorar la infraestructura de seguridad de la red con una gestión integral de tráfico cifrado: Dota a las soluciones existentes de NGFW, IDS/IPS, antivirus, DLP, análisis de malware (sandbox) y análisis de seguridad, con la capacidad de detectar todas las amenazas, incluso aquellas que puedan proceder del tráfico cifrado, y procésalas adecuadamente.
- Monitorizar, definir y hacer cumplir: monitoriza constantemente, define y haz cumplir el uso de políticas aceptables para aplicaciones cifradas y para el tráfico entrante y saliente de tu red.
Miguel Ángel Martos, Director general Blue Coat sur de Europa.