Recursos > Glosario de términos de seguridad > Qué es la inspección SSL

¿Qué es la inspección SSL?

¿Qué es la inspección SSL?

La inspección SSL es el proceso de interceptar y revisar la comunicación de Internet cifrada mediante SSL entre el cliente y el servidor. La inspección del tráfico SSL ha adquirido una importancia fundamental, ya que la gran mayoría del tráfico de Internet está cifrado con SSL, incluido el contenido malicioso.

“Zscaler ThreatLabZ observó un aumento superior al 400 % en ataques de phishing a través del canal SSL en 2018 en comparación con 2017. Los atacantes continúan aprovechando el canal encriptado para entregar malware, actividad C&C y extraer información confidencial de sus víctimas.

Zscaler™ Cloud Security Insights: Un análisis de las amenazas basadas en SSL/TLS, 2019

Lo bueno y lo malo

El protocolo criptográfico conocido como Secure Sockets Layer (SSL), desarrollado originalmente en 1994, y su sucesor Transport Layer Security (TLS) se diseñó para ayudar a proteger las comunicaciones y brindar a las organizaciones tranquilidad con respecto al tráfico entrante. En los últimos años, con la creciente preocupación sobre la privacidad de los datos, ha habido una tendencia generalizada a que las propiedades de Internet incluyan cifrado de forma predeterminada. Esto es magnífico para la privacidad, pero supone un desafío para la seguridad de TI. Descifrar, inspeccionar y volver a cifrar el tráfico no es algo baladí, ya que causa una importante degradación del rendimiento en los dispositivos de seguridad tradicionales y la mayoría de las organizaciones no están equipadas para inspeccionar el tráfico cifrado a gran escala.

Los malhechores lo saben, por lo que las amenazas basadas en SSL están en aumento. Aunque los hackers han encontrado numerosas formas de infiltrarse en los sistemas y robar datos, romper el cifrado sigue siendo difícil y requiere mucho tiempo y, por lo tanto, es un enfoque poco eficiente. En su lugar, han comenzado a usar el cifrado ellos mismos para aportar contenido malicioso, ocultar malware y llevar a cabo ataques sin detección.

Durante años, el símbolo de un candado junto a la dirección URL de un sitio web comunicaba que el sitio era seguro, pero ya no es garantía de seguridad. No se debe confiar en el tráfico que se mueve a través de canales encriptados simplemente porque tenga un certificado digital. SSL, que antes se veía como la protección definitiva para los datos que se transmiten a través de Internet, se ha convertido en el área de juego perfecta para que los ciberdelincuentes lleven a cabo sus actos infames.

 
Alrededor de la mitad de nuestros comercios utilizan ahora intercepción SSL y esperamos que el despliegue se complete en unos meses. Algunas aplicaciones de venta minorista no funcionan bien con la inspección SSL, así que tuvimos que asegurarnos de no interrumpir ninguna operación.
Jeff Johnson, director de Operaciones de Seguridad de AutoNation
En junio de 2020, el 96 por ciento de las páginas de Google Chrome en los EE. UU. se cargaron mediante cifrado (HTTPS).
Informe de transparencia de Google

El proceso de inspección SSL

El tráfico encriptado representa la mayor parte del tráfico corporativo, pero muchas organizaciones solamente inspeccionan parte de su tráfico encriptado, permitiendo que el tráfico de las redes de distribución de contenidos (CDN) y ciertos sitios "de confianza" queden sin inspeccionar. Pero eso puede ser arriesgado porque las páginas web no son estáticas. Se sirven dinámicamente con contenido personalizado que puede contener cientos de objetos obtenidos de múltiples fuentes. Cada objeto plantea una amenaza potencial y debe considerarse poco confiable, independientemente de la fuente.

