Las consecuencias involuntarias de World-wide-web …


Paul Vixie dice que los protocolos de cifrado emergentes para puntos finales podrían &#39romper&#39 la seguridad en las redes empresariales, e incluso domésticas.

El pionero de Web Paul Vixie tiene una advertencia de alerta roja para los CISO: un movimiento hacia una mayor privacidad para los usuarios de Web pronto podría comenzar a quemar algunos esfuerzos de seguridad empresarial.

Una nueva generación de estándares de Internet para proteger la privacidad de los usuarios finales (DNS sobre HTTPS (DoH), TLS 1.3 ESNI (Indicación de nombre de servidor cifrado) y HTTP / 3 sobre el protocolo de transporte de Online QUIC) podría impedir el siguiente cortafuegos de generación y otras herramientas de seguridad para detectar y filtrar el tráfico malicioso, dice Vixie, presidente, CEO y cofundador de Farsight Security.

Expertos de la industria como Vixie han estado debatiendo cómo la encriptación obstaculiza la visibilidad del equipo de seguridad desde hace algún tiempo, pero las empresas y los consumidores pronto podrían sentir las implicaciones del mundo actual que les preocupaban.

DoH ya es una opción de función disponible en los navegadores Chrome y Firefox: coloca consultas DNS en sesiones HTTPS encriptadas para que no puedan ser interceptadas o vistas. El protocolo de cifrado TLS 1.3 ESNI evita que los ISP y los firewalls (y los estados nacionales) vean los sitios que el usuario está visitando para rastrear o censurar su actividad y acceso en línea. Ese protocolo, según Vixie, está al menos a dos años de una amplia implementación.

Como explica, los esfuerzos bien intencionados de privacidad del usuario en la period posterior a Edward Snowden no necesariamente se traducen literalmente en seguridad de la infraestructura de Net. Los orígenes de Web en la década de 1970 fueron como una crimson abierta para contratistas gubernamentales, universidades e investigadores, y su evolución hacia la plataforma de comunicaciones masivas para todos los usuarios: consumidores, comerciales, gubernamentales e inadvertidamente, ciberdelincuentes y grupos de amenazas de estados nacionales. .

«Internet carece de command de admisión: todos los contratistas del gobierno y las universidades de la época. En la arquitectura y cultura de World wide web, es casi imposible evitar DDoSes (ataques de denegación de servicio distribuidos) o spam o cualquier tipo de falta de cooperación. comunicaciones «, dice Vixie. El modelo subyacente de Online también ha confundido los esfuerzos para eliminar dominios maliciosos.

Paul Vixie, Seguridad de la Visión Lejana

Paul Vixie, Seguridad de la Visión Lejana

«Existe un sistema universal de recursos de Online y muchas personas que te odian o quieren robarte tus cosas, y no tienes ningún recurso. Una vez que estás en Web, es muy difícil evitar que te alcance». él dice, describiendo gran parte de la comunicación precise de Web como «no consensuada».

Hoy, más de la mitad del tráfico de World-wide-web a un punto last no es deseado, señala Vixie. Más adelante este mes en la Conferencia RSA en San Francisco, Vixie describirá las implicaciones de seguridad de la evolución de la privacidad de Online en una presentación titulada «Consentimiento, alineamiento y cooperación en la era de World-wide-web«.

Dificultades técnicas

Ejecutar el Sistema de nombres de dominio (DNS) sobre sesiones world wide web cifradas con DoH, por ejemplo, complica la seguridad de la empresa. El protocolo DoH maneja la resolución DNS a través de HTTPS, el protocolo web encriptado, para prevenir ataques de intermediarios que escuchan o manipulan DNS, pero también bloquea la capacidad de las herramientas de seguridad para detectar malware u otra actividad nefasta.

«La privacidad y el cifrado son dos cosas completamente diferentes», señala el experto en cifrado Andrew Campling, director de 419 Consulting Ltd. con sede en el Reino Unido. Campling dice que DoH fue en gran medida un esfuerzo liderado por los fabricantes de navegadores y no tuvo en cuenta las implicaciones de crimson de ese nivel de cifrado de la capa de aplicación.

