En el sitio web de ciberseguridad ThirdCertainty.com, Byron Acohido hace algunas observaciones muy importantes sobre el uso del cifrado por parte de los piratas informáticos para evitar las herramientas de detección y la necesidad de detectar estos ataques. Se trata de una discusión en la sede de Vectra . El tráfico cifrado es un escondite fácil para los atacantes y difícil de abordar para las organizaciones.
Sin embargo, intentar controlar este tráfico descifrando primero, realizando una inspección profunda de paquetes y volviendo a cifrar después a velocidades de línea es problemático, incluso con un descifrado SSL dedicado, especialmente a largo plazo. Hay varios factores en juego.
Con un creciente deseo mundial de privacidad, cada vez hay más tráfico cifrado por defecto. Se está convirtiendo en una norma para las aplicaciones cloud . El Sandvine Internet Phenomena Report afirma que el cifrado se duplicó el año pasado en Norteamérica.
En realidad, se trata de una gran noticia, sobre todo para la privacidad de los consumidores. Las empresas tienen la estrategia de cifrarlo todo. Sin embargo, con este cifrado, los intentos de realizar el descifrado SSL significan que habrá grandes volúmenes de datos cifrados que procesar.
El cifrado socava la inspección del tráfico
El crecimiento del tráfico cifrado en las redes empresariales está teniendo un gran impacto en las tecnologías de seguridad que se basan en la inspección profunda de paquetes (DPI), cuya eficacia se degrada gravemente a medida que aumenta el tráfico cifrado.
Peor aún, las respuestas de seguridad tradicionales para gestionar el tráfico cifrado, como el descifrado y la inspección "man-in-the-middle", se harán imposibles a medida que veamos un aumento de la fijación de certificados y claves públicas.
El rendimiento de las soluciones de prevención de fuga de datos (DLP), que se basan en DPI, podría degradarse hasta un 95%, mientras que los IDS e IPS tradicionales basados en firmas sufren una pérdida de funcionalidad de hasta el 80%. Esto no significa que la seguridad deba ser la razón para no cifrar, porque no cifrar el tráfico no impide que los atacantes lo hagan de todos modos.
El análisis del comportamiento de los atacantes funciona con tráfico cifrado
La respuesta está en el comportamiento del tráfico de red. Sin siquiera mirar lo que hay dentro de un paquete, el tráfico cifrado tiene muchas características y patrones observables que revelan los comportamientos de los atacantes.
Observando la duración, la temporización, la frecuencia y el tamaño característicos de los paquetes, se puede saber mucho sobre lo que hacen los usuarios y los dispositivos anfitriones. Los modelos de ciencia de datos aplicados al tráfico revelan estos comportamientos de los atacantes. Muestran qué parte tiene el control de una conversación e indican si es humana o automatizada, entre otras cosas.
Los patrones distintivos del tráfico malicioso sacan a la luz botnets, troyanos de acceso remoto, actualizaciones de malware , comportamientos de reconocimiento interno, robo de credenciales, autenticaciones sospechosas y otras acciones que los atacantes deben realizar para llevar a cabo un ciberdelito. Y lo que es más importante, identifican túneles ocultos en el tráfico cifrado que los atacantes utilizan para exfiltrar datos.
En combinación con las cabeceras de texto claro, centrarse sin parar en el comportamiento de todo el tráfico de la red -no sólo en instantáneas y muestras aleatorias- es extremadamente eficaz para detectar los comportamientos de los ciberatacantes.