Según Blue Coat, crece la amenaza de ataques a entornos de encripción SSL

Blue Coat

El encriptado SSL es crucial para proteger los datos durante su tránsito en transacciones en la web, comunicaciones de e-mail y el uso de aplicaciones móviles, sin embargo cada vez más es aprovechado por el ciberdelincuente para ocultar transferencias de datos sensibles y para ofuscar sus comunicaciones de comando y control, destaca Blue Coat Systems, líder en seguridad empresarial.

 

Los ciberdelincuentes saben que las herramientas que están desplegadas para la protección de las redes no tienen visibilidad hacia adentro del tráfico SSL, ya que éste viene encriptado lo que les da la ventaja de entregar malware sin que sea  inspeccionado. Al respecto, Ignacio Conti, gerente regional de Blue Coat Systems, señala que si bien más del 25% del tráfico web saliente ahora está cifrado, el 80% de los sistemas de seguridad no reconocen ni previenen amenazas dentro del tráfico SSL.

 

Actualmente las compañías aceptan cada vez más tráfico encriptado conforme migran hacia un mayor uso de los servicios de Cloud. Esto significa que el malware encontrará cada vez maneras más innovadoras de aprovechar la ventaja de esta forma común de encriptación y transporte. De acuerdo con información de Gartner, el tráfico SSL crece 20% anualmente y prevé que más del 50% de los ataques de red utilizará encriptado SSL para el 2017.

 

A fin de entender cómo los ciberdelincuentes aprovechan el encriptado SSL para ocultar malware u otras amenazas, Blue Coat Systems explica de qué manera  un usuario sucumbe a uno de los muchos e-mails de phishing que recibe cada día, sigue  una liga a una URL maligna y de manera inadvertida descarga un malware a la computadora del agente financiero usada para las transferencias bancarias ACH.

Bajo la cubierta del encriptado, este malware envía la información de contraseña y otros datos sensibles a un usuario externo, haciendo posible que el atacante remoto pueda capturar una sesión de acceso, usar la contraseña transmitida y depositar el dinero de la organización en una cuenta en el extranjero. Con todos los comandos y el tráfico transmitidos hacia adentro y afuera de la red vía SSL, las herramientas de seguridad no vieron esas actividades.

 

A fin de contrarrestar estas amenazas, Ignacio Conti indica que la tecnología de inspección y desencriptado SSL es crítica para las organizaciones que manejan amenazas de datos sensibles en sus redes. “La inspección SSL incluye la capacidad de desencriptar y retransmitir tráfico SSL a otras herramientas para su análisis y reacción rápida para encontrar y detener ataques que se esconden bajo la cubierta del encriptado. Cuando estas herramientas son elegidas y desplegadas apropiadamente, las organizaciones pueden encontrar amenazas escondidas dentro de datos encriptados sin degradar las comunicaciones críticas de negocios”, destaca el directivo.

 

El directivo menciona que cualquier solución que proporcione visibilidad al tráfico SSL/TLS debe reunir ciertos criterios:

 

  • Debe enviar tráfico desencriptado hacia la red y a dispositivos finales de seguridad tales como IDP, IPS, servicios forenses de red y puertas de redes avanzadas para la inspección inmediata y el análisis en caso necesario.
  • Debe desencriptar tráfico de entrada y salida en cumplimiento con una política basada en lo que se conoce como actividad buena o mala o sospechosa, así como otras consideraciones.
  • Debe ser capaz de desencriptar comunicaciones tanto de entrada como de salida, incluyendo comunicaciones web y de e-mail de las cuales se originan muchos de los ataques.