Documentos técnicos

Mitigar las amenazas de encriptación y garantizar una encriptación segura

Introducción

Casi todas las organizaciones del mundo avanzan hacia la transformación digital. Una transformación impulsada por la necesidad de recopilar y transmitir datos confidenciales: datos de usuarios, de clientes, de pacientes y datos empresariales. En resumen, la vida de hoy en día gira en torno a los datos. Mantener su privacidad y seguridad es esencial.

Las aplicaciones son la puerta de acceso a los datos. Por lo tanto, proteger las aplicaciones, dondequiera que residan, es fundamental para la seguridad de una organización y para su negocio, independientemente del sector al que pertenezca.

La seguridad y la privacidad de los datos confidenciales es tan importante que se están creando nuevas normas y reglamentos gubernamentales para garantizar su seguridad y privacidad dentro de las organizaciones. Y esas normas se aplican independientemente de si la organización o los datos recopilados se encuentran dentro de las fronteras de ese estado o no.

El Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE) exige a las organizaciones que operan dentro de la UE que se aseguren de que los datos personales se recopilan de forma legal, con la aprobación previa de la persona, y de que estén protegidos. En los Estados Unidos, la nueva Ley de Privacidad del Consumidor de California (CCPA) refleja muchas de las protecciones del RGPD y está siendo evaluada por otros estados como modelo de legislación de protección de la privacidad del consumidor.

Estas normas y reglamentos están diseñados para crear transparencia y proporcionar a los clientes más control sobre sus datos personales y sobre cómo se gestionan después de recopilarse. Si una organización sufre un fallo de seguridad y los datos confidenciales se pierden o los roban, se utilizan de forma indebida o se explotan, la organización afectada puede enfrentarse a una multa importante.

La encriptación está considerada, como mínimo, una buena práctica para proteger la información confidencial. De hecho, no proteger los datos mediante encriptación se considera una negligencia. No obstante, esta medida tiene sus pros y sus contras.

La encriptación: los pros

Existen varias formas de garantizar la seguridad y la privacidad de los datos, pero la mejor es la encriptación.

La mayor parte del tráfico actual está encriptado. Casi todos los sitios web utilizan la encriptación. El rápido crecimiento y la continua adopción de aplicaciones de productividad en línea, tales como Microsoft Office 365 y Google G Suite, las aplicaciones basadas en la nube, las aplicaciones de software como servicio (SaaS) y las redes sociales han contribuido a impulsar el continuo crecimiento del tráfico encriptado.

La encriptación de datos constituye una buena forma de garantizar y mantener su privacidad e integridad.

La encriptación: los contras

Sin embargo, la encriptación tiene una peligrosa desventaja: los atacantes se han dado cuenta de que el tráfico encriptado resulta una manera excelente de distribuir malware y otras cargas útiles maliciosas a usuarios desprevenidos y a sus organizaciones, así como una forma estupenda de extraer datos de usuarios y organizaciones de forma ilegal.

Como mínimo, para protegerse de las amenazas ocultas en el tráfico encriptado es necesario que las organizaciones dispongan de visibilidad del tráfico encriptado entrante y saliente. La visibilidad e inspección del tráfico encriptado entrante reduce los puntos ciegos en seguridad. También mitiga el riesgo de malware oculto en el tráfico encriptado y las vulnerabilidades que facilitan la violación de los datos confidenciales.

La visibilidad del tráfico encriptado saliente también es importante porque este tráfico puede ocultar la extracción de datos robados. Además, puede enmascarar las comunicaciones dirigidas por el malware ya arraigado en una red o entorno de nube a los servidores de mando y control (C&C), que pueden desencadenar ataques o tratar de descargar y ampliar el software malicioso existente en un ataque de varios niveles y subprocesos.

Los atacantes también pueden descargar malware adicional y moverse lateralmente dentro de una organización, o incluso llegar más allá de la organización original y atacar a sus clientes o a su cadena de suministro, infectando más dispositivos y servidores y robando más información y datos.

Por qué la visibilidad de SSL no es suficiente

La visibilidad de SSL es únicamente el comienzo. Las organizaciones necesitan un mejor control del tráfico encriptado y desencriptado, aunque no a expensas de la capacidad de la solución de seguridad.

Muchas organizaciones realizan una inversión significativa en soluciones de seguridad, optando por características de alto valor para llevar a cabo funciones específicas como enfrentar la explosión de malware, el sandboxing y la denegación de listas de aplicaciones y propiedades web, por nombrar algunas. Si bien las soluciones de seguridad pueden incluir capacidades nativas de desencriptado, el desencriptado y encriptado no son su objetivo principal ni están en su punto de mira.

Sin una solución exclusiva diseñada para realizar el desencriptado a escala, la visibilidad de SSL requiere que el tráfico encriptado se enrute por la mayoría de las empresas a través de una cadena de servicios de seguridad de extremo a extremo. Básicamente, debe pasar por una cadena estática de proceso repetitivo y redundante de desencriptado/inspección/reencriptado en toda la pila de seguridad.

Este proceso no solo es ineficaz, sino que consume un tiempo y unos recursos muy valiosos. Y puede añadir latencia, lo que afecta a la experiencia del usuario. Además, cada uno de los dispositivos de seguridad conectados en cadena tendrá que escalar uniformemente para satisfacer la capacidad total de tráfico encriptado, lo que puede llevar fácilmente a un exceso de suscripción. Lo que supone un aumento en el coste de los servicios de seguridad.

