Cada vez más nos encontramos con ataques y código malicioso que se distribuye utilizando tráfico cifrado. Ya sea en conexiones SSL/TLS, como uso de canales encriptados en los centros de mando y control de bots y malware, o como downloaders albergados en páginas que hacen uso de https, este tipo de comportamientos por parte de los atacantes se ha popularizado y hace que el filtrado y control de flujos cifrados se haya convertido en algo imprescindible en nuestras plataformas de seguridad perimetral, ya sea integrado en plataformas de Firewall de nueva generación o como dispositivos específicos.

Tradicionalmente el filtrado de este tipo de conexiones no está ampliamente extendido por varias razones:

• Los recursos de computación necesarios para llevar a cabo dicho filtrado. La necesidad de descifrar, analizar y volver a cifrar estos flujos consumía muchos recursos en las plataformas de seguridad perimetral tradicionales, todo ello añadido a la necesidad de inspección de contenido, algo que las plataformas clásicas de seguridad perimetral tenían amplias limitaciones para hacer, debiendo delegarlo en equipos específicos que debían integrarse mediante redireccionamientos o protocolos específicos con dichas plataformas.

• La forma de “abrir” el cifrado, principalmente cuando hablamos de conexiones SSL en las que básicamente había que realizar un man-in-the-middle para finalizar los túneles en la plataforma de filtrado y volverlos a recrear, una vez analizado el contenido, desde la plataforma de cifrado hasta el usuario final, normalmente con un nuevo certificado emitido por una entidad certificadora interna que debía ser de confianza por los usuarios, lo que en muchos casos implicaba intervenir directamente en los equipos de estos para incluir dicha entidad como de confianza.

Eso ha cambiado drásticamente en los últimos tiempos, permitiendo un filtrado efectivo de estas conexiones.

• Dispositivos con un alto rendimiento capaz de procesar un gran número de conexiones SSL/TLS, agregarlas e incluso contener un almacén de certificados de manera cifrada para preservar la seguridad han hecho posible inspeccionar el tráfico SSL/TLS a través de cualquier puerto y protocolo que lo embeba (no solamente el más habitual https).

• Nuevas arquitecturas, que permiten recibir una copia del tráfico cifrado, descifrarlo y enviarlo a su análisis a las diferentes herramientas de seguridad, manteniendo “congelado” el flujo original que espera el usuario final, para su entrega una vez los análisis declaran que es seguro, evitan el problema de la generación de un nuevo túnel con un certificado diferente y los problemas en el lado del usuario que comentábamos.

Disponemos por tanto de soluciones para evitar que el tráfico cifrado, tanto de entrada como de salida, se convierta en un agujero negro tanto a nivel de visibilidad como de control.

NetSecure