Los desafíos del estándar TLS 1.3 y el descifrado pasivo, según Gartner

Autor/a: Chase Snyder, Security Product Marketing Manager de ExtraHop

Compartir en    

Han pasado casi dos años desde que la organización internacional Internet Engineering Task Force (IETF) ratificó el nuevo estándar TLS 1.3 para el cifrado de datos, y la adopción de la norma se ha acelerado. En muchos casos, las empresas tienen miedo de que este nuevo y sólido estándar impacte negativamente en su capacidad de monitorizar sus propios entornos en busca de amenazas de seguridad, especialmente mediante modos pasivos comunes de descifrado para el análisis de tráfico.

Este miedo está bien fundado. En concreto, TLS 1.3 elimina las claves estáticas y el intercambio de claves RSA –además, tanto la clave como el uso de contraseñas efímeras de sesión, son un requisito por defecto y no un ajuste opcional como lo era en TLS 1.2 y versiones anteriores–. Muchas tecnologías de monitorización se volverán más complejas o incluso completamente inviables con este cambio. Las mismas empresas que lo están sufriendo son también las que están experimentando una creciente presión para cifrar más y más datos, ya sea en movimiento o en reposo, y así proteger la información sensible en caso de que ocurra una brecha de seguridad. Esto supone una difícil elección entre usar el mejor cifrado disponible o mantener la visibilidad que los equipos de seguridad necesitan para realizar investigaciones y resolver posibles amenazas.  

Con la intención de analizar el impacto del nuevo estándar, Gartner ha elaborado el informe ‘Demystifying The Impact of TLS 1.3 on TLS Inspection’, donde profundiza en las opciones disponibles para las empresas que consideren la transición al estándar TLS 1.3. La investigación analiza tanto las características de seguridad como las centradas en el rendimiento de TLS 1.3, aunque en el presente post nos limitaremos a analizar las características de seguridad y, en particular, las opciones disponibles cuando el cifrado en modo pasivo es un requisito.  

En el informe, Gartner señala que: “El beneficio de este incremento de la seguridad es tanto positivo como negativo para los propios equipos de seguridad de las organizaciones. Aunque es más difícil para otros interceptar el tráfico de la empresa, la visibilidad del tráfico cifrado también se reduce a menos que se tomen las medidas necesarias para mantener ese descifrado. Según indican terceros, el 54% de las amenazas de la red se encuentran en el tráfico cifrado. Los equipos de seguridad de las organizaciones requieren una inspección del tráfico de la red para detectar estas amenazas, incluidos malware, tráfico de command and control y exfiltración de datos. Herramientas como firewalls, sistemas de protección contra la intrusión (IPS) y prevención de fuga de datos (DLP) proporcionan esa detección, pero sólo funcionan si el tráfico puede desencriptarse. Gartner estima que la navegación cifrada supera habitualmente el 80% del tráfico total de Internet, el cual muchas veces se origina en las redes internas de las empresas, lo que supone un desafío para la inspección”.

Estos son algunos de los hallazgos y recomendaciones de Gartner sobre el descifrado de modo pasivo cuando el TLS 1.3 está en funcionamiento:

“El descifrado de modo pasivo se basa en modos no efímeros de intercambio de claves. TLS 1.3 ya no soporta estos modos. Por ello, una migración completa a la v1.3 pondrá fin al descifrado en modo pasivo a menos que se tomen alguna de estas recomendaciones específicas:

• Primera opción: Use TLS 1.3 para el tráfico de Internet y continúe utilizando TLS 1.2 para el tráfico interno. Esto puede ser una solución bastante sencilla si la empresa actualmente utiliza elementos intermedios o middleboxes como ADCs para balancear el tráfico de entrada o proxies para el tráfico de salida.
• Segunda opción: Cuando la organización controla el servidor, despliegue una solución de descifrado que aproveche los agentes de este servidor. A medida que los clientes establecen sesiones con el servidor, el agente enviará la clave de la sesión al dispositivo de análisis, el cual será capaz de descifrar el tráfico para su análisis.
• Tercera opción: Configure un ADC para reenviar las claves de la sesión a un dispositivo de análisis desplegado pasivamente, que después podrá descifrar el tráfico para su análisis”.

Recomendaciones de Gartner

Según la firma, los profesionales técnicos responsables de la seguridad de las redes y los endpoints deberían:

• Desarrollar una política y diseñar una arquitectura de descifrado con el objetivo de desencriptar ya que las soluciones pueden necesitar separar el tráfico de entrada y de salida. Siempre que sea posible, es preciso utilizar la terminación TLS en proxies, como WAF (Web Application Firewalls) y proxies o firewalls.
• Desarrollar estándares para el uso de TLS internos a fin de evitar los desafíos del descifrado y, cuando sea necesario, utilizar la desencriptación pasiva. Si se usa TLS 1.3, sería necesario una tecnología adicional como agentes host.
• Desarrollar directrices para la adopción de mecanismos de seguridad de DNS y HTTP que afecten a la interceptación de TLS, especialmente para conexiones externas que puedan traspasar las puertas de seguridad de otras organizaciones.
• Bloquear el tráfico desconocido que entre o salga de la empresa a menos que se apruebe explícitamente, usando técnicas de interceptación y descifrado (man-in-the-middle).

Descifrar desde SSL a TLS 1.3

En este sentido, Extrahop, tecnología orientada a la detección y remediación de ataques avanzados mediante análisis de comportamiento de red (NDR), es capaz de descifrar desde SSL a TLS 1.3 para comprobar si el tráfico encriptado es bueno.

En menos de tres años, la compañía tiene la tercera mayor cuota de mercado mundial por ingresos en 2019 en el segmento de NDR, según Gartner. Además, ExtraHop muestra el cambio de ingresos más alto de todos los fabricantes de NDR de 2018 a 2019, alcanzando un 382%.

Estas cifras de crecimiento de ExtraHop son el resultado de equipar a los líderes y profesionales de la seguridad con la inteligencia que necesitan para tomar decisiones rápidamente con el fin de detener las amenazas antes de que un adversario pueda acceder a la red.

Para leer el informe completo de Gartner, puedes hacer clic en: Demystifying The Impact of TLS 1.3 on TLS Inspection

Puedes consultar el artículo original de ExtraHop aquí.