HSM FIPS de SSLO
F5 SSL Orchestrator admite varias opciones para módulos de seguridad de hardware (HSM).

Cómo puede ayudar F5 SSL Orchestrator

F5 SSL Orchestrator garantiza que el tráfico encriptado se desencripte, se inspeccione por parte de los controles de seguridad adecuados y, a continuación, se vuelva a encriptar, proporcionando visibilidad del mismo, lo que mitiga el riesgo de amenazas ocultas.

Enfocado en mejorar la infraestructura SSL/TLS, SSL Orchestrator también maximiza la eficacia de la inversión existente en seguridad. Encadena de forma dinámica los servicios de seguridad y dirige el tráfico desencriptado mediante políticas, aplicando al tráfico encriptado inteligencia basada en el contexto.

SSL Orchestrator gestiona y distribuye de forma centralizada las últimas tecnologías de encriptación en toda la infraestructura de seguridad. Centraliza la gestión de certificados y claves, y ofrece al mismo tiempo un control y gestión fiables del cifrado.

También proporciona una plataforma única para la inspección unificada de los protocolos de encriptación de nueva generación. SSL Orchestrator garantiza que las soluciones de seguridad funcionen con la máxima eficacia y puedan escalar con alta disponibilidad gracias a las capacidades de equilibrio de carga y escalado de F5. Además, supervisa de forma independiente el estado de cada servicio de seguridad.

Como punto central para todo lo relacionado con el cifrado, SSL Orchestrator debe garantizar que su entorno, ya sea físico o virtual, sea compatible con las normas gubernamentales y del sector más estrictas en materia de seguridad y privacidad.

Protección de claves y parámetros de seguridad

Un aspecto fundamental necesario para proporcionar visibilidad SSL es la necesidad de una sólida infraestructura de gestión de claves (PKI). La gestión y la protección de las claves, así como su uso adecuado, suelen estar asociadas a mandatos normativos, como el Estándar Federal de Procesamiento de la Información 140.2 (FIPS 140-2), los Criterios Comunes, las normas de la Organización Internacional de Normalización (ISO) y otras certificaciones específicas regionales o verticales.

FIPS 140-2, a pesar de ser una norma del Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos, se encuentra y aplica en muchos mercados altamente regulados de todo el mundo, y proporciona orientación para el uso de la encriptación y la validación de implementaciones.

Existen varios niveles diferentes de FIPS 140-2 que se ajustan a la normativa, el riesgo y la confidencialidad de los datos. En las implementaciones de visibilidad SSL, el nivel 3 de FIPS 140-2 suele ser necesario para proteger la clave de firma en una caja física de hardware resistente a las manipulaciones, denominada módulo de seguridad de hardware (HSM). Un HSM incluirá puesta a cero de la clave, comprobación de la integridad del arranque y controles para evitar la extracción no autorizada de la clave. Los HSM no solo ofrecen una mayor seguridad de las claves, sino que también pueden ayudar a simplificar la gestión de los certificados y a reducir los costes asociados al cumplimiento.

F5 ofrece la más amplia gama de plataformas que cumplen con FIPS, incluyendo varias opciones de HSM, tanto en caja como mediante PKCS n.º 11 (Estándares de criptografía de clave pública n.º 11) a HSM de red. Dependiendo de la licencia y el modelo seleccionados de SSL Orchestrator, existen varios niveles de FIPS 140-2 disponibles, incluyendo una gama de opciones de precio para garantizar que la adhesión a la política sea posible para cualquier organización, independientemente de su tamaño.

Por lo tanto, ¿por qué SSL Orchestrator?

F5 SSL Orchestrator ofrece una visibilidad holística y sin precedentes del tráfico encriptado, mitigando los riesgos asociados al malware y otras amenazas maliciosas enmascaradas en el tráfico encriptado entrante. SSL Orchestrator también termina con la extracción de datos robados, las comunicaciones C&C y la descarga de malware adicional y cargas útiles maliciosas con el tráfico encriptado saliente.

Además, SSL Orchestrator, a través de su función centralizada de desencriptado y reencriptado, las cadenas de servicios dinámicos y la dirección inteligente del tráfico, permite las funciones de seguridad de alto valor a escala, descargando de forma segura el desencriptado/encriptado que requiere la CPU. De esta manera, resulta más fácil maximizar las inversiones en seguridad.

Estas acciones no solo terminan con los puntos ciegos de seguridad y las amenazas ocultas, sino que también liberan a las soluciones de seguridad existentes que pueden ahora dedicarse de forma óptima a sus funciones principales: ofrecer protección contra amenazas, evitar la fuga de datos, el sandboxing y otros servicios de seguridad relevantes.

SSL Orchestrator dispone de varias opciones de licencia diseñadas para pequeñas y medianas empresas (PYMES), empresas modernas y la nube. Con varias opciones de plataforma, incluidas las ediciones virtuales (VE), así como dispositivos de nivel medio y alto, F5 cuenta con soluciones para satisfacer los cambios en el tráfico encriptado y los cambios en el cifrado y los protocolos, incluyendo TLS 1.3, los dispositivos IoT del futuro y, eventualmente, los esquemas de cifrado post-cuántico.

Published July 01, 2019
  • Share to Facebook
  • Share to X
  • Share to Linkedin
  • Share to email
  • Share via AddThis

Connect with F5

F5 Labs

The latest in application threat intelligence.

Go to F5 Labs

DevCentral

The F5 community for discussion forums and expert articles.

Go to DevCentral

F5 Newsroom

News, F5 blogs, and more.

Go to the newsroom