Las 6 preguntas más importantes que debes hacer al seleccionar las soluciones de protección SSL
This post is also available in:
Inglés 
Francés 
Alemán 
Italiano 
Portugués, Brasil 
Ruso
Hoy en día, el 99% del tráfico en Internet está cifrado. Con las normas de GDPR recientes, las organizaciones se han visto forzadas a usar HTTPS, lo que ha convertido a la comunicación cifrada en el método predeterminado. Si bien el cifrado del tráfico es importante para mantener la seguridad y la privacidad del usuario, también abre la puerta a una nueva generación de ataques de DDoS agresivos, que pueden requerir hasta 15 veces más recursos del servidor de destino que del host solicitante.
Identificar el tráfico malicioso dentro del tráfico cifrado es la parte difícil. Es equivalente a encontrar una aguja en un pajar, motivo por el cual es un método ventajoso para los atacantes, ya que pone un estrés informático significativo en las infraestructuras de red y aplicaciones objetivo.
Básicamente, no existe una solución de talle único para la protección de SSL. Cada organización tiene sus propias prioridades, necesidades empresariales, confidencialidades y necesidades de privacidad. No obstante, hay algunas preguntas que sirven como guías al seleccionar una solución de protección SSL a considerar, que te ayudarán a encontrar la mejor solución para tu organización.
1. ¿Cómo puedes acceder al Certificado SSL?
Algunas organizaciones no tienen acceso al certificado. Los motivos pueden ser las regulaciones o restricciones de privacidad, preocupaciones por la arquitectura de la red y seguridad, o modelos de Seguridad como servicio (SaaS). Cuando se trata de un proveedor de servicios de seguridad gestionados (MSSP) o de servicios de depuración, es posible que el certificado del cliente final no esté disponible.
Otras organizaciones que tienen acceso al certificado pueden descifrar el tráfico SSL y obtener visibilidad.
2. Si hubiera acceso al Certificado, ¿dónde se debería descifrar el tráfico?
Tener acceso al certificado es una cosa, la siguiente consideración está relacionada con la topología de red y el deseo de seguridad.
En algunas topologías de red, el descifrado del tráfico SSL se hace más cerca de los servidores y, en algunas implementaciones, es preferible hacer el descifrado antes y eliminar las amenazas lo más pronto posible. Cuando el descifrado se logra más cerca del servidor, la protección suele depender de las soluciones de protección de la aplicación. En este caso, se deben tener en cuentas otros riesgos, como los ataques de DDoS, que se mitigan mejor antes en la red.
3. Si hubiera acceso al Certificado, ¿cuándo se debería descifrar el tráfico?
El descifrado constante de todo el tráfico SSL permite una visibilidad completa, pero tiene un costo en el cálculo y la latencia. Hay quienes no se pueden permitir una latencia adicional, lo que significa que el descifrado constante de todas las sesiones no es una opción. Las organizaciones preferirían una solución de seguridad que descifre en determinadas condiciones, o solo algunas de las sesiones o, en algunos escenarios, que no descifre en absoluto. Descifrar menos tráfico SSL es clave para lograr la seguridad de SSL mientras se equilibra la latencia y la experiencia del usuario legítimo.
[También puede interesarte:Detección y Mitigación de Inundaciones HTTPS… Sin Claves de Descifrado]
4. Si hubiera acceso al Certificado, ¿qué parte de la sesión se debería descifrar?
De manera similar, para determinar cuándo descifrar la sesión, es posible que quieras seleccionar el nivel de descifrado. Descifrar solo una parte de la sesión SSL en lugar de la sesión completa tiene un gran valor para la protección contra ataques específicos. Al igual que la flexibilidad de cuándo descifrar las sesiones SSL, el nivel de descifrado puede ayudar aún más a las organizaciones a equilibrar los niveles de seguridad deseados con una experiencia de usuario optimizada.
5. ¿Tus servicios son demasiado sensibles a la latencia?
Descifrar todo el tráfico SSL proporciona una visibilidad completa, pero implica una sobrecarga de cálculo significativa, lo que aumenta la latencia del servicio. Existen organizaciones y servicios que no pueden permitirse la latencia adicional del descifrado SSL. Dichas organizaciones necesitan una solución de SSL que no requiera ningún descifrado o con un descifrado mínimo, solo bajo ciertas condiciones, y solo en algunas partes de las sesiones.
6. ¿Utilizas redes de entrega de contenido (CDN) para tus servicios?
Cuando se usa una CDN, esta pasa el tráfico en nombre de la organización. En este caso, la dirección IP real solo se puede encontrar dentro de los encabezados HTTP cifrados, por lo que no hay forma de conocer al cliente real sin descifrar todo el tráfico SSL. Con las CDN, la solución de seguridad debe descifrar las sesiones SSL completas, identificar al cliente real en los encabezados HTTP y aplicar medidas de seguridad específicas.
Consideraciones clave
Según el Informe del segundo trimestre de 2021 sobre DDoS de Radware, los ataques web cifrados representan el 20% del volumen total de eventos maliciosos reportados durante el trimestre. Una cosa está clara, las soluciones tradicionales no proporcionan las protecciones necesarias. Las soluciones basadas en la red, como Netflow Detectors, no tienen visibilidad del tráfico SSL, lo que hace que las redes en las que operan sean vulnerables a los ataques cifrados.
Si estás utilizando una red de entrega de contenido (CDN), esta pasa el tráfico en nombre de la organización. La dirección IP real solo se puede encontrar dentro de los encabezados HTTP cifrados, por lo que no hay forma de conocer al cliente real sin descifrar todo el tráfico SSL.
Otras soluciones requieren el descifrado completo de los paquetes HTTPS, lo que daña la privacidad del usuario, agrega latencia y requiere un proceso de gestión de claves engorroso.
