Por qué debes inspeccionar el tráfico cifrado
This post is also available in: Inglés Francés Alemán Italiano Portugués, Brasil Ruso
Lo que no ves puede dañarte
A medida que salimos del confinamiento por la COVID-19, vemos una erupción de ataques ransomware maliciosos que intentan que muchos sectores de la economía dejen de funcionar (Colonial Pipeline, J.B.S, C.N.A Financial) para obtener ganancias. ¿Por qué? Porque el crimen da frutos. Aún más peligrosos son los delitos de los que nadie ha escuchado hablar: los de los usuarios dentro de la organización.
El mismo mecanismo de cifrado que utiliza clave pública para asegurar nuestras comunicaciones, seguridad a nivel de transporte (transport level security, TLS), también conocido como Secure Sockets Layer (SSL), puede ser utilizado por usuarios o programas maliciosos para acceder a información sensible.
Inicialmente, se usaban redes de robots (botnets) para los ataques de DDoS. Ahora, algunos de estos malware de comando y control usan los recursos de las máquinas infectadas para pedir rescate y obtener ganancias (ransomware y criptominería), lo que afecta el rendimiento e incrementa los costos operativos de las empresas, así como el desgaste de las máquinas incautadas, de manera significativa. Estos ataques también pueden ser un conducto para futuras entregas de malware.
La mayoría de los malware amenaza la disponibilidad, integridad y seguridad de la red.
Como hemos visto recientemente, los ataques ransomware pueden resultar a menudo en robo y secuestro de información, además de interrumpir las operaciones esenciales de la organización.
Cuando se activa, un malware puede abrir una sesión cifrada a un servidor externo. La única información que necesita un malware para asegurar la comunicación con el servidor externo es la clave pública de dicho servidor. Debido a que la organización de envío (del usuario o programa de malware) no tiene la clave privada de esta comunicación cifrada, no puede descifrar esta sesión y, por lo tanto, no ve la información saliente.
A medida que aumente el uso de tráfico cifrado, este desafío se volverá cada vez más generalizado. Ya estamos empezando a ver estos ciberataques a muchas organizaciones en busca de obtención de ganancias económicas y acceso a datos confidenciales valiosos.
Es posible que muchas soluciones de inspección de tráfico, como la prevención de fuga de datos (data leakage prevention, DLP), sistemas de prevención de intrusión (intrusion prevention systems, IPS) y firewalls, no tengan la capacidad de decodificar el tráfico cifrado saliente y, por lo tanto, están ciegas ante las amenazas cibernéticas iniciadas dentro de la organización hacia servidores externos. Además, aunque puedan descifrar el tráfico saliente, esta capacidad genera un fuerte impacto en la relación costo-rendimiento y en los gastos, lo que hace que estos sistemas sean menos escalables y, por lo tanto, poco rentables.
Inspección y visibilidad – El desinfectante necesario
La clave para protegerse contra estos ataques es inspeccionar el tráfico SSL. Entonces, ¿cómo funciona la inspección del tráfico SSL?
Los sistemas de inspección SSL aprovechan el hecho de que la seguridad está entre dos puntos finales y no de extremo a extremo. A veces llamado un intermediario (man-in-the-middle, MiTM) legítimo, la solución de inspección SSL intercepta y descifra las sesiones SSL salientes y entrantes de la empresa. Estas soluciones de inspección SSL aparecen como el servidor externo previsto para los usuarios internos o como programas que inician una comunicación segura con servidores externos. Para los servidores destinatarios, el sistema de inspección SSL aparece como el usuario que inicia la sesión o un programa de malware.
Para facilitar la implementación, las soluciones de inspección SSL pueden proporcionar una inspección transparente sin necesidad de rediseñar la red o como proxy explícito, que requiere que todos los usuarios pasen a través de un proxy SSL predefinido, que se configura a través del navegador del usuario.
Luego, el tráfico descifrado se dirige a una solución de inspección de contenidos, como firewalls, anti-malware o sistemas de protección de fuga de datos ya implementados en la empresa para compararlo con las políticas de seguridad de la organización. La solución de inspección SSL vuelve a cifrar las sesiones que pasan la inspección de seguridad y las reenvía a su servidor de destino.
Para que sea más eficaz, parte del tráfico puede no tocarse si la empresa confía en un sitio en particular o si está relacionado con la privacidad de los empleados (banca en línea, salud). Para no obstaculizar la productividad, se puede bloquear otro tráfico, generalmente, los juegos en línea o servidores de malware conocidos.
Dado que el descifrado y el reencriptado SSL son operaciones informáticas intensivas y pueden afectar la latencia, es conveniente que utilices las mejores prácticas, como aceleración de hardware, si tienes muchos usuarios y tráfico cifrado. La selección del descifrado mediante filtros y listas blancas para omitir el descifrado de los sitios en los que confías, y la elección de soluciones que reduzcan la cantidad de dispositivos que necesitas para escalar ayudan a la rentabilidad.
El descifrado, inspección y obtención de visibilidad del tráfico de red mediante la solución de inspección SSL ayuda a identificar señales de alerta que pueden indicar malware. Además, adoptar las mejores prácticas: menos acceso privilegiado, autenticación multifactor que detengan las inyecciones de malware en la web a través de firewalls de aplicaciones web, protección del perímetro de la red contra la denegación de servicio y capacitación de todos los trabajadores sobre prácticas de ciberseguridad, ayuda a reducir la exposición de las empresas a estas amenazas de malware.
[También puede interesarte: Cómo Responder a una Nota de Rescate DDoS]