Al mismo tiempo, los ciberdelincuentes utilizan cifrado para ocultar sus vulnerabilidades. Se ha vuelto fácil (¡y barato!) obtener un certificado SSL válido, lo que facilita a los malhechores ocultar su contenido malicioso. Tanto es así que 1700 millones de amenazas ocultas en el tráfico SSL fueron bloqueadas en un periodo de seis meses por Zscaler Cloud. Si permite que el tráfico cifrado quede sin inspeccionar, estará ciego a un número creciente de amenazas potenciales.

Pero, como se ha mencionado anteriormente, se necesitan muchos ciclos de computación para inspeccionar el tráfico SSL, y su impacto en el rendimiento de la infraestructura de una empresa puede ser devastador. Las empresas no pueden permitirse el lujo de paralizar la actividad y los flujos de trabajo, por lo que no les queda más remedio que eludir la inspección con aquellos dispositivos que no pueden seguir el ritmo de las demandas de procesamiento o el volumen.

Esta tabla muestra las formas habituales de inspeccionar el tráfico SSL y sus consideraciones principales.

Método de inspección SSL

Modo TAP

Cortafuego de próxima generación (NGFW)

Proxy

Cómo funciona

Un simple dispositivo de hardware copia todo el tráfico de red para su análisis sin conexión, incluida la inspección SSL.

Las conexiones de red se transmiten a través de un dispositivo NGFW con visibilidad exclusivamente a nivel de paquete, lo que limita la detección de amenazas.

Se crean dos conexiones separadas entre el cliente y el servidor, con una inspección completa del flujo de la red y de la sesión.

Impacto de la inspección SSL

Los TAP por hardware requieren un hardware costoso (por ejemplo, los TAP de red de 10G) para garantizar que todo el tráfico se copie a la velocidad de línea completa sin ninguna pérdida de datos.

Solo puede ver una pequeña parte del malware, lo que permite que el malware se entregue en partes segmentadas. Necesita una función proxy adicional (vinculada). Normalmente, experimenta pérdidas de rendimiento cuando se habilita la funcionalidad adicional (por ejemplo, prevención de amenazas).

Permite volver a ensamblar y escanear un objeto completo. Permite el análisis mediante motores de detección de amenazas adicionales, como sandbox y DLP.

Impacto en estos métodos una vez que se utiliza TLS 1.3

La inspección retrospectiva de SSL ya no funcionará debido al "secreto perfecto hacia adelante", que requiere nuevas claves para cada sesión de SSL y es obligatorio según TLS 1.3.

Se agrega a la pérdida de rendimiento. Es necesario actualizar el dispositivo para lograr el rendimiento original deseado debido a los mayores requisitos de rendimiento y escala de los nuevos cifrados de TLS 1.3.

Es necesario actualizar el dispositivo para satisfacer las necesidades de rendimiento y escala de la nueva TLS 1.3.

Cifrado, privacidad & protección de datos: un acto de equilibrio

Leer la documentación técnica
Cifrado, privacidad & protección de datos: un acto de equilibrio

Pila de seguridad como servicio de Zscaler con inspección SSL ilimitada

Leer la hoja de datos
Cifrado, privacidad & protección de datos: un acto de equilibrio

Razones para inspeccionar el tráfico SSL corporativo

Leer el blog
Cifrado, privacidad & protección de datos: un acto de equilibrio

¿Cómo lo hace Zscaler?

La plataforma de seguridad en la nube de Zscaler permite la inspección completa de SSL a escala, sin limitaciones de capacidad ni latencia. Al emparejar la inspección SSL con la pila de seguridad completa de Zscaler como un servicio en la nube, obtiene una mejor protección sin la limitación que supone la inspección de los dispositivos.

Zscaler hace un análisis completo del contenido entrante y saliente, y ofrece capacidad ilimitada para inspeccionar todo su tráfico, incluido SSL. Todos los usuarios, independientemente del lugar desde el que se conecten (dentro o fuera de la red) obtienen la misma protección.

 

Recursos adicionales: