Tráfico cifrado: hacer más visible lo vulnerable, Juan Rodríguez, F5 Networks

  • Opinión

Juan Rodríguez F5

Trabajar con tráfico cifrado puede llegar a resultar algo complejo, costoso y perjudicial para las organizaciones, especialmente, si no se tienen en cuenta las ciberamenazas y no se dispone de una estrategia integral de SSL/TLS. Lamentablemente, muchas compañías siguen depositando su confianza en soluciones de seguridad poco adecuadas, permitiendo que el tráfico de su red no se analice con tal de mantener el rendimiento de las aplicaciones.

En la nueva era del consentimiento y del compliance digital, no es posible que ninguna organización esté dispuesta a poner en riesgo sus datos simplemente por no querer ver la realidad.

 

Evitar la seguridad tradicional

El cifrado de datos en tránsito mediante SSL/TLS ya se ha convertido en un estándar. Distintas iniciativas relacionadas con la seguridad, como la incorporación de advertencias del navegador web o la entrada en vigor del Reglamento General de Protección de Datos (GDPR), están sirviendo para mejorar el conocimiento general sobre conceptos como la privacidad, así como para reducir las malas prácticas relacionadas con los datos.

Otras recomendaciones de F5 Networks para construir un entorno digital:

Robo de credenciales: prioriza la seguridad de tus apps

NetOps conoce a DevOps. Estado de la automatización de red

A pesar de ello, aún no se puede cantar victoria. Los ciberdelincuentes siguen empeñados en ocultar sus amenazas dentro de las cargas encriptadas o en utilizar canales cifrados para propagar sus malwares y conseguir acceder a los datos. Para ellos, las soluciones tradicionales de inspección ya no son un gran obstáculo.

Para muchas organizaciones, lograr una visibilidad completa del tráfico cifrado no resulta una tarea sencilla. Gran parte de ellas carece de un punto de control central que se encargue de implementar políticas de descifrado en los múltiples dispositivos de inspección que forman parte de la cadena de seguridad. En consecuencia, los equipos responsables de la seguridad de la organización recurren a dispositivos de conexión en cadena o a tediosas configuraciones manuales para abordar las actividades de inspección, lo que aumenta la latencia, la complejidad y el riesgo. Con demasiada frecuencia, el aprovisionamiento de servicios de red y de seguridad, como firewalls y gateways, puede convertirse en un proceso que requiere mucho tiempo y es propenso a errores si están envueltas las inspecciones SSL.

Al mismo tiempo, se estima que las actividades de espionaje tipo man-in-the-middle continuarán aumentando debido a que aún están en uso algunos estándares de cifrado de la capa de transporte completamente y oficialmente obsoletos.

En el entorno empresarial se detecta actualmente demasiada confusión y malas prácticas en el ámbito de la seguridad. Un reciente informe de F5 Labs revela que el 63% de las compañías está utilizando cifrado SSL/TLS para sus aplicaciones web, pero que solo el 46% lo usa para la mayoría de sus aplicaciones. Además, un 47% utiliza certificados autofirmados, algo que resulta inaceptable, ya que los responsables de seguridad deberían asegurarse de que todas las aplicaciones se ejecutan con niveles adecuados de encriptación y que cuentan con certificados firmados por terceros.

En definitiva, es hora de que las empresas se den cuenta de la creciente complejidad asociada a SSL/TLS, por no mencionar el impacto que pueden llegar a tener en el negocio conceptos como el compliance, la privacidad o las violaciones de datos.

 

Mejorar la estrategia de cifrado

Afortunadamente, existen soluciones que facilitan el camino. Un orquestador de cifrado correcto puede ayudar a reducir de forma drástica el riesgo de ataques encriptados en la cadena de servicios, permitiendo la inserción automática de dispositivos de seguridad físicos o virtuales.

A la hora de elegir, es importante tener en cuenta que las mejores herramientas siempre equilibran el rendimiento de la aplicación con la mitigación de riesgos, brindando a los equipos de seguridad una visibilidad completa del tráfico cifrado. Esto permite una gestión eficaz y la capacidad de responder rápidamente a amenazas que antes resultaban invisibles. Además, las capacidades mejoradas de detección de amenazas y resolución de ataques pueden mejorar la eficiencia operativa general en toda la infraestructura de seguridad de la aplicación. En definitiva, una estrategia SSL/TLS debe ser capaz de:

 

-     Defender contra las amenazas ocultas escalando SSL a través de múltiples dispositivos de seguridad ciegos al tráfico cifrado.

-     Prevenir la pérdida de datos y asegurar el cumplimiento al obtener visibilidad en todos los puntos de conexión de datos (tráfico entrante y saliente).

-     Disponer de un único punto de control a través de múltiples herramientas de seguridad para una mayor eficiencia.

-     Prevenir ataques reduciendo los riesgos de puntos ciegos selectivos.

-     Reducir la latencia con descifrado y cifrado de alto rendimiento del tráfico SSL/TLS entrante y saliente.

-     Aprovechar el encadenamiento de servicios basado en políticas para impulsar mayores eficiencias dentro de la pila de seguridad.

-     Balancear la carga entre dispositivos para minimizar cuellos de botella.

-     Reducir la carga administrativa con la gestión centralizada de claves, ahorrando tiempo y dinero al descargar SSL en lugar de terminar en el propio dispositivo.

 

Asegurar el futuro

El objetivo final siempre debe ser simplificar el proceso de gestión de SSL/TLS, mantener los datos seguros y obtener una visibilidad completa del tráfico cifrado sin comprometer la velocidad ni la disponibilidad de la aplicación.  

Para hacer esto, las organizaciones necesitan disponer de la capacidad de escanear correctamente el tráfico entrante y saliente. De manera crucial, tienen que visualizar y analizar la naturaleza de los vectores de ataque, a fin de poder asegurar convenientemente sus aplicaciones que, al final, son su activo más valioso.

 

Autor: Juan Rodríguez, director general en España y Portugal, F5 Networks