Para una empresa de servicios financieros, por ejemplo, DoH podría permitir a un comerciante deshonesto eludir los sistemas internos de la empresa. «Si soy una empresa de servicios financieros, puedo tener el requisito absoluto de archivar todas las comunicaciones entrantes y salientes entre mis operadores y sus clientes con fines de cumplimiento», explica Campling. Y las comunicaciones del comerciante deshonesto no pudieron ser detectadas y archivadas, lo que pone a la empresa en una exposición de cumplimiento peligrosa, dice.

Los proveedores de servicios que ofrecen controles parentales también enfrentan problemas con DoH ya que esos controles no necesariamente se pueden hacer cumplir.

«Aumentará la complejidad para los usuarios empresariales y los equipos de TI, pero no todo es insuperable», dice. En Chrome, por ejemplo, TI puede deshabilitar o «atenuar» la opción de función DoH, pero, por supuesto, eso significa que TI debe ser consciente de que esta función está disponible, dice.

Una iniciativa de la industria liderada por Comcast llamada Iniciativa de implementación de DNS cifrado (EDDI) apunta a identificar los desafíos con estas tecnologías de cifrado emergentes y cómo superarlas, señala. Otros jugadores importantes en EDDI incluyen Akamai, AT&T, Cox, Microsoft, Sprint, Verizon y la compañía de Vixie.

Mientras tanto, a Vixie le preocupa que una vez que los usuarios corporativos comiencen a ejecutar DoH en sus navegadores, será difícil marcar la actividad de la botnet, por ejemplo. «La incapacidad de saber qué están haciendo los agentes, empleados o intrusos es un gran problema para su CISO promedio», dice. «Por lo tanto, DNS sobre HTTPS (DoH) es otro excelente ejemplo de eso. Usar las búsquedas de DNS como un indicador temprano de problemas se ha vuelto bastante común».

Si bien el SNI cifrado está al menos a dos años de aterrizar con toda su fuerza en las empresas, eso no significa que no debería estar en las pantallas de radar de la empresa: «Estamos a un año de distancia de que esto sea suficiente para causar un problema, aunque no será la mayoría del tráfico «, dice.

Vixie dice que ESNI «romperá» los firewalls de próxima generación. «No será posible interceptar de manera transparente el tráfico saliente en un firewall de próxima generación», dice. Eso es por diseño, señala, debido a las preocupaciones de los cibercriminales y los estados nacionales que también interceptan el tráfico. «Ahora el sistema (tendrá) … una resistencia a ese modelo de intercepción transparente», dice.

Le preocupa que tampoco haya mucha conciencia sobre estas tecnologías que están a la vuelta de la esquina. «Nadie está realmente consciente de esto. Cuando hablo con una sala llena de CISO, sus ojos se agrandan», dice, cuando se dan cuenta de que eso significa que eso podría romper su cumplimiento regulatorio y authorized.

«Tienen mucha planificación y reinversión que hacer antes de que esta tecnología salga a la naturaleza», dice Vixie.

Qué hacer al respecto
Vixie recomienda que las organizaciones comiencen a construir una crimson privada administrada en los próximos seis meses que les permita seguir empleando funciones de firewall de próxima generación, por ejemplo, y seguir cumpliendo con las regulaciones y hacer cumplir sus políticas BYOD. En algunos casos, eso significa crear un DNS privado para el lado de acceso de su tráfico de usuarios, dice.

«Tendrá que instalar un servidor proxy HTTPS» para que sus puntos finales que necesitan acceso a sitios dentro de «rangos de IP peligrosos y compartidos» puedan hacerlo, dice. «No hay una buena elección».

Hasta la fecha, las organizaciones han tenido mayor libertad en la forma en que interceptan el tráfico en la puerta de enlace y el perímetro de la red. «Hemos tenido un viaje bastante libre», señala Vixie. «Ahora tenemos que hacer un perímetro más complicado y más costoso» con más comunicaciones de tipo proxy.

Contenido relacionado:

Kelly Jackson Higgins es la Editora Ejecutiva de Dim Reading through. Es una galardonada periodista veterana en tecnología y negocios con más de dos décadas de experiencia en informes y edición para varias publicaciones, incluidas Community Computing, Protected Organization … Ver biografía completa

Más suggestions





Enlace a la noticia primary