Llegamos a ustedes gracias a:



Reportajes y análisis

Obstáculos para las inspecciones SSL

… y los malos los conocen

[03/11/2016] La tecnología está ahí para las empresas a fin de inspeccionar el tráfico SSL que entra y sale de sus redes, pero los problemas de rendimiento, gestión y almacenamiento de datos se combinan para dificultar su adopción -permitiendo que los ciberatacantes oculten su actividad maliciosa en el tráfico encriptado.

De acuerdo con un nuevo informe del Ponemon Institute, el 41% de las empresas que fueron víctimas de una ciberataque dijeron que el atacante utilizó el cifrado SSL para ocultar sus actividades y colar datos fuera de las organizaciones.

Y es probable que este porcentaje aumente, según los expertos. Las herramientas de cifrado ya están disponibles para los criminales más inteligentes, y es solo cuestión de tiempo antes de que se comercialicen, sean más fáciles de usar, y lleguen a estar ampliamente disponible para los atacantes.

"Ya he visto algunos paquetes de exploits con opciones para utilizar capacidades avanzadas de cifrado", comenta Chase Cunningham, director de investigación de amenazas cibernéticas en A10 Networks, que patrocinó el informe del Ponemon Institute.

Pero solo el 36% de los profesionales de la seguridad dijeron que sus empresas son capaces de llevar a cabo el cifrado y la inspección SSL, según el informe.

En cambio, la mayoría, el 61%, dijo que no descifra el tráfico SSL debido al rendimiento potencial de éxito en sus redes. Además, el 47% señaló a la falta de herramientas de seguridad y el 45% citó la falta de recursos.

"Hay una idea errónea de que, si se empieza a observar el tráfico SSL, será la mitad del tráfico en su red", anota Cunningham. "Si empiezan a mirarlo, se ralentizará la red lo suficiente como para causar una degradación del rendimiento".

Además, la gestión de los certificados SSL puede ser una tarea engorrosa, añade el ejecutivo.

Eso es un problema, porque más y más tráfico legítimo se está encriptando, incluyendo muchos de los servicios públicos en línea utilizados para filtrar datos. Eso significa que los atacantes maliciosos y los iniciados no tienen que hacer nada para beneficiarse del cifrado -el cifrado ya está ahí.

Alrededor del 70% del tráfico mundial de Internet se cifrará este año, según un informe publicado en el otoño pasado, por el proveedor de networking Sandvine. Y la razón principal por la que el resto del tráfico no se encripta es porque están haciendo streaming de videos.

En la empresa, la mayoría de los ejecutivos de seguridad informan que entre el 25% y el 50% de su tráfico de red está encriptado, y más del 80% dijeron que esperan que tanto el tráfico codificado entrante y saliente aumente durante el próximo par de años, según un estudio reciente, realizado por IDC y F5 Networks.

En particular, muchas herramientas populares de colaboración y de intercambio de archivos en línea tienen cifrado integrado, y se utilizan con frecuencia por atacantes internos y externos que buscan filtrar información.

Eso significa que la mayor parte del dinero que las empresas gastan en seguridad se está desperdiciando, señala Kevin Bocek, vicepresidente de estrategia de seguridad y de inteligencia de amenazas en Venafi.

Los firewalls de nueva generación, cajas de arena y herramientas de análisis de comportamiento, son solo una cuarta parte de lo eficaces que deberían ser, si tres cuartas partes del tráfico se cifran y simplemente se deslizan más allá de ellos, anota Bocek.

Mientras tanto, iniciativas como 'Let's Encrypt' han reducido el costo de los certificados de cifrado a cero, agregó. "Eso crea un escenario peligroso".

Dijo que los clientes de Venafi han informado haber encontrado casi 16.500 claves y certificados TLS o SSL desconocidos. "Ese es tráfico cifrado que ni siquiera se conoce. Y las claves y certificados están creciendo por lo menos un 20% cada año".

El problema va a empeorar en vez de mejorar, añade. "Es un punto ciego que hemos seguido ignorando".

"Cuando le pregunto a las organizaciones acerca de su tráfico SSL, a menudo no saben mucho sobre él", comenta Bradon Rogers, vicepresidente de ingeniería de ventas globales en Symantec. "Y cuando lo conocen, entre el 50% y el 75% de su tráfico está cifrado".

Y muchas empresas se resisten a la implementación de inspección SSL a gran escala, incluso si pudieran, agregó, debido a posibles problemas de cumplimiento y preocupaciones de privacidad relacionadas con ver los números de tarjetas de crédito de los empleados, información bancaria, y los datos médicos.

"Este es el difícil equilibrio que las organizaciones tienen que lograr a la hora de decidir cuándo descifrar y cuándo no", anota Rogers.

Sin embargo, Cunningham de A10 dijo que las empresas ya están inspeccionando la mayoría de las comunicaciones de texto sin formato, por lo menos, para comprobar si hay malware.

"La verdad absoluta de la situación es que cada vez que inicia sesión en el sistema como usuario, cierra sesión en algo que dice que su compañía tiene el derecho de inspeccionar el tráfico", señala. "Tienen que mirar el tráfico para ver si hay actividades maliciosas ocurriendo - para proteger a los usuarios y proteger los datos".

Las empresas no deben tener miedo de extender el mismo nivel de monitoreo de tráfico cifrado, agrega. "Pero la gente tiene mucho miedo de hacer lo que dijeron que harían".

Proxies y gateways

Mientras tanto, los proxies y tecnologías de gateway han llegado a mejorar mucho, con políticas configurables que permiten a las empresas hacer distinciones entre el tráfico potencialmente malicioso y relacionado con la información confidencial. Además, han mejorado algo en la reducción de los impactos y la gestión de los retos de rendimiento.

A10, por ejemplo, ofrece aparatos que se ocupan del dolor de cabeza que es la gestión de los certificados SSL, y asumen las tareas de cifrado y descifrado intensivo de la CPU de modo que los dispositivos dedicados de la red no son atenuados. Tanto el tráfico entrante y saliente se descifra, se envía a los dispositivos de seguridad para la inspección, y se encripta nuevamente.

Blue Coat también ofrece un producto de descifrado SSL. Sus puertas de enlace pueden inspeccionar de forma selectiva el tráfico en función de los destinos, pueden apoyar 80 mecanismos de cifrado, y pueden alimentar a los resultados a través de un sistema de prevención de pérdida de datos, una caja de arena de detección de malware, o un sistema de prevención de intromisiones al sistema.

Rogers de Blue Coat señala que los gateways de inspección SSL tenían un historial difícil de manejar, y de causar un impacto en el rendimiento de los firewalls del 80%.

Pero las nuevas herramientas y los aparatos para usos especiales tienen un impacto mínimo, y son más fáciles de manejar, añade.

De hecho, las pasarelas de inspección SSL pueden realmente mejorar el rendimiento de la red, anota Bryan Fite, CISO de BT Global Services.

"Realmente no se puede comprimir y acelerar el tráfico encriptado", indica. "Primero hay que descifrarlo".

Como resultado, no solo los proveedores de seguridad venden esta capacidad -los proveedores de red de amplia área también están vendiendo soluciones de descifrado SSL para la optimización de la WAN.

De acuerdo con Gartner, la optimización de la WAN es un mercado de 815 millones de dólares, y el crecimiento del envío de la unidad se prevé que aumente en un 12,4% hasta el año 2019. Sin embargo, los ingresos totales en realidad se dejan caer, según el analista de Gartner, Bjarne Munch, debido a una mayor integración con los routers, precios agresivos por compañías como Cisco, y una mercantilización general del mercado.

La industria de servicios financieros está por delante de todos los demás en este frente, anota Fite de BT.

Sin embargo, las empresas financieras también tienen algunos retos únicos cuando se trata de descifrado SSL, agregó.

"Los estudios de casos aún no están, pero es posible que corra el riesgo de que la integridad forense de una transacción que pasa a través de una conexión SSL pueda ser cuestionada", señala.

Los enfoques basados en criterio de valoración

El cifrado y descifrado no tiene que tener lugar en la periferia de la red. Algunas compañías están evitando posibles problemas de gestión, rendimiento y almacenamiento de datos mediante la inspección de tráfico SSL en los puntos finales.

Avast, por ejemplo, ofrece un escáner de HTTPS que busca signos de malware y se sienta en la computadora del usuario final.

"Es un enfoque 'hombre en el medio'", señala Michal Salat, director de inteligencia de amenazas en Avast Software. "El usuario deja que Avast, el programa, escanee los datos que pasan, pero no se transfieren a ningún otro lugar".

