Lo que no puedes ver podría estar perjudicando a tu organización y el cifrado es un importante punto ciego. Según F5 Labs más del 80% del tráfico mundial de Internet está encriptado y la falta de visibilidad del tráfico encriptado supone una importante amenaza para la seguridad debido al malware.
Según un informe reciente de los investigadores de seguridad de Sophos, casi la mitad (46%) de todo el malware en 2020 estaba oculto dentro de paquetes cifrados.
Las organizaciones que no disponen de recursos para descifrar los paquetes de tráfico se enfrentan a un gran problema; pueden estar permitiendo que cantidades masivas de malware entren en las redes de las empresas en estos paquetes.
Sin visibilidad del tráfico cifrado, los activos de tu organización pueden ser vulnerables a ataques maliciosos, como las comunicaciones de «comando y control» (y los ataques resultantes) o la exfiltración de datos.
¿Por qué hay tanto malware cifrado hoy en día?
En el informe previamente mencionado, los investigadores identificaron dos razones principales que justifican el aumento del malware cifrado.
En primer lugar, descubrieron que cada vez hay más malware alojado en soluciones legítimas de almacenamiento en la nube, como GitHub y Google Workspace, que están cifradas con TLS. Por lo tanto, los piratas informáticos aprovechaban los certificados existentes de las organizaciones de confianza para atacar a las empresas.
En segundo lugar, los investigadores sugirieron que la amplia disponibilidad de fragmentos de código habilitados para TLS permitían a los atacantes utilizar el cifrado con facilidad y frecuencia.
Y con la creciente cantidad de tráfico legítimo estimulado por el teletrabajo durante la pandemia del Coronavirus, es aún más imperativo para las organizaciones mantener el ritmo de la alta demanda y al mismo tiempo equilibrar la ciberseguridad de la organización.
Sin embargo, el cifrado no es ciertamente «el malo de la película». De hecho, el cifrado es vital para proteger la privacidad de los datos.
Al gestionar datos sensibles online, el candado en la barras del navegador proporciona una positiva sensación de confianza al usuario; ya sea al acceder a sus datos bancarios, usar una contraseña o comprobar un historiales médicos. De esta manera, los registros médicos y financieros pueden permanecer seguros, y el robo y el mal uso de los datos disminuyen considerablemente
Malware
Además, es esencial que los alojadores de aplicaciones cumplan con las normativas destinadas a proteger la privacidad de los usuarios. Algunas de estas normativas son el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, que recomienda, pero no exige el cifrado. De esta forma, los centros alojadores de datos también pueden actuar como buenos administradores de los datos de tus usuarios.
Pero los malos actores también pueden obtener certificados TLS. El cifrado, muy útil para proteger la privacidad de los datos de los usuarios, puede crear graves riesgos para tu empresa, si no se descifra e inspecciona el tráfico entrante para detectar una invasión de malware, la exfiltración de datos sensibles, o las comunicaciones de tipo «comando y control» en el tráfico saliente.
Los certificados TLS gratuitos y fácilmente disponibles permiten a los alojadores de aplicaciones proteger de forma barata la privacidad de los datos de tus usuarios; pero los malos actores también pueden ocultar el malware detrás de un certificado y cada vez les resulta más fácil hacerlo.
Las soluciones de descifrado ineficientes pueden conducir a múltiples puntos de fallo de seguridad
En tu empresa es posible que ya te encuentres abordando la amenaza del tráfico cifrado. Por ejemplo, usando dispositivos en tus pilas de seguridad, como el software de prevención de pérdida de datos (DLP). Incluso puede que estés haciendo uso de los cortafuegos de nueva generación (NGFW); quizás un sistema de prevención de intrusiones (IPS) para descifrar, inspeccionar los paquetes en busca de malware y cifrar el tráfico que atraviesa tu red.
Sin embargo, aunque estas soluciones de seguridad pueden utilizarse para descifrar paquetes, no realizan su trabajo de la mejor manera. Incluso es probable que dichas soluciones no sean muy eficientes; en realidad fueron diseñadas para gestionar la seguridad y no para el intenso proceso de descifrar el tráfico.
Quitarles energía y ciclos valiosos de sus tareas prioritarias de seguridad puede causar que los dispositivos se desborden; igualmente puede provocar que el tráfico se desvíe involuntariamente, lo que puede dar lugar a exploits y ataques cibernéticos.
Los riesgos de las configuraciones en cadena
Los dispositivos de seguridad con una configuración tipo “daisy chain” pueden dar lugar a múltiples puntos de error. Si un eslabón se estropea, el resto de la cadena dejará de funcionar. Cada componente es un posible punto de fallo. Si un elemento falla, todo el sistema (o pila de seguridad) se ve afectado.
Conectar dispositivos de seguridad en cadena tampoco es rentable ni eficiente. Además de crear múltiples puntos de fallo, este modelo aumenta el coste total de propiedad (TCO) de la seguridad. Esto se debe a que el modelo requiere suscripciones a una amplia variedad de servicios. Este factor conduce a una alta latencia para el usuario final y crea una complejidad significativa.
Por este motivo, muchas organizaciones están lidiando con las amenazas encriptadas de una forma poco práctica e insuficiente. Incluso, las empresas pueden estar creando una frustración adicional para los usuarios finales relacionada con el lento acceso a las aplicaciones.
Afortunadamente, F5 SSL Orchestrator está diseñado para inspeccionar el tráfico cifrado y combatir el software malicioso.
Orquestación de la seguridad de la infraestructura resistente
F5 SSL Orchestrator proporciona una visibilidad y orquestación rentable de todo el tráfico SSL/TLS entrante y saliente.
En lugar de encadenar los servicios de seguridad en una serie delicada, F5 SSL Orchestrator emplea un modelo de cadena de servicio dinámico. Dicho modelo gestiona de forma inteligente el descifrado del tráfico a través de una cadena de seguridad, con un motor de clasificación contextual que utiliza la dirección del tráfico basada en políticas.
Este sistema es resistente y no lineal. Por este motivo, cuando un servicio de seguridad se cae, el sistema puede seguir protegiendo los activos de su organización.
SSL Orchestrator también proporciona una fácil inserción de las soluciones de seguridad existentes para un tiempo de actividad óptimo, agrupación de servicios, capacidades avanzadas de supervisión, escalado y equilibrio de carga de las soluciones de seguridad capaces de destruir y prevenir el malware.