A medida que crece el uso de comunicaciones encriptadas SSL/TLS, también lo hace el riesgo derivado de las amenazas ocultas.
En respuesta a esto, las empresas están implementando firewalls de próxima generación (NGFW), sistemas de prevención de intrusiones (IPS), tecnologías antimalware y otras soluciones. No obstante, dichas medidas no pueden detectar el malware dentro del tráfico encriptado sin ralentizar la red, lo que agrega complejidad y aumenta los costos.
Por lo tanto, es importante utilizar soluciones de administración del tráfico encriptado (ETM) que optimicen las capacidades de la infraestructura de seguridad de la red de manera rentable y, al mismo tiempo, administren eficazmente el tráfico encriptado SSL/TLS.
7 amenazas del tráfico encriptado
- La visibilidad limitada del tráfico encriptado da lugar a la pérdida y a la transferencia no autorizada de datos. Es que el tráfico SSL/TLS abarca más que el tráfico TTPS/Web/puerto 443, debido a que las aplicaciones móviles y de nube innovadoras, así como el malware avanzado, utilizan cada vez más puertos diferentes y no estándares. Así mismo, las herramientas de seguridad de protección contra la pérdida de datos (DLP) y protección contra el robo de datos no ven los datos dentro del tráfico SSL/TLS, lo que genera un mayor riesgo, así como el incumplimiento de las normativas y las políticas.
- Un Sandboxing incompleto no puede analizar todas las amenazas maliciosas. Las soluciones antimalware o de sandbox no ven el tráfico encriptado y no pueden inspeccionar, aislar ni detonar el malware que está oculto dentro de SSL/TLS. Estas herramientas están demostrando ser menos eficaces para detener las amenazas persistentes avanzadas (APT) modernas y sofisticadas.
- La protección inadecuada contra intrusiones no detiene los ataques. La mayoría de las soluciones de detección y prevención de intrusiones (IDS/IPS) no pueden ver ni inspeccionar el tráfico SSL/TLS, lo que las vuelve menos eficaces para proteger las redes modernas.
- Técnicas forenses de red deficientes no pueden supervisar ni captar ataques sofisticados. Las herramientas de técnicas forenses de red no pueden ver ni analizar las amenazas ocultas en el tráfico SSL/TLS, como así tampoco responder ante ellas, lo que da como resultado puntos ciegos de seguridad graves y una respuesta a incidentes deficiente.
- El descifrado de SSL descentralizado agrega complejidad y costos. La incorporación de una nueva herramienta de administración del tráfico SSL/TLS a menudo requiere que se agreguen dispositivos de seguridad duplicados o más capacidad de hardware para satisfacer las necesidades de desempeño de la red. Esto puede ser bastante costoso y difícil, ya que también requiere el rediseño de su infraestructura de seguridad de red.
- El descifrado e inspección del tráfico SSL ralentizan las tareas. Los dispositivos de seguridad que pueden ver e inspeccionar el tráfico SSL, como IPS y NGFW, sufren una degradación del desempeño importante de hasta el 80% una vez que el SSL ‘se activa’.
- La cuestión de las crecientes exigencias de cumplimiento normativo y de privacidad de los datos no es menor. Inspeccionar y descifrar ciertos tipos de tráfico SSL/TLS viola las normativas de cumplimiento y privacidad de los datos. Pero no inspeccionar ni descifrar el tráfico SSL/TLS plantea riesgos debido al aumento del malware avanzado innovador que se oculta dentro del tráfico encriptado. Un enfoque de descifrado de SSL de tipo ‘todos o ninguno’ es poco realista y poco práctico.
¿Qué hacer ante ello? El mercado en general ofrece soluciones para estos problemas, cuya rápida propagación está sacando de un letargo a las organizaciones.
Eliminar puntos ciegos de seguridad, prevención de pérdida de datos (DLP) con tráfico descifrado y no encriptado, visibilidad de SSL para aumentar la eficiencia en la detección, el aislamiento y eliminación de las APT, la rápida identificación de comportamientos sospechosos de atacantes y de la red, y la remediación de activos de red vulnerados.
Una buena solución de administración del tráfico encriptado (ETM) permite una inspección y un descifrado selectivos basados en un motor de políticas integral, para poder descifrar el tráfico desconocido y sospechoso, y permitir que el tráfico ‘bueno’ y confiable atraviese la red en su estado encriptado. De esta forma se garantizan la privacidad de los datos y el cumplimiento, y satisfacen los intereses de todos, especialmente de los equipos de Asuntos legales, Cumplimiento y Recursos Humanos.
Fuente: Blue Coat Systems