Las empresas, cada vez más expuestas a sufrir ataques a través del tráfico cifrado (SSL)

Mientras el tráfico SSL crece 20% anualmente, más del 50% de los ataques por parte de ciberdelincuentes utilizará SSL cifrado para 2017. Aunque el 25% del tráfico saliente es SSL, el 80% de los sistemas de seguridad no previenen las amenazas dentro de éste.

El cifrado SSL es crucial para proteger los datos durante su tránsito en transacciones en la web, comunicaciones de e-mail y el uso de aplicaciones móviles. A pesar de ello, esta modalidad de transmisión de datos es cada vez aprovechado por el ciberdelincuente para ocultar transferencias de datos sensibles y para ofuscar sus comunicaciones de comando y control, destaca Blue Coat Systems en un nuevo informe.

Los ciberdelincuentes saben que las herramientas que están desplegadas para la protección de las redes no tienen visibilidad hacia el interior del tráfico SSL, ya que éste viene cifrado, lo que les da la ventaja de entregar malware sin que sea inspeccionado. Al respecto, Ignacio Conti, gerente regional de Blue Coat Systems, señala que si bien más del 25% del tráfico web saliente ahora está cifrado, el 80% de los sistemas de seguridad no reconocen ni previenen amenazas dentro del tráfico SSL.

Actualmente las compañías aceptan cada vez más tráfico cifrado conforme migran hacia un mayor uso de los servicios de Cloud. Esto significa que el malware encontrará cada vez maneras más innovadoras de aprovechar la ventaja de esta forma común de encriptación y transporte. De acuerdo con información de Gartner, el tráfico SSL crece a una tasa anual del 20% y prevé que más del 50% de los ataques de red utilizará encriptado SSL para el 2017.

A fin de entender cómo los ciberdelincuentes aprovechan el cifrado SSL para ocultar malware u otras amenazas, Blue Coat Systems explica de qué manera un usuario sucumbe a uno de los muchos e-mails de phishing que recibe cada día, sigue un enlace a una URL maligna y de manera inadvertida descarga un malware a la computadora del agente financiero usada para las transferencias bancarias ACH.

Bajo la cubierta del cifrado, este malware envía la información de contraseña y otros datos sensibles a un usuario externo, haciendo posible que el atacante remoto pueda capturar una sesión de acceso, usar la contraseña transmitida y depositar el dinero de la organización en una cuenta en el extranjero. Con todos los comandos y el tráfico transmitidos hacia adentro y afuera de la red vía SSL, las herramientas de seguridad no vieron esas actividades.

A fin de contrarrestar estas amenazas, Ignacio Conti indica que la tecnología de inspección y desencriptado SSL es crítica para las organizaciones que manejan amenazas de datos sensibles en sus redes. “La inspección SSL incluye la capacidad de desencriptar y retransmitir tráfico SSL a otras herramientas para su análisis y reacción rápida para encontrar y detener ataques que se esconden bajo la cubierta del encriptado. Cuando estas herramientas son elegidas y desplegadas apropiadamente, las organizaciones pueden encontrar amenazas escondidas dentro de datos encriptados sin degradar las comunicaciones críticas de negocios”, destaca el directivo.

Ignacio Conti advierte que cualquier solución que proporcione visibilidad al tráfico SSL/TLS debe reunir ciertos criterios:

– Debe enviar tráfico desencriptado hacia la red y a dispositivos finales de seguridad tales como IDP, IPS, servicios forenses de red y puertas de redes avanzadas para la inspección inmediata y el análisis en caso necesario.

– Debe desencriptar tráfico de entrada y salida en cumplimiento con una política basada en lo que se conoce como actividad buena o mala o sospechosa, así como otras consideraciones.

– Debe ser capaz de desencriptar comunicaciones tanto de entrada como de salida, incluyendo comunicaciones web y de e-mail de las cuales se originan muchos de los ataques.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022