Aumentan ciberataques a través de tráfico encriptado: Blue Coat Systems
Según la empresa en seguridad, el ciberdelincuente para ocultar transferencias de datos sensibles y para ofuscar comunicaciones de comando y control, cada vez más utiliza el encriptado SSL, el cual esencialmente, protege los datos durante su tránsito en transacciones en la web, comunicaciones de e-mail y el uso de aplicaciones móviles.
Agregó que los ciberdelincuentes saben que las herramientas que están desplegadas para la protección de las redes no tienen visibilidad hacia adentro del tráfico SSL, ya que éste viene encriptado lo que les da la ventaja de entregar malware sin que sea inspeccionado. Al respecto, Daniel Casados, director general de Blue Coat Systems México, señaló que si bien más del 25% del tráfico web saliente ahora está cifrado, el 80% de los sistemas de seguridad no reconocen ni previenen amenazas dentro del tráfico SSL.
Actualmente las compañías aceptan cada vez más tráfico encriptado conforme migran hacia un mayor uso de los servicios de Cloud. Esto significa que el malware encontrará cada vez maneras más innovadoras de aprovechar la ventaja de esta forma común de encriptación y transporte. De acuerdo con información de Gartner, el tráfico SSL crece 20% anualmente y prevé que más del 50% de los ataques de red utilizará encriptado SSL para el 2017.
A fin de entender cómo los ciberdelincuentes aprovechan el encriptado SSL para ocultar malware u otras amenazas, Blue Coat explicó de qué manera un usuario sucumbe a uno de los muchos e-mails de phishing que recibe cada día, sigue una liga a una URL maligna y de manera inadvertida descarga un malware a la computadora del agente financiero usada para las transferencias bancarias ACH:
Bajo la cubierta del encriptado, este malware envía la información de contraseña y otros datos sensibles a un usuario externo, haciendo posible que el atacante remoto pueda capturar una sesión de acceso, usar la contraseña transmitida y depositar el dinero de la organización en una cuenta en el extranjero. Con todos los comandos y el tráfico transmitidos hacia adentro y afuera de la red vía SSL, las herramientas de seguridad no vieron esas actividades.
A fin de contrarrestar estas amenazas, Daniel Casados indica que la tecnología de inspección y desencriptado SSL es crítica para las organizaciones que manejan amenazas de datos sensibles en sus redes. «La inspección SSL incluye la capacidad de desencriptar y retransmitir tráfico SSL a otras herramientas para su análisis y reacción para encontrar y detener ataques que se esconden bajo la cubierta del encriptado. Cuando estas herramientas son elegidas y desplegadas apropiadamente, las organizaciones pueden encontrar amenazas escondidas dentro de datos encriptados sin degradar las comunicaciones críticas de negocios», destacó el directivo.
Además mencionó que cualquier solución que proporcione visibilidad al tráfico SSL/TLS debe reunir ciertos criterios:
–Enviar tráfico desencriptado hacia la red y a dispositivos finales de seguridad tales como IDP, IPS, servicios forenses de red y puertas de redes avanzadas para la inspección inmediata y el análisis en caso necesario.
–Desencriptar tráfico de entrada y salida en cumplimiento con una política basada en lo que se conoce como actividad buena o mala o sospechosa, así como otras consideraciones.
–Ser capaz de desencriptar comunicaciones tanto de entrada como de salida, incluyendo comunicaciones web y de e-mail de las cuales se originan muchos de los ataques.
