Factores de Riesgo a Considerar Cuando se Asegura el Tráfico SSL
Como todos saben, el protocolo SSL fue creado originalmente para asegurar el tráfico Web altamente sensible.
Lo cual hace sentido, ya que ha medida que los hackers se vuelven más sofisticados, un protocolo que encripta los datos en las comunicaciones de su banco, clínica, o agencia de gobierno parece ser la manera ideal de agregar una capa adicional de seguridad.
El SSL fue adoptado con entusiasmo y se ha expandido para volverse el estándar para muchas otras clases de tráfico – ahora vemos el uso del SSL en todas partes, desde sitios de redes sociales como Facebook y Twitter, hasta servicios SaaS como salesforce.com, hasta la torrente de video como Netflix y Hulu.
Desde un principio, todos tuvimos ese sentido de seguridad de ver el candado y la banda verde en la barra del URL, indicando que nuestra navegación en la web era segura.
Así que no es sorpresa que los ciber criminales encontraran el camino para utilizar ese sentido de seguridad contra nosotros al encontrar una manera para explotar el SSL para sus infames propósitos.
Y las cosas todavía empeoraron cuando las vulnerabilidades en el software utilizado para encriptar el SSL fue descubierto, como es el caso reciente del bug de Heartbleed.
Los fabricantes de software de seguridad han tratado de agregar funcionalidad que permita controlar las nuevas amenazas SSL, pero algunas de ellas no han sido practicas o han agregado nuevos factores de riesgo.
Las soluciones legadas, donde muchas fueron edificadas antes de que existiera el protocolo SSL, ofrecen el permitir todo el tráfico SSL, o permitir a los usuarios bloquear todo el SSL, siendo que ambos extremos son insostenibles en los ambientes de negocios actuales habilitados por SaaS.
Algunos fabricantes, incluyendo muchos de seguridad Web y UTMs (unified threat management) para la Gestión de Amenazas Unificadas, ofrecen su habilidad para la inspección de todo el SSL al desencriptar en el gateway y después re-encriptar antes de que llegue al destinatario.
Mientras que este parecer ser un buen acercamiento para muchas organizaciones, también lleva riesgos considerables.
Por ejemplo, en el caso de los usuarios BYOD, la desencriptación del SSL puede resultar en violaciones serias a las regulaciones.
Esto también es una realidad para las industrias altamente reguladas como la financiera, educación y otras en donde la desencriptación del SSL puede resultar en serias violaciones a las regulaciones.
Además, descifrar todo el tráfico puede ser problemático si las vulnerabilidades tal como el bug Heartbleed se encuentra presente, porque puede dejar a una organización abierta a ataques man-in-the-middle (MiTM).
Problemas como estos pueden llevar a una organización a enfrentar grandes pérdidas incluyendo multas administrativas y posibles demandas legales, consecuencias que todos quieren evitar.
Otro problema con el descifrado de todo el tráfico SSL es el impacto negativo al rendimiento de la red.
De acuerdo a un reporte de NSS Labs, soluciones UTM/NGFW que tienen que desencriptar todo el tráfico SSL con el fin de detectar las amenazas mostró una pérdida significativa en el rendimiento dependiendo del tamaño de la llave de encriptación, con cerca del 81% de pérdida en transacciones por segundo, cuando los NGFWs se encuentran descifrando códigos de 2018b.
Además, algunas soluciones de seguridad que escanean y desencriptan todo el SSL, emiten advertencias en ventanas emergentes cuando el SSL no puede ser descifrado, agregando la confusión del usuario al asunto.
Si hay algo que llevarse de esta discusión, es que usted debe examinar meticulosamente cómo las soluciones de seguridad que se encuentra considerando manejan el tráfico SSL antes de comprar por una.
Aquí les presentamos algunos puntos importantes que recordar:
1. Las soluciones que tienen un enfoque de “permitir todo o bloquear todo” puede que no afecten la producción total, pero pueden dejar abierta su red a los ataques más avanzados, o impedir el tráfico de misión crítica. ¿Cómo va a manejar las situaciones que puedan impactar adversamente su linea de fondo?
2. Si usted se encuentra considerando una solución de seguridad que descifre todo el tráfico en el gateway – ¿Cómo va a manejar el BYOD y restricciones de regulaciones que prohíben la desencriptación? También, ¿se encuentra en listo para soportar el impacto negativo en el rendimiento de su red? Descifrar todo el tráfico puede volver lenta su red.
3. Si está considerando una solución que escanea y desencripta y después re-encripta, ¿cómo cobre los agujeros a la seguridad que lo dejan expuesto a los ataques man-in the middle?
Para mayor información lea nuestro nuevo whitepaper – “Administración del Tráfico SSL: Un análisis del SSL y como asegurarlo”
Así que, ¿cuál es el mejor enfoque?
Lo ideal, es no descifrar si no tiene que hacerlo.
Desafortunadamente, muchas soluciones de seguridad no le ofrecen esta opción.
Seguridad SSL optima sin degradar el rendimiento de la red, busque un proveedor que pueda extender la administración granular del tráfico SSL a través de toda su red sin descifrar, y que también le ofrezca la habilidad para descifrar en situaciones en donde la inspección o el control dentro del tráfico SSL sea requerido.