Los ciberdelincuentes saben que las herramientas que están desplegadas para la protección de las redes no tienen visibilidad hacia adentro del tráfico SSL ya que éste viene encriptado, lo que les da la ventaja de entregar malware sin que sea inspeccionado. Al respecto, Ignacio Conti, gerente regional de Blue Coat Systems, señaló que si bien más del 25% del tráfico web saliente ahora está cifrado, el 80% de los sistemas de seguridad no reconocen ni previenen amenazas dentro del tráfico SSL.
Actualmente las compañías aceptan cada vez más tráfico encriptado conforme migran hacia un mayor uso de los servicios de Cloud. Esto significa que el malware encontrará maneras más innovadoras de aprovechar la ventaja de esta forma común de encriptación y transporte. De acuerdo con información provista por los analistas de Gartner, el tráfico SSL crece 20% anualmente y se prevé que más del 50% de los ataques de red utilizará encriptado SSL para el 2017.
A fin de entender cómo los ciberdelincuentes aprovechan el encriptado SSL para ocultar malware u otras amenazas, Blue Coat Systems explicó de qué manera un usuario sucumbe a uno de los muchos e-mails de phishing que recibe cada día, sigue un link a una URL dañina y de manera inadvertida descarga un malware a la computadora del agente financiero usada para las transferencias bancarias ACH.
Bajo la cubierta del encriptado, este malware envía la información de la contraseña y otros datos sensibles a un usuario externo, haciendo posible que el atacante remoto pueda capturar una sesión de acceso, usar la contraseña transmitida y depositar el dinero de la organización en una cuenta en el extranjero. Con todos los comandos y el tráfico transmitidos hacia adentro y afuera de la red vía SSL, las herramientas de seguridad no ven esas actividades.
A fin de contrarrestar estas amenazas, Ignacio Conti indica que la tecnología de inspección y desencriptado SSL es crítica para las organizaciones que manejan amenazas de datos sensibles en sus redes. «La inspección SSL incluye la capacidad de desencriptar y retransmitir tráfico SSL a otras herramientas para su análisis y reacción rápida para encontrar y detener ataques que se esconden bajo la cubierta del encriptado. Cuando estas herramientas son elegidas y desplegadas apropiadamente, las organizaciones pueden encontrar amenazas escondidas dentro de datos encriptados sin degradar las comunicaciones críticas de negocios», explicó el directivo.
Conti señaló que cualquier solución que proporcione visibilidad al tráfico SSL/TLS debe reunir los siguientes criterios:
- Debe enviar tráfico desencriptado hacia la red y a dispositivos finales de seguridad tales como IDP, IPS, servicios forenses de red y puertas de redes avanzadas para la inspección inmediata y el análisis en caso necesario.
- Debe desencriptar tráfico de entrada y salida en cumplimiento con una política basada en lo que se conoce como actividad buena o mala o sospechosa, así como otras consideraciones.
- Debe ser capaz de desencriptar comunicaciones tanto de entrada como de salida, incluyendo comunicaciones web y de e-mail de las cuales se originan muchos de los ataques.
