Ixia: 4 pasos para desencriptar un sistema atacado

Lora O´Haver, Gerente de Soluciones para Ixia,  ha publicado un artículo resumiendo cuatro estrategias que permiten una desencriptación rápida y simple, con el objetivo de evitar que la encriptación de datos secuestre una red”. Y es que, explica,  si bien la encriptación protege el  tráfico de red contra los hackers y los cibercriminales, también puede impedir que sus herramientas de seguridad y monitoreo vean lo que hay dentro de los paquetes de datos que pasan por su red.

De este modo, indica el reporte que “para mantener una defensa fuerte y, al mismo tiempo, reducir el riesgo de vulneraciones de seguridad y pérdida de datos, es necesario desencriptar, examinar y volver a encriptar todo el tráfico de red”.

La primera estrategia se basa en la necesidad de eliminar el tráfico malicioso antes de desencriptar y es que muchas direcciones IP que se utilizan en los ciberataques se repiten y son conocidas en la comunidad profesional de la seguridad.  “La forma más rápida de implementar esta estrategia es instalar un dispositivo de hardware para fines específicos, llamado gateway de inteligencia contra amenazas, delante del firewall. Este dispositivo está diseñado para bloquear datos de forma rápida y masiva, incluso de países que no son confiables”, explica la vocera de Ixia. De otro modo, también se pueden configurar filtros personalizados en su firewall para bloquear direcciones IP específicas. 

En segundo lugar, se recomienda buscar capacidades de desencriptación avanzadas. Una vez que se eliminan los paquetes encriptados que viajan desde o hacia una fuente maliciosa, es necesario utilizar un dispositivo de desencriptación para procesar el resto de los datos. Varias herramientas de seguridad, como los firewalls de próxima generación (NGFW) o los sistemas de prevención de intrusiones (IPS), cuentan con una función de desencriptación SSL.

La criptografía depende de los avances para estar un paso más adelante de los cibercriminales. Es necesario que las soluciones de seguridad sean compatibles con los últimos estándares de encriptación, tengan acceso a una amplia variedad de cifrados y algoritmos, y tengan la capacidad de desencriptar tráfico con claves grandes de 2048 y 4096 bits, así como con las claves de curva elíptica más recientes, como advierte el informe.

En tercer lugar deben elegirse herramientas de simplicidad operativa. Resume el informe que “otro de los aspectos clave es la facilidad con que los administradores pueden crear y gestionar políticas relacionados con la desencriptación”. Esto es muy importante en las industrias que deben cumplir con las pautas de la Ley de Portabilidad y Responsabilidad en los Seguros de Salud (HIPAA), la Ley Federal de Seguridad de la Información (FISMA), el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS), la Ley Sarbanes-Oxley (SOX) y otras normas estandarizadas. 

Finalmente, “encontramos la necesidad de planificar una escalabilidad con buena relación costo/beneficio”, recuerda la vocera de Ixia. A medida que aumenta el volumen de tráfico encriptado, la desencriptación tendrá un mayor impacto en el desempeño de su infraestructura de seguridad. Por lo tanto, conviene planear por anticipado. Si bien parece lógico simplemente “activar” la función de desencriptación SSL en un firewall o solución de gestión unificada de amenazas (UTM), la desencriptación es una función que implica muchos procesos. A medida que aumenta el tráfico SSL y se necesitan más ciclos para realizar la desencriptación, suele afectar el desempeño y es posible que las herramientas comiencen a perder paquetes.

Recuerda el comunicado de prensa que a medida que más sitios de Internet usen tráfico encriptado, los ataques en el tráfico SSL serán cada vez más comunes. Para proteger los datos y las redes contra hackers y cibercriminales, es esencial inspeccionar el tráfico de redes encriptado en su totalidad. Las organizaciones que no implementan un abordaje riguroso para inspeccionar el tráfico encriptado corren el riesgo de debilitar la seguridad de las redes y sufrir una filtración y pérdida de datos.