Opinión:

¿Por qué un negocio (o red) necesita un vigilante?

 

Supongamos que un conocido suyo ha decidido abrir un bar. Contrata al mejor decorador, compra la mejor selección de botellas que pueda imaginar y contrata al mejor barman que encuentra. Abre el bar, obtiene una excelente respuesta e inmediatamente se convierte en el lugar más de moda de la ciudad.

Y en menos de un mes, está cerrado. Al parecer, no puso la atención necesaria y dejó entrar —o salir— a cualquiera, lo que definitivamente no es una buena práctica de negocio.

Este ejemplo es doblemente válido en el ámbito de la ciberseguridad. Imagine que su empresa no tuviera visibilidad alguna de una fuente de problemas común ni del incumplimiento normativo. Lamentablemente, es posible que sea el caso, ya que muchas empresas todavía no dan prioridad a la inspección del tráfico cifrado.

En primer lugar, veamos qué son las amenazas cifradas: en términos sencillos, la SSL (Capa de conexión segura) puede crear un túnel cifrado para proteger los datos a través de una conexión a Internet. La TLS (Seguridad de la capa de transporte) es una versión más nueva y segura de la SSL.

Mientras que los estándares de cifrado TLS y SSL proporcionan ventajas de seguridad legítimas para las sesiones Web y las conexiones a Internet, los cibercriminales cada vez los utilizan más para ocultar malware, ransomware, ataques de día cero, etc. Actualmente, se estima que el 35% de las amenazas están cifradas, porcentaje que va en aumento.

Los problemas son el miedo a la complejidad y la falta de concienciación acerca de la necesidad de inspeccionar el tráfico SSL y TLS — en particular utilizando inspección profunda de paquetes (DPI) — de forma responsable en busca de ciberataques maliciosos. Esta actitud resulta especialmente peligrosa, ya que los controles de seguridad tradicionales no ofrecen la capacidad ni la potencia de procesamiento necesarias para detectar, inspeccionar y mitigar los ciberataques enviados a través del tráfico HTTPS.

En nuestro ejemplo del bar, contratar a un vigilante hubiera marcado la diferencia entre continuar teniendo éxito y tener que cerrar por no controlar el tráfico o por no controlarlo suficientemente. De forma similar, a medida que la cantidad de amenazas cifradas continúa aumentando, la inspección del tráfico cifrado podría marcar la diferencia entre reconocer y bloquear una amenaza y verse obligado a paliar las consecuencias de un ciberataque perpetrado con éxito.

Imagine que dicho bar tiene un código de vestimenta. Ya sea casual de negocio o de saco y corbata, sin un vigilante o portero, no hay forma de hacer que se cumpla. Y lo que es peor, sin nadie que controle los abrigos, no se sabría si alguien podría llevar una camiseta de hockey o una camiseta con un mensaje político inadecuado bajo su gabardina de color caqui.

La interacción entre las soluciones de filtrado de contenido y el tráfico cifrado es similar. Con entre un 80 y un 90% del tráfico transmitido a través de conexiones cifradas con HTTPS, sus soluciones de filtrado de contenido pierden toda precisión (Fuente: Google Transparency Report). Tienen una eficiencia limitada a la hora de identificar la página web de destino y de decidir cómo abordar las posibles amenazas. Además, si no puede ver lo que ocurre bajo la superficie, corre el riesgo de que las amenazas pasen desapercibidas.

De forma similar, las soluciones de sandboxing tienen una utilidad limitada cuando se trata de amenazas cifradas. Si un cibercriminal consigue establecer una conexión cifrada entre su controlador y un punto terminal, podría transferir archivos en ambas direcciones—incluidos más archivos de malware. En la mayoría de los casos, las organizaciones tienen una única solución de sandboxing que es capaz de escanear todos los archivos y de asegurarse de que no sean maliciosos antes de permitir su acceso.

Sin embargo, si la comunicación está cifrada, la solución de sandboxing pierde su utilidad, ya que no le permite capturar los archivos que viajan entre un sistema C2 y el punto terminal. La solución detecta que hay tráfico cifrado entre dos IPs, pero no puede ver lo que está ocurriendo.

En el ejemplo de nuestro vigilante, pongamos que es un profesional experimentado. Tiene una lista mental de las personas conflictivas de los últimos 20 años y puede detectarlos desde lejos. Sin embargo, si no tenemos a alguien en la puerta que reconozca a las personas que pueden constituir un peligro para ellas mismas y para los demás, éstas pueden entrar sin problema al local—y para alguien que no se dedique a detectar a este tipo de personas, son un cliente más hasta que ya sea demasiado tarde.

A veces no se trata simplemente de quién entra en el bar (o en la red), sino de quién sale. Muchas soluciones de seguridad están diseñadas para prevenir la pérdida de datos. No obstante, el cifrado tiene la capacidad de hacer que ésta pase desapercibida. Gracias a ello, los perpetradores de ataques maliciosos (de dentro y fuera de la organización) pueden robar datos privados o confidenciales sin que nadie se dé cuenta y, una vez que tienen suficiente información para hacerle chantaje, a menudo recurren al ransomware.

Desafortunadamente, los dispositivos de pasarela normales, sin descifrado disponible/activado, no son capaces de identificar este tráfico. Y los riesgos van más allá de los troyanos, el ransomware y el malware; este tipo de exfiltración de datos también podría hacerle incumplir leyes como HIPAA, las normas PCI o el GDPR, lo cual conllevaría multas importantes.

¿El bar cerró porque los clientes fueron descubiertos saliendo de él con bebidas? ¿O alguien vio a los empleados sacando botellas en un bolso a escondidas? Estos comportamientos no solo son ilegales para ellos, también lo son para el dueño. Y a veces las multas por incumplimiento, ya sea de ordenanzas locales para bares o de leyes nacionales para organizaciones de gran tamaño, pueden suponer una amenaza para un negocio, o incluso llevar al cierre del negocio.

En ambos casos, la solución es la misma: un defensor valiente y efectivo que sea lo suficientemente inteligente para saber a quién dejar entrar y a quién no—y lo suficientemente experimentado para hacer que se cumpla sin provocar colas en la puerta.

Andrés González, Ingeniero de Ventas para SonicWall en México, Centroamérica y El Caribe