¿Por qué las organizaciones deberían considerar la inspección HTTPS para encontrar malware cifrado?


Alrededor del 67% de todo el malware visto en el primer trimestre se entregó a través de HTTPS, según la firma de seguridad WatchGuard Technologies.

«data-credit =» Imagen: nicescene, iStockphoto «rel =» noopener noreferrer nofollow «>Resumen Malware Ransomware virus archivos cifrados con teclado sobre fondo rojo bit binario. Ilustración vectorial concepto de ciberdelincuencia y seguridad cibernética.

Imagen: nicescene, iStockphoto

HTTPS se diseñó para proteger el tráfico world-wide-web mediante el cifrado de las comunicaciones y, por lo tanto, evitar ataques de intermediarios y otros tipos de escuchas. Pero HTTPS puede ocultar el tráfico malicioso dirigido a una organización, ya que una puerta de enlace segura por sí sola no inspeccionará el contenido cifrado.

La inspección HTTPS es un proceso mediante el cual puede analizar el tráfico y el contenido web cifrado, aunque algunas organizaciones evitan esta técnica, ya que puede hacer más daño que bien si no se implementa correctamente. Un informe publicado el miércoles por WatchGuard Technologies explica por qué la inspección HTTPS puede ayudarlo en su análisis de seguridad.

VER: Cifrado: una guía para líderes empresariales (PDF free of charge)

En su Informe de seguridad de World-wide-web para el primer trimestre de 2020, WatchGuard informó que El 67% de todo el malware del último trimestre se entregó a través de HTTPS. Dado que más sitios net ahora usan HTTPS para conexiones cifradas, muchos clientes de WatchGuard han habilitado la inspección HTTPS, que busca contenido malicioso al descifrar el tráfico en la puerta de enlace. Aunque los productos de seguridad basados ​​en firmas pueden combatir las amenazas conocidas, no pueden bloquear gran parte del malware que puede pasar a menos que se blend con la inspección del tráfico encriptado.

Configurar la inspección HTTPS puede ser complicado, ya que requiere un esfuerzo adicional. Y si no se configura correctamente, este proceso en realidad puede debilitar el cifrado y la protección de extremo a extremo proporcionados por las puertas de enlace de seguridad y los productos.

«Algunas organizaciones son reacias a configurar la inspección HTTPS debido al trabajo adicional involucrado, pero nuestros datos de amenazas muestran claramente que la mayoría del malware se entrega a través de conexiones encriptadas y que dejar pasar el tráfico sin inspeccionar ya no es una opción», Corey Nachreiner, director de tecnología de WatchGuard, dijo en un comunicado de prensa. «A medida que el malware continúa siendo más avanzado y evasivo, el único enfoque confiable para la defensa es implementar un conjunto de servicios de seguridad en capas, que incluyen métodos avanzados de detección de amenazas e inspección HTTPS».

Un informe de la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) del Departamento de Seguridad Nacional de EE. UU. ofrece algunas recomendaciones sobre la inspección HTTPS.

«Las organizaciones que usan un producto de inspección HTTPS deben verificar que su producto valide correctamente las cadenas de certificados y pase cualquier advertencia o mistake al cliente», dijo CISA. «Una lista parcial de productos que pueden verse afectados está disponible en Los riesgos de la inspección SSL. Las organizaciones pueden usar badssl.com como método para determinar si su producto de inspección HTTPS preferido valida correctamente los certificados y evita las conexiones a sitios que utilizan criptografía débil. Como mínimo, si alguna de las pruebas en la sección Certificado de badssl.com impide que un cliente con acceso directo a Net se conecte, esos mismos clientes también deben rechazar la conexión cuando se conecta a Internet a través de un producto de inspección HTTPS.

VER: Ataque de ransomware: por qué una pequeña empresa pagó el rescate de $ 150,000 (TechRepublic)

«En normal, las organizaciones que consideran el uso de la inspección HTTPS deben considerar cuidadosamente los pros y los contras de dichos productos antes de implementarlos», agregó CISA. «Las organizaciones también deberían tomar otras medidas para asegurar las comunicaciones de extremo a extremo, como se presenta en Alerta US-CERT TA15-120A«.

La inspección HTTPS también es importante con el cambio al trabajo remoto, según Kowsik Guruswamy, CTO de Menlo Security.

«No sorprende que el malware y otras amenazas se envíen a través de conexiones aparentemente seguras al esconderse bajo la falsa seguridad de HTTPS para evadir las medidas AV tradicionales», dijo Guruswamy a TechRepublic. «Cuando las empresas no realizan inspecciones SSL adecuadas, son vulnerables a los ataques maliciosos y susceptibles a las entregas de malware como las descritas en esta investigación. Mover una fuerza laboral casi completamente remota solo agrava el problema. Como resultado, la infraestructura VPN y SSL está abrumado y, por lo tanto, los piratas informáticos están utilizando viejos trucos para enviar archivos maliciosos y enlaces de phishing a través de SSL, y las empresas se ven sorprendidas.

«La inspección del tráfico SSL es una de las medidas más importantes que una empresa debe implementar», agregó Guruswamy. «Sin esto, los atacantes pueden eludir todas las medidas de seguridad y utilizar la aplicación más utilizada por cualquier usuario: el navegador. El trabajo remoto ha exacerbado este problema ya que las personas no están trabajando desde la seguridad de una pink empresarial segura, por lo que la nube «Las soluciones de seguridad se han vuelto críticas para permitir a las empresas implementar una inspección SSL escalable sin importar de dónde trabajen los usuarios».

Para reforzar sus defensas de seguridad generales, WatchGuard también ofrece los siguientes consejos:

  • La inspección TLS es una necesidad. Solo inspeccionar el tráfico no cifrado ya no es suficiente. Si no inspecciona el tráfico cifrado TLS, solo detectará un tercio del malware que ingresa a su pink. Configure el perímetro de su purple para inspeccionar el tráfico cifrado de forma segura con el uso de certificados de confianza. Si bien es un poco de trabajo additional, una vez completado, el cortafuegos tendrá visibilidad en los otros dos tercios del malware que de lo contrario se perdería.
  • United states una defensa en capas. Usar una sola capa de defensa desactualizada en el perímetro de su purple no es suficiente para bloquear la mayoría de los ataques. Ningún producto antivirus puede protegerlo de todas las variantes de malware, pero una defensa en capas que consiste no solo en seguridad basada en firmas, sino también en aprendizaje automático, sandboxing de malware y educación del usuario last puede aumentar significativamente sus posibilidades contra el panorama de amenazas genuine. Además, recomendamos la detección de puntos finales en computadoras individuales para la protección contra malware que omite el perímetro, como las variantes distribuidas a través de unidades USB o teléfonos inteligentes.
  • Bloquear canales de comando y regulate (C2C) y sitios maliciosos. El ransomware y otros programas maliciosos se propagan cada vez más a través de sitios comprometidos y la ocupación de nombres, donde el nombre del sitio malicioso se parece al nombre de un sitio genuine preferred. Los servicios de seguridad de pink necesitan una protección en tiempo genuine para evitar que las botnets accedan a los dominios de Comando y Manage, así como para evitar que los usuarios visiten sitios de phishing. Cualquier detección de punto remaining también debe incluir protección contra el ransomware no solo bloqueando el malware sino también bloqueando cualquier acción que el ransomware tome contra los datos críticos del negocio. Aproveche los servicios de seguridad que bloquean este tipo de sitios a través de DNS o consultas HTTP normales.

Ver también



Enlace a la noticia authentic