La mitad del malware del mundo ya está cifrado.

Lo que usted no puede ver podría estar dañando su organización, y el cifrado es un punto ciego importante. Según F5 Labs , más del 80% del tráfico de Internet a nivel mundial está cifrado y la falta de visibilidad de dicho tráfico representa una amenaza sustancial para la seguridad. Según un informe reciente de investigadores de seguridad de Sophos , casi la mitad (46%) de todo el malware en 2020 estaba oculto dentro de un paquete cifrado. Las organizaciones que no cuentan con los recursos para descifrar los paquetes de tráfico pueden estar permitiendo que cantidades masivas de malware ingresen a sus redes. Sin visibilidad del tráfico cifrado, los activos de su organización pueden ser vulnerables a ataques maliciosos, como comunicaciones de comando y control (y los ataques resultantes) o exfiltración de datos.

¿Por qué hay tanto malware cifrado hoy en día?

En el informe, los investigadores identificaron dos razones principales para el aumento del malware cifrado. En primer lugar, descubrieron que cada vez hay más malware alojado en soluciones legítimas de almacenamiento basadas en la nube, como GitHub y Google Workspace, que están cifradas con TLS. Por lo tanto, los piratas informáticos se aprovechaban de certificados existentes de organizaciones confiables para atacar a las empresas. En segundo lugar, los investigadores sugirieron que la amplia disponibilidad de fragmentos de código compatibles con TLS permitía a los actores maliciosos utilizar el cifrado con facilidad y frecuencia. Y con la creciente cantidad de tráfico legítimo impulsado por el trabajo remoto durante la pandemia del coronavirus, es aún más imperativo que las organizaciones se mantengan al día con la alta demanda y, al mismo tiempo, equilibren la seguridad organizacional.

Sin embargo, el cifrado ciertamente no es “el malo”. De hecho, el cifrado es vital para proteger la privacidad de los datos. Al manejar datos confidenciales en línea, desde acceder a registros bancarios hasta ingresar una contraseña o verificar registros médicos, el omnipresente candado en las barras de nuestros navegadores brinda a los usuarios una sensación de confianza al navegar por la web. Los registros médicos y financieros pueden permanecer seguros y el robo y el uso indebido de datos se reducen significativamente. Y lo que es más importante, los hosts de aplicação pueden cumplir con las regulaciones diseñadas para proteger la privacidad del usuario, como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea (que recomienda, pero no exige, el cifrado) y la Ley de Privacidad del Consumidor de California (CCPA), y actuar como buenos administradores de los datos de sus usuarios.

Pero los malos actores también pueden obtener certificados TLS. El cifrado, si bien es útil para proteger la privacidad de los datos de los usuarios, puede crear un riesgo grave para su empresa si no se descifra y se inspecciona para detectar cargas maliciosas que ingresan a su entorno y exfiltración de datos confidenciales o comunicaciones de comando y control en el tráfico saliente. Si bien los certificados TLS gratuitos y fácilmente disponibles permiten a los hosts de aplicação proteger de manera económica la privacidad de los datos de sus usuarios, los actores maliciosos también pueden ocultar malware detrás de un certificado. Y cada vez les resulta más fácil hacerlo.

Las soluciones de descifrado ineficientes pueden provocar múltiples puntos de fallo de seguridad

Es posible que en su organización ya esté abordando la amenaza del tráfico cifrado mediante el uso de dispositivos en sus pilas de seguridad, como software de prevención de pérdida de datos (DLP), firewalls de última generación (NGFW) o un sistema de prevención de intrusiones (IPS), entre otros, para descifrar, inspeccionar el paquete en busca de malware y volver a cifrar el tráfico que atraviesa su red. Y aunque estas soluciones de seguridad pueden utilizarse para descifrar paquetes, no hacen el trabajo muy bien ni de manera muy eficiente.

Estas soluciones fueron diseñadas para abordar la seguridad y no la tarea computacionalmente intensiva de descifrado de tráfico. Quitarle energía y ciclos valiosos a su tarea principal, la seguridad, puede provocar que los dispositivos se saturen y se produzca una desviación involuntaria del tráfico, lo que puede dar lugar a exploits y ataques. Los dispositivos de seguridad conectados en una configuración de “cadena” pueden generar múltiples puntos de falla, como una serie de luces en una cadena. Si un fusible se funde mientras hay corriente circulando por el cable, todas las luces después del fusible roto en la cadena también se apagarán y dejarán de funcionar. Cada componente es un posible punto de fallo. Si falla un elemento, todo el sistema (o pila de seguridad) se ve afectado.

Conectar en cadena dispositivos de seguridad como una cadena de luces tampoco resulta rentable ni eficiente. Además de crear múltiples puntos de falla, este modelo aumenta el costo total de propiedad (TCO) de la seguridad al requerir suscripciones (o promover el exceso de suscripciones) a una variedad de servicios, genera una alta latencia para el usuario final y crea una complejidad significativa. Esto significa que muchas organizaciones están lidiando con amenazas cifradas de una manera que resulta poco práctica e insuficiente, e incluso pueden estar generando frustración adicional para los usuarios finales relacionada con el acceso lento a las aplicação . Afortunadamente, F5 SSL Orchestrator está diseñado específicamente para inspeccionar el tráfico cifrado.

Orquestando la seguridad de una infraestructura resiliente

F5 SSL Orchestrator proporciona visibilidad y orquestación rentables de todo el tráfico SSL/TLS entrante y saliente. En lugar de conectar en cadena los servicios de seguridad en una serie delicada, F5 SSL Orchestrator emplea un modelo de cadena de servicios dinámico que administra de forma inteligente el descifrado del tráfico a lo largo de una cadena de seguridad con un motor de clasificación contextual que utiliza direccionamiento de tráfico basado en políticas. Este sistema es resistente y no lineal, de modo que cuando un servicio de seguridad falla, el sistema aún puede proteger los activos de su organización. SSL Orchestrator también permite una fácil inserción de soluciones de seguridad existentes para lograr un tiempo de actividad óptimo, agrupación de servicios, capacidades de monitoreo avanzadas, escalamiento y equilibrio de carga de soluciones de seguridad.

Para saber cómo F5 SSL Orchestrator puede ayudarle a aumentar la seguridad de su negocio, comuníquese con Sales@f5.com .