Por qué debes inspeccionar el tráfico cifrado


This post is also available in: Inglés Francés Alemán Italiano Portugués, Brasil Ruso

Lo que no ves puede dañarte

A medida que salimos del confinamiento por la COVID-19, vemos una erupción de ataques ransomware maliciosos que intentan que muchos sectores de la economía dejen de funcionar (Colonial Pipeline, J.B.S, C.N.A Financial) para obtener ganancias. ¿Por qué? Porque el crimen da frutos. Aún más peligrosos son los delitos de los que nadie ha escuchado hablar: los de los usuarios dentro de la organización.

El mismo mecanismo de cifrado que utiliza clave pública para asegurar nuestras comunicaciones, seguridad a nivel de transporte (transport level security, TLS), también conocido como Secure Sockets Layer (SSL), puede ser utilizado por usuarios o programas maliciosos para acceder a información sensible.

Inicialmente, se usaban redes de robots (botnets) para los ataques de DDoS. Ahora, algunos de estos malware de comando y control usan los recursos de las máquinas infectadas para pedir rescate y obtener ganancias (ransomware y criptominería), lo que afecta el rendimiento e incrementa los costos operativos de las empresas, así como el desgaste de las máquinas incautadas, de manera significativa. Estos ataques también pueden ser un conducto para futuras entregas de malware. 

La mayoría de los malware amenaza la disponibilidad, integridad y seguridad de la red.

Como hemos visto recientemente, los ataques ransomware pueden resultar a menudo en robo y secuestro de información, además de interrumpir las operaciones esenciales de la organización.

Cuando se activa, un malware puede abrir una sesión cifrada a un servidor externo. La única información que necesita un malware para asegurar la comunicación con el servidor externo es la clave pública de dicho servidor. Debido a que la organización de envío (del usuario o programa de malware) no tiene la clave privada de esta comunicación cifrada, no puede descifrar esta sesión y, por lo tanto, no ve la información saliente.

A medida que aumente el uso de tráfico cifrado, este desafío se volverá cada vez más generalizado. Ya estamos empezando a ver estos ciberataques a muchas organizaciones en busca de obtención de ganancias económicas y acceso a datos confidenciales valiosos.

Es posible que muchas soluciones de inspección de tráfico, como la prevención de fuga de datos (data leakage prevention, DLP), sistemas de prevención de intrusión (intrusion prevention systems, IPS) y firewalls, no tengan la capacidad de decodificar el tráfico cifrado saliente y, por lo tanto, están ciegas ante las amenazas cibernéticas iniciadas dentro de la organización hacia servidores externos. Además, aunque puedan descifrar el tráfico saliente, esta capacidad genera un fuerte impacto en la relación costo-rendimiento y en los gastos, lo que hace que estos sistemas sean menos escalables y, por lo tanto, poco rentables.

Une image contenant texte, extérieur

Description générée automatiquement

Inspección y visibilidad – El desinfectante necesario

La clave para protegerse contra estos ataques es inspeccionar el tráfico SSL. Entonces, ¿cómo funciona la inspección del tráfico SSL?

Los sistemas de inspección SSL aprovechan el hecho de que la seguridad está entre dos puntos finales y no de extremo a extremo. A veces llamado un intermediario (man-in-the-middle, MiTM) legítimo, la solución de inspección SSL intercepta y descifra las sesiones SSL salientes y entrantes de la empresa. Estas soluciones de inspección SSL aparecen como el servidor externo previsto para los usuarios internos o como programas que inician una comunicación segura con servidores externos. Para los servidores destinatarios, el sistema de inspección SSL aparece como el usuario que inicia la sesión o un programa de malware.

Para facilitar la implementación, las soluciones de inspección SSL pueden proporcionar una inspección transparente sin necesidad de rediseñar la red o como proxy explícito, que requiere que todos los usuarios pasen a través de un proxy SSL predefinido, que se configura a través del navegador del usuario.

Luego, el tráfico descifrado se dirige a una solución de inspección de contenidos, como firewalls, anti-malware o sistemas de protección de fuga de datos ya implementados en la empresa para compararlo con las políticas de seguridad de la organización. La solución de inspección SSL vuelve a cifrar las sesiones que pasan la inspección de seguridad y las reenvía a su servidor de destino.

[¿Te gusta esta publicación? Subscríbete ahora para recibir el contenido más reciente de Radware en tu bandeja de entrada todas las semanas, además de acceso exclusivo al contenido Premium de Radware. ]

Para que sea más eficaz, parte del tráfico puede no tocarse si la empresa confía en un sitio en particular o si está relacionado con la privacidad de los empleados (banca en línea, salud). Para no obstaculizar la productividad, se puede bloquear otro tráfico, generalmente, los juegos en línea o servidores de malware conocidos.

Dado que el descifrado y el reencriptado SSL son operaciones informáticas intensivas y pueden afectar la latencia, es conveniente que utilices las mejores prácticas, como aceleración de hardware, si tienes muchos usuarios y tráfico cifrado. La selección del descifrado mediante filtros y listas blancas para omitir el descifrado de los sitios en los que confías, y la elección de soluciones que reduzcan la cantidad de dispositivos que necesitas para escalar ayudan a la rentabilidad.

El descifrado, inspección y obtención de visibilidad del tráfico de red mediante la solución de inspección SSL ayuda a identificar señales de alerta que pueden indicar malware. Además, adoptar las mejores prácticas: menos acceso privilegiado, autenticación multifactor que detengan las inyecciones de malware en la web a través de firewalls de aplicaciones web, protección del perímetro de la red contra la denegación de servicio y capacitación de todos los trabajadores sobre prácticas de ciberseguridad, ayuda a reducir la exposición de las empresas a estas amenazas de malware.

[También puede interesarte: Cómo Responder a una Nota de Rescate DDoS]

Prakash Sinha

Prakash Sinha is a technology executive and evangelist for Radware and brings over 29 years of experience in strategy, product management, product marketing and engineering. Prakash has been a part of executive teams of four software and network infrastructure startups, all of which were acquired. Before Radware, Prakash led product management for Citrix NetScaler and was instrumental in introducing multi-tenant and virtualized NetScaler product lines to market. Prior to Citrix, Prakash held leadership positions in architecture, engineering, and product management at leading technology companies such as Cisco, Informatica, and Tandem Computers. Prakash holds a Bachelor in Electrical Engineering from BIT, Mesra and an MBA from Haas School of Business at UC Berkeley.

Contact Radware Sales

Our experts will answer your questions, assess your needs, and help you understand which products are best for your business.

Already a Customer?

We’re ready to help, whether you need support, additional services, or answers to your questions about our products and solutions.

Locations
Get Answers Now from KnowledgeBase
Get Free Online Product Training
Engage with Radware Technical Support
Join the Radware Customer Program

CyberPedia

An Online Encyclopedia Of Cyberattack and Cybersecurity Terms

CyberPedia
What is WAF?
What is DDoS?
Bot Detection
ARP Spoofing

Get Social

Connect with experts and join the conversation about Radware technologies.

Blog
Security Research Center