Las herramientas también pueden detectar si los archivos están siendo enviados a un destino sospechoso. Sin embargo, Avast no inspecciona los archivos para otros tipos de contenido, tales como documentos confidenciales o información de identificación personal, así que no es una solución de prevención de pérdida de datos.

Avast no está solo. Varias otras compañías también ofrecen herramientas que se sitúan en los puntos finales y están atentas ante las actividades sospechosas.

Por ejemplo, enSilo se encuentra en los servidores y puntos finales para buscar comportamientos que violan los principios normales de funcionamiento. "Venimos con una lista blanca", señala Roy Katmor, CEO de enSilo. "Sabemos cómo se construye Windows y cómo se supone que funciona, y si algo dentro de ese flujo conduce a una solicitud de comunicación que rompe el sistema operativo, vamos a prevenir que la comunicación ocurra. Eso nos hace agnósticos a la aplicación o al método de cifrado".

La visibilidad del punto final es especialmente crítica para ayudar a detectar el malware que utiliza sus propios métodos de cifrado, añade Zulfikar Ramzan, director de tecnología de RSA Security.

"Y si se puede atar nuevamente dentro de la red, sería aún más potente", agregó. "Los primeros indicadores son que este es un mercado importante y en crecimiento a futuro".

Además de las herramientas comerciales, también hay soluciones locales que las empresas pueden escribir pos sí mismas, comenta Anuj Soni, un instructor en el Instituto SANS, e investigador senior de amenazas en Cylance. Puede obtener información acerca de los archivos que se encuentran en el disco, los valores de configuración del registro", añade.

Cuando el descifrado no es una opción

SSL no es la única forma de cifrado que los atacantes pueden utilizar. Incluso los cifrados simples de ruptura como XOR pueden proporcionar un nivel de seguridad, y los algoritmos de cifrado más avanzados son prácticamente irrompibles.

"En estos días, todo es demasiado simple para que los atacantes puedan codificar o cifrar las comunicaciones", anota Soni.

Pero eso no quiere decir que no hay nada que pueda hacer. "Incluso si no tiene visibilidad de las comunicaciones, puede ver el volumen de datos, el tiempo", añade el ejecutivo. "Puede determinar los nombres de dominio y direcciones IP que están pasando por el tráfico. Hay cientos de artefactos producidos a través de un sistema operativo Windows tradicional cuando empaqueta documentos. Incluso si el malware no es residente en la máquina, aún se pueden encontrar numerosos artefactos que ha dejado la actividad maliciosa".

Además, las empresas pueden preguntarse cuánto cifrado rebelde quieren tener, señala Jamz Yaneza, gerente de investigación de amenazas de Trend Micro.

"No debería tener tipos extraños de cifrado pasando por sus redes", añade. "Las empresas deben contar con políticas donde se desvíe el tráfico cifrado extraño hacia lugares donde no se puedan contactar o hacer negocios".

El aparato de Trend Micro inspecciona los paquetes que pasan a través de la red y mira la parte no cifrada que rodea el cuerpo del mensaje cifrado. Por ejemplo, el destino se tiene que especificar en texto sin formato.

"Romper algunos tipos de cifrado, podría tomar unos cuantos cientos de años", indica Yaneza. "Pero siempre hay una manera para identificar ese tipo de tráfico".

Las herramientas de seguridad pueden buscar indicios de que el tráfico es malicioso, ya sea en la forma en que se codifica el mensaje, en su origen o su destino, o en la forma en que se comporta.

"También puede crear una línea de base y hacer que coincida con la línea de base del tráfico en la red", señala. "Y cuando hay anomalías, crear políticas para ellas".

Trend Micro también trabaja con los principales proveedores de aplicaciones en la nube, como Dropbox, para cerrar los canales maliciosos.

"Tenemos una gran sinergia con ellos", señala. "Con Dropbox o Google Drive o One Drive, les decimos que hay cuentas que están siendo abusadas por un autor de malware, y les dan de baja".

Eso funciona bien con ataques a gran escala, donde se utilizan los sitios de intercambio de archivos y otras plataformas de colaboración como centros de mando y control, o para recoger datos filtrados.

"Y si se trata de una situación de una sola vez, es una anomalía", agrega. "Es extraño, no sucede con regularidad".