Cómo implementar una gestión de tráfico cifrado en cinco pasos

Miguel Ángel Martos, director general sur de Europa

Los usuarios acuden cada vez con más frecuencia a la web y las aplicaciones móviles y en la nube, para hacer su trabajo más eficazmente. Y estas aplicaciones utilizan generalmente tecnologías como Secure Sockets Layer (SSL) o Transport Layer Security (TLS) para cifrar el tráfico y mantener las comunicaciones y transacciones privadas. El cifrado es muy útil para proteger la privacidad y la integridad de las comunicaciones, pero también puede tener desventajas. Sin embargo, desde una perspectiva empresarial, el tráfico cifrado crea puntos ciegos en la red que pueden ocultar numerosos peligros. La mayoría de las ciber amenazas se ocultan en las comunicaciones cifradas, que pueden llegar a representar hasta el 70 % del tráfico de una organización. Necesitamos soluciones precisas que permitan conservar todas las ventajas del cifrado, pero que también detecten los ataques encubiertos, soluciones que permitan ver todo lo que amenaza o puede amenazar la seguridad de nuestras redes.

Desde Blue Coat recomendamos cinco pasos a seguir a la hora de implementar una correcta gestión del tráfico cifrado (ETM)
1.- No perder el tiempo: ponerse manos a la obra ya.
Para la mayoría de los CISO, ya no cabe duda ninguna de la necesidad de tomar medidas contra las amenazas avanzadas que se esconden en el tráfico cifrado. Recordemos unas estadísticas mínimas:
• El tráfico cifrado SSL/TLS representa un promedio del 35 al 50% de todo el tráfico de la red en la empresa, llegando en algunos casos hasta representar un 70%.
• El crecimiento anual del tráfico cifrado está siendo de un 20%.
• Para 2017 Gartner estimaba que el 50% de los ataques vendrían ocultos dentro del tráfico cifrado.
• Los servidores conocidos de Command&Control (C&C) han visto en 2015 crecimientos increíbles del 200% en ejemplos de malware.
2.- Hacer inventario de nuestras herramientas de seguridad.
¿Las soluciones de seguridad de nuestra red como NGFE, IDS/IPS, DLP y análisis de malware/sandboxing están suficientemente preparadas para reconocer, inspeccionar y prevenir amenazas, incluso su están cifradas?
Si nuestra respuesta es “no”, debemos pensar que la inacción puede llevar a serias brechas y al incumplimiento de SLAs, acuerdos y acabar en pleitos legales con importantes repercusiones.
En 2005 el coste medio de una brecha se valoraba en 3,9 millones de USD.
Si la respuesta es “si”, tenemos que entender el impacto que la inspección SSlL/TLS puede llegar a tener en el rendimiento y la productividad, ya que algunos dispositivos pueden degradar significativamente el funcionamiento de las redes. También hay examinar si las soluciones implantadas son limitadas o pueden interferir en nuestra actividad, TI e impactar en nuestros empleados, clientes y colaboradores. Pero además necesitamos analizar si en el caso de que fuéramos incapaces de descifrar selectivamente cómo viola esto las políticas de privacidad.
3.- Pensar más allá de las TI.
Es fundamental la colaboración con el departamento legal, cumplimiento y RRHH para asegurar la privacidad de los datos. El primer paso sería, entre todos, definir y comunicar las políticas de privacidad y de cumplimiento, y luego implementarlas en los diferentes dispositivos, de forma que podamos inspeccionar y descifrar selectivamente el tráfico SSL/TLS y bloquear especialmente todo el tráfico sospechoso, identificar o bloquear elementos con cifrado débil o anticuado, así como no descifrar ni inspeccionar determinado tráfico en cumplimiento con la normativa (por ejemplo, datos personales o tráfico relacionado con operaciones bancarias).
4.- Entender el posible impacto en todo el equipo de seguridad IT y en la organización.
Implementar una solución efectiva de gestión de tráfico cifrado exige de nosotros seguir una aproximación global y arquitectural y no pensando producto a producto. Es necesario contar con una visión que abarque todas las soluciones de defensa de la infraestructura de la red, y también facilitar la formación del equipo TI, crear o ampliar los diferentes roles y responsabilidades, asegurarse que la totalidad de la empresa entiende las políticas y los cambios organizativos necesarios.
5.- Planificar y pensar en el futuro.
A la hora de diseñar la estrategia es necesario tener en cuenta varios elementos, desde considerar la implementación inicial de unas pocas políticas basadas en una o dos prioridades y luego ir ampliando teniendo en cuenta la experiencia y el feedback obtenido, así como prever el incremento del tráfico SSL/TLS y una posible expansión de la actual estructura de seguridad.
La combinación de un aumento en las amenazas junto a una falsa e ingenua confianza por parte de muchas empresas, hace que los riesgos sean cada vez más una realidad. No hay tiempo que perder si realmente queremos estar mejor protegidos.