Informe: Dos nuevos estándares de cifrado pronto acabarán con los controles de seguridad


Los profesionales de la seguridad deben actuar antes de que se implementen TLS 1.3 y DNS sobre HTTPS (DoH) o no podrán analizar el tráfico de la pink y detectar ciberamenazas, advierte Forrester Exploration.

istock-678852044.jpg

Getty Visuals / iStockphoto

La seguridad de la capa de transporte (TLS) y el DNS, dos de los protocolos fundamentales de Online, han experimentado recientemente cambios radicales para proteger la privacidad del usuario del navegador. Al mismo tiempo, reducirán la seguridad en las instalaciones a corto plazo, y los profesionales de la seguridad deben implementar herramientas en los próximos años. un nuevo informe de Forrester Investigation estados.

«Si bien (los protocolos) ocultan la actividad del usuario de los ojos de búsqueda de los estados-nación y los ISP, también ocultan valiosos metadatos de las herramientas de inspección de redes empresariales», según el analista senior de Forrester Investigation, David Properties. «A medida que estos cambios cobren impulso, las herramientas de monitoreo de seguridad estarán cegadas al contenido y el destino del tráfico y no podrán detectar amenazas. La pink será más oscura que nunca».

Los activistas de la privacidad se han enfrentado a la comunidad de vigilancia del gobierno que aboga por el cifrado y han estado trabajando dentro del Grupo de Trabajo de Ingeniería de World-wide-web (IETF) para proporcionar contramedidas contra las escuchas clandestinas y la recopilación de datos, escribió Holmes. La última versión, TLS 1.3, y el cifrado del sistema de nombres de dominio son el resultado de sus esfuerzos más recientes.

VER: Política de mejores prácticas de certificados SSL (TechRepublic High quality)

Pero estos cambios han generado controversia, dijo, porque:

  • La comunidad de servicios financieros ha invertido mucho en el descifrado pasivo, porque la regulación prohíbe los datos no cifrados, incluso en sus redes internas. Los activistas de la privacidad diseñaron TLS 1.3 para exigir «confidencialidad directa», lo que lo hace incompatible con las arquitecturas de inspección de seguridad de los grandes servicios financieros.

  • TLS 1.3 cifra los certificados del servidor, lo que significa que los equipos de seguridad ya no pueden aplicar políticas de crimson que impidan que los usuarios visiten sitios con certificados inseguros, incluidos los que están vencidos, revocados o autofirmados.

  • DNS sobre HTTPS elimina el handle de TI. Los activistas de la privacidad ven el sistema de nombres de dominio true como una fuga de privacidad significativa y han propuesto encriptar DNS sobre HTTPS para solucionarlo. Los navegadores y las redes de distribución de contenido (CDN) lo adoptaron tan rápido como pudieron, incluso a pesar de las protestas de muchos detractores. Uno de los oponentes más ruidosos, escribió Holmes, es Paul Vixie, el padrino de DNS.

El informe enfatiza que los profesionales de la seguridad deben estar al tanto de los próximos cambios. «Muchas herramientas de seguridad como firewalls empresariales, pasarelas website seguras y agentes de seguridad de acceso a la nube (CASB) impiden que los usuarios accedan a sitios website conocidos como malos al examinar tres piezas clave de metadatos en el tráfico cifrado», escribió Holmes. Pronto desaparecerán tres metadatos del tráfico de pink: la solicitud de DNS del usuario, el certificado SSL del objetivo y el SNI de indicación de nombre del servidor.

«La mayoría de los clientes de seguridad y riesgo de Forrester están monitoreando a sus usuarios para protegerlos, no explotarlos, y estos cambios hacen que sus vidas sean más difíciles», dice el informe.

Llamada a la acción

Los profesionales de la seguridad y los riesgos no pueden controlar los navegadores o Net, pero siguen siendo responsables de proteger el medio ambiente, escribió Holmes. Si bien las evoluciones de TLS 1.3, el sistema de nombres de dominio cifrado (DNS) y el indicador de nombre de servidor cifrado (SNI) son recientes y, en este momento, las tasas de adopción son modestas, los profesionales de la seguridad no deberían retrasar sus preparativos.

Tienen dos años para implementar capacidades clave, dijo.

«A medida que TLS 1.3 y DNS sobre HTTPS cobran impulso, los equipos deben planificar ahora para aumentar sus programas de inspección», escribió Holmes. «Diseñe explícitamente un programa de actualización de visibilidad o colóquelo en un esfuerzo mayor, como la modernización de la pink o la transformación digital. Dentro del esfuerzo mayor, incorpore enfoques tácticos para recuperar metadatos de red y capacidades de descifrado perdidas».

Solo una de cada cuatro propiedades world-wide-web de World wide web ofrece actualmente TLS 1.3.7, escribió Holmes, citando los datos SSL Pulse de Qualys Labs. «Sin embargo, los profesionales de la seguridad deberían esperar que la adopción de TLS 1.3 fuera de los megasitios aumente un 10% por año».

VER:

Por qué debe configurarse la autenticación multifactor para todos sus servicios y dispositivos

(TechRepublic)

DNS-over-HTTPS ya es suitable con todos los principales navegadores y Active Listing de Microsoft, dijo Holmes. Hoy, solo Firefox lo habilita de forma predeterminada, y dentro de dos años, la mayoría de los navegadores modernos también lo harán, dijo.

A medida que TLS 1.3 y DNS sobre HTTPS prevalecen en la red empresarial y dentro de las nubes públicas y privadas, los profesionales de seguridad deben tomar varios pasos, incluida la creación de zonas de inspección de proxy completo para el tráfico entrante, ya sea en las instalaciones o en la nube, Escribió Holmes.

También deben aumentar su monitoreo de redes con aprendizaje automático aplicado a los metadatos de red que quedan, dijo Holmes.

También deben recuperar el command del DNS, al que denominó «el hijastro pelirrojo de TI: Operaciones odia ejecutarlo, la seguridad no lo quiere, y la única persona que lo entiende probablemente se jubilará en cualquier momento».

Las organizaciones tendrán que implementar un sistema híbrido que capture las solicitudes de dominio a través de DNS sobre HTTPS con sistemas locales, dijo.

Ver también



Enlace a la noticia unique