Gestión del tráfico cifrado, el nuevo reto de seguridad
No hacer uso del tráfico cifrado a través de SSL no es una opción, asegura Alberto Cita, director preventa de Blue Coat, a pesar de que el 80% de las APTs se aprovechan de este protocolo de comunicación.
La privacidad, junto con los servicios y aplicaciones basadas en la nube están haciendo que las comunicaciones cifradas no dejen de aumentar en Internet. El protocolo de comunicación que se utiliza en Internet para ese cifrado es el SSL, que genera el HTTPS que se ve cada vez más y al que debemos irnos acostumbrando. Quien nos lo cuenta no es otro que Alberto Cita, director preventa de Blue Coat para el Sur de Europa, con quien hemos mantenido una entrevista.
Nos explica que el objetivo de las comunicaciones cifradas SSL es el de “garantizar que el usuario se está conectando al servidor al que efectivamente se quiere conectar”.
Lo que ocurre es que al ser cifrado, este tráfico se ha convertido en una pasarela por la que los ciberdelincuentes introducen malware en las empresas y sacan los datos robados. La razón, según Alberto Cita, es que todos, o la mayor parte, de los sistemas de seguridad perimetral, “están ciegos al contenido que se está intercambiando, porque al ser cifrado y privado no pueden aplicar sus mecanismos de inspección para detectar las amenazas y bloquearlas”.
Y ahí en donde entran algunas de las propuestas de Blue Coat, que permite, de manera selectiva, inspeccionar ese tráfico cifrado, garantizando al mismo tiempo la privacidad y la seguridad. Lo que, a grandes rasgos, hace la solución es desviar el tráfico cifrado a las plataformas de seguridad perimetral para su inspección, volver a cifrarlos y enviarlo al servidor de destino, y sin que afecte a la velocidad de dicho envío.
Podemos decir que este 2015 será el año del tráfico cifrado. Nos explica el directivo de Blue Coat que si el tráfico cifrado no ha crecido más es porque, aunque se ha ido reduciendo con los años, supone un coste para las empresas que quieran emplearlo. Pero no hay que perder de vista iniciativas como Let´s Encrypt, que proponen crear una autoridad digital de confianza capaz de emitir certificados digitales a coste cero. El proyecto podría estar listo a mediados de este año, lo que lleva a Alberto Cita a asegurar que “no utilizar HTTPS no va a ser una opción”.