Print
Email

Parent Category: Noticias

Por Lora O'Haver* 

Si bien la encriptación protege su tráfico de red contra los hackers y los cibercriminales, también puede impedir que sus herramientas de seguridad y monitoreo vean lo que hay dentro de los paquetes de datos que pasan por su red.

Como saben que muchas organizaciones dejan que el tráfico encriptado pase por sus redes sin realizar una inspección completa, los cibercriminales utilizan la encriptación para ocultar malware y lanzar ataques para secuestrar su red. Para mantener una defensa fuerte y, al mismo tiempo, reducir el riesgo de vulneraciones de seguridad y pérdida de datos, es necesario desencriptar, examinar y volver a encriptar todo el tráfico de red.

El peso de la desencriptación

Los dispositivos de desencriptación deben ser altamente eficientes. Los algoritmos de encriptación son cada vez más largos y complejos para resistir hackeos. Hace algunos años, NSS Labs realizó una prueba en la que se comprobó que pasar de claves de 1024 bits a claves de 2048 bits provocó una caída del 81 % en el desempeño promedio de ocho de los firewalls líder[1]. Sin embargo, no es necesario que el firewall realice procesos de desencriptación SSL. Hay nuevas estrategias disponibles que permiten agilizar el proceso de desencriptación y enviar texto sin formato a las herramientas, de manera que puedan funcionar de forma más eficiente y procesar más tráfico. Estas cuatro estrategias permiten que la desencriptación sea más simple, rápida y económica.

Estrategia 1: Eliminar el tráfico malicioso antes de desencriptar

Muchas direcciones IP que se utilizan en los ciberataques se repiten y son conocidas en la comunidad profesional de la seguridad. Las organizaciones especializadas rastrean y verifican a diario las amenazas cibernéticas conocidas y guardan la información en una base de datos de inteligencia. Al comparar los paquetes de entrada y salida con la base de datos, es posible detectar el tráfico malicioso y bloquearlo de su red. Debido a que la comparación se hace con los encabezados de los paquetes configurados como texto sin formato, no es necesario desencriptar los paquetes. Al eliminar el tráfico que está relacionado con atacantes conocidos, la cantidad de paquetes para desencriptar es menor. Y, al eliminar el tráfico que, de otro modo, hubiese generado una alerta, los equipos de seguridad pueden mejorar su productividad.

La forma más rápida de implementar esta estrategia es instalar un dispositivo de hardware para fines específicos, llamado gateway de inteligencia contra amenazas, delante del firewall. Este dispositivo está diseñado para bloquear datos de forma rápida y masiva, incluso de países que no son confiables, y se actualiza continuamente a través de una fuente integrada de inteligencia de amenazas. Una vez instalado el gateway, no es necesario realizar nuevas intervenciones manuales ni crear o mantener filtros. El tráfico malicioso puede desecharse de inmediato o enviarse a un entorno de prueba (sandbox) para un futuro análisis. Dependiendo del tipo de industria y de qué tan a menudo recibe ataques, verá una disminución de hasta un 80 % en las alertas de seguridad[2].

De otro modo, también puede configurar filtros personalizados en su firewall para bloquear direcciones IP específicas. Desafortunadamente, los filtros de firewall deben configurarse y mantenerse manualmente, y la cantidad de filtros que se puede crear es limitada. El extraordinario aumento de dispositivos conectados y de direcciones IP peligrosas supera la capacidad de los firewalls. Además, bloquear el tráfico utilizando los ciclos de procesamiento en un recurso avanzado como un firewall para realizar comparaciones simples no resulta económico.

Estrategia 2: Buscar capacidades de desencriptación avanzadas

Una vez que se eliminan los paquetes encriptados que viajan desde o hacia una fuente maliciosa, es necesario utilizar un dispositivo de desencriptación para procesar el resto de los datos. Varias herramientas de seguridad, como los firewalls de próxima generación (NGFW) o los sistemas de prevención de intrusiones (IPS), cuentan con una función de desencriptación SSL. Sin embargo, un informe realizado por NSS Labs advierte que algunas herramientas no tienen los cifrados más recientes, no detectan comunicaciones SSL de puertos no estándar, no logran desencriptar datos con el rendimiento anunciado y que hasta pueden dejar pasar algunas conexiones con fast-path sin desencriptar los datos en absoluto[3].

La criptografía depende de los avances para estar un paso más adelante de los cibercriminales. Es necesario que las soluciones de seguridad sean compatibles con los últimos estándares de encriptación, tengan acceso a una amplia variedad de cifrados y algoritmos, y tengan la capacidad de desencriptar tráfico con claves grandes de 2048 y 4096 bits, así como con las claves de curva elíptica más recientes. A medida que la tecnología de los sistemas de seguridad se vuelve cada vez más compleja, las soluciones deben ser capaces de realizar procesos de desencriptación de forma eficiente y económica: sin perder paquetes, sin provocar errores y realizando inspecciones completas.

A medida que crece el volumen del tráfico SSL, la calidad de las soluciones de desencriptación es clave para lograr la visibilidad total de la red.  Además, la estrategia de Defensa en Profundidad es ampliamente reconocida como mejor práctica y, a menudo, supone el uso de los mejores dispositivos de seguridad (como IPS y firewalls independientes).  Es muy ineficiente que cada uno de estos dispositivos tenga que desencriptar y volver a encriptar el tráfico por separado, ya que aumenta la latencia y reduce la eficacia de las políticas y la visibilidad integral. 

Estrategia 3: Elegir herramientas de simplicidad operativa

Otro de los aspectos clave es la facilidad con que los administradores pueden crear y gestionar políticas relacionados con la desencriptación. Esto es muy importante en las industrias que deben cumplir con las pautas de la Ley de Portabilidad y Responsabilidad en los Seguros de Salud (HIPAA), la Ley Federal de Seguridad de la Información (FISMA), el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS), la Ley Sarbanes-Oxley (SOX) y otras normas estandarizadas. Las mejores soluciones son aquellas que ofrecen una interfaz con función de arrastrar y soltar para crear filtros y la capacidad de enviar o enmascarar información selectivamente en base al reconocimiento de patrones (como, por ejemplo, el número de seguro social). También permiten tener un registro completo de cada uno de los cifrados SSL que se usan y de todas las excepciones relacionadas con las sesiones interrumpidas, las fallas del SSL, los certificados no válidos y las sesiones no desencriptadas a causa de políticas. Estos registros detallados son útiles para realizar auditorías, investigaciones, resolución de problemas y planificación de capacidad de redes.

Estrategia 4: Planificar una escalabilidad con buena relación costo/beneficio

A medida que aumenta el volumen de tráfico encriptado, la desencriptación tendrá un mayor impacto en el desempeño de su infraestructura de seguridad. Por lo tanto, conviene planear por anticipado. Si bien parece lógico simplemente “activar” la función de desencriptación SSL en un firewall o solución de gestión unificada de amenazas (UTM), la desencriptación es una función que implica muchos procesos. A medida que aumenta el tráfico SSL y se necesitan más ciclos para realizar la desencriptación, suele afectar el desempeño y es posible que las herramientas comiencen a perder paquetes.

Para aumentar el flujo de tráfico que pasa por un dispositivo multifunción, la única opción es aumentar la capacidad total. Añadir más capacidad significa una inversión significativa de capital. Además, algunas funciones tienen un costo extra por garantizar que el dispositivo pueda realizar la desencriptación.

Una buena opción es usar una solución de visibilidad de redes o un agente de paquetes de red (NPB) con desencriptación SSL para aliviar un poco la carga de trabajo de las herramientas de seguridad. Muchas organizaciones usan NPB para juntar el tráfico de toda la red, identificar paquetes relevantes y distribuirlos a alta velocidad a las herramientas de seguridad. Los NPB que usan aceleración por hardware pueden procesar tráfico a velocidad de línea sin perder paquetes y pueden equilibrar la carga automáticamente. Además, no requieren diversos dispositivos incorporados para desencriptar/volver a encriptar datos de forma independiente.  El costo de escalabilidad de los NPB es más bajo que en la mayoría de los dispositivos de seguridad y ofrece un rápido rendimiento del capital invertido.

Conclusión

A medida que más sitios de Internet usen tráfico encriptado, los ataques en el tráfico SSL serán cada vez más comunes. Para proteger los datos y las redes contra hackers y cibercriminales, es esencial inspeccionar el tráfico de redes encriptado en su totalidad. Las organizaciones que no implementan un abordaje riguroso para inspeccionar el tráfico encriptado corren el riesgo de debilitar la seguridad de las redes y sufrir una filtración y pérdida de datos. Afortunadamente, están surgiendo nuevas soluciones que mejoran la eficiencia y la rentabilidad de la desencriptación SSL.

---------------------------

Referencias: 

[1] John W. Pirc, “Analyst Brief: SSL Performance Problems,” NSS Labs, 2013.

[2] Caso de estudio de Ixia: “Hyper Box Tackles Attack Traffic with Ixia ThreatARMOR,” junio de 2016.

[3] NSS Labs “SSL: Enterprise’s New Attack Frontier,” 28 de marzo de 2017. Disponible en bankinfosecurity.com.

 

internet
© Derechos reservados 2013 :: Ser.Com SA de CV :: Ciudad de México