Recursos > Glosario de términos de seguridad > Qué es la inspección SSL

¿Qué es la inspección SSL?

 

Definición de Inspección SSL

La inspección SSL es el proceso de interceptar y revisar las comunicaciones cifradas de Internet mediante SSL entre el cliente y el servidor. La inspección del tráfico SSL ha adquirido una importancia fundamental, ya que la gran mayoría del tráfico de Internet está cifrado con SSL, incluido el contenido malicioso.

El cifrado SSL cifra los datos, lo que los hace ilegibles hasta que se descifran. Esta capa de seguridad añadida ayuda a proteger la información confidencial, pero también puede ocultar las comunicaciones maliciosas que intervienen en ciberataques como el phishing, las infracciones de datos, la denegación de servicio distribuida (DDoS) y muchos otros.

En resumen, la misma herramienta que protege la seguridad puede también alimentar la inseguridad. Si los datos confidenciales pueden ocultarse en el tráfico HTTPS, también pueden hacerlo las amenazas. Por lo tanto, la inspección SSL es esencial para permitir que una organización inspeccione completamente el contenido del tráfico descifrado antes de bloquearlo o volver a cifrarlo para que pueda continuar su camino.

Entre enero y septiembre de 2021, Zscaler bloqueó 20 700 millones de amenazas a través de HTTPS. Esto representa un aumento de más del 314 % respecto a los 6600 millones de amenazas bloqueadas en 2020, que a su vez supuso un aumento de casi el 260 % respecto al año anterior.

ThreatLabz: el estado de los ataques cifrados, 2021

SSL frente a TLS

Es hora de una desambiguación. Secure Sockets Layer (SSL) y Transport Layer Security (TLS) son protocolos criptográficos que rigen el cifrado y la transmisión de datos entre dos puntos. Entonces, ¿cuál es la diferencia?

La ya desaparecida Netscape desarrolló SSL a mediados de la década de los noventa y lanzó SSL 3.0 a finales de 1996. TLS 1.0, basado en una versión mejorada de SSL 3.0, surgió en 1999. TLS 1.3, lanzado por Internet Engineering Task Force (IETF) en 2018, es la versión más reciente y segura a partir de esta escritura. Hoy en día, SSL ya no se desarrolla ni es compatible. Para 2015, IETF había declarado todas las versiones de SSL obsoletas debido a vulnerabilidades (por ejemplo, ataques de intermediarios) y a la falta de características de seguridad fundamentales.

A pesar de esto y de décadas de cambios, al margen de un sentido estrictamente técnico, la mayoría de la gente sigue utilizando el concepto de "SSL" como un cajón de sastre para los protocolos criptográficos. En otras palabras, cuando vea SSL, TLS, SSL/TLS, HTTPS, etc., todos significan lo mismo la mayoría de las veces. A efectos de este artículo, aclararemos su uso según sea necesario.

 

Ventajas de la inspección SSL

Un certificado SSL puede conferir confianza y autoridad, pero a medida que los actores maliciosos ocultan sus ataques en el tráfico y los canales cifrados, están utilizando eficazmente los puntos fuertes del cifrado, rompiendo las cadenas de dicha confianza. Es por ello que las organizaciones de hoy en día necesitan implementar la inspección SSL para mantener seguros a sus usuarios finales, clientes y datos.

La inspección SSL puede ayudar a las organizaciones modernas a:

  • Prevenir las violaciones de datos al encontrar malware oculto y evitar que los piratas informáticos se salten las defensas.
  • Identificar qué empleados envían información fuera de la organización, de forma intencionada o accidental, y responder en consecuencia
  • Cumplir con los requisitos de la normativa, garantizando que los empleados no pongan en riesgo datos confidenciales
  • Apoyar una estrategia de defensa de varios niveles que mantenga a toda la organización segura.

Cifrado, privacidad & protección de datos: un acto de equilibrio

Leer la documentación técnica
Cifrado, privacidad & protección de datos: un acto de equilibrio

Pila de seguridad como servicio de Zscaler con inspección SSL ilimitada

Leer la hoja de datos
Cifrado, privacidad & protección de datos: un acto de equilibrio

Razones para inspeccionar el tráfico SSL corporativo

Lea el artículo del blog
Cifrado, privacidad & protección de datos: un acto de equilibrio

La necesidad de la inspección SSL

Considere lo siguiente: La abrumadora mayoría del tráfico web está ahora cifrado, y algunos analistas de ciberseguridad estiman que más del 90 % del malware puede ahora ocultarse en canales encriptados.

Con la popularidad de las aplicaciones SaaS y la nube hoy en día, cada vez hay más datos que atraviesan Internet, con más frecuencia, exponiéndolos a un mayor riesgo. Por consiguiente, el cifrado es una parte esencial para mantener seguros los datos privados y confidenciales. Es por eso que la mayoría de los navegadores, servidores web y aplicaciones en la nube actualmente cifran los datos salientes e intercambian esos datos a través de conexiones HTTPS.

A pesar de este aumento en el uso de cifrado, muchas organizaciones siguen realizando inspecciones SSL/TLS solamente en parte de su tráfico y, al mismo tiempo, permiten que el tráfico de ciertas fuentes de "confianza" pase sin ser inspeccionado. Debido a que Internet puede cambiar tan fácilmente, esto puede ser arriesgado. Los sitios web, por ejemplo, pueden recibir datos dinámicamente desde múltiples fuentes para mostrar cientos de objetos, cada uno de los cuales puede suponer una amenaza.

Mientras tanto, los autores de malware están utilizando cada vez más el cifrado para ocultar sus vulnerabilidades. Al haber más de 100 autoridades de certificación en todo el mundo, es fácil y barato obtener un certificado SSL válido. En cualquier momento dado, alrededor del 70 % del tráfico que procesa Zscaler Cloud está cifrado, lo que subraya la importancia de poder inspeccionar el tráfico SSL entrante y saliente.

Así que, ¿por qué no lo hace todo el mundo? Es bastante simple: el descifrado, la inspección y el recifrado del tráfico SSL requieren mucha actividad informática y, sin la tecnología adecuada, el proceso puede tener un impacto devastador en el rendimiento de su red. La mayoría de las empresas no pueden permitirse paralizar su actividad empresarial y los flujos de trabajo, por lo que no tienen más opción que omitir la inspección por parte de los dispositivos que no pueden estar a la altura de las demandas de procesamiento.

 

El cifrado y el panorama moderno de las amenazas

Con la creciente preocupación por la privacidad de los datos en los últimos años, ha habido una fuerte tendencia hacia el cifrado por defecto. Esto es excelente para la privacidad, pero los requisitos técnicos, y en muchos casos, el precio del hardware necesario, son demasiado para muchas organizaciones. Como resultado, estas organizaciones no están equipadas para inspeccionar el tráfico cifrado a escala.

Los actores de amenazas lo saben y por ello las amenazas basadas en SSL están en aumento. Aunque los piratas informáticos han encontrado muchas formas de infiltrarse en los sistemas y robar datos, romper el cifrado sigue siendo difícil y requiere mucho tiempo. En su lugar, han comenzado a usar el cifrado ellos mismos para infiltrar contenido malicioso, ocultar malware y llevar a cabo ataques sin detección.

 

La certificación no es la salvación

Durante años, el símbolo de un candado junto a la dirección URL de un sitio web comunicaba que el sitio era seguro, pero ya no es garantía de seguridad. No se debe confiar en el tráfico que se mueve a través de canales cifrados simplemente porque tenga un certificado digital. El SSL, que en su día se consideraba la forma definitiva de proteger los datos que se transmitían por Internet, se ha convertido en una herramienta más del kit de los ciberdelincuentes.

 

¿Cómo funciona la inspección SSL?

Hay algunos enfoques diferentes para la intercepción, el descifrado y la inspección de SSL, cada uno con requisitos de configuración y medios únicos para manejar las conexiones SSL. Veamos los más comunes.

Método de inspección SSL

Modo de punto de acceso del terminal (TAP)

Cortafuegos de próxima generación (NGFW)

Proxy

Cómo funciona

Un simple dispositivo de hardware copia todo el tráfico de red para su análisis sin conexión, incluida la inspección SSL.

Las conexiones de red transmiten a través de un NGFW con visibilidad solo a nivel de paquete, lo que limita la detección de amenazas.

Se crean dos conexiones separadas entre el cliente y el servidor, con una inspección completa del flujo de la red y de la sesión.

Impacto de la inspección SSL

Se requiere un hardware costoso (por ejemplo, TAP de red 10G) para garantizar que todo el tráfico se copie a la velocidad de línea completa sin pérdida de datos.

Los NGFW sólo ven una fracción del malware, de modo que puede llegar por partes. Necesitan una funcionalidad de proxy vinculada y tienden a tener un rendimiento inferior cuando se habilitan características clave como la prevención de amenazas.

Objetos enteros se pueden volver a ensamblar y analizar, lo que permite el análisis mediante motores de detección de amenazas adicionales, como sandbox y DLP.

Impacto en estos métodos una vez que se utiliza TLS 1.3

La inspección retrospectiva de SSL ya no funciona debido al "secreto de reenvío perfecto", que requiere nuevas claves para cada sesión de SSL.

El rendimiento disminuye notablemente debido al aumento de los requisitos de rendimiento y escala de los cifrados TLS 1.3, que requieren una actualización de hardware para estar al día.

En el caso de un proxy en la nube suministrado como servicio, no es necesario actualizar los dispositivos por parte del cliente para satisfacer las necesidades de rendimiento y escala de TLS 1.3.

Para una explicación más detallada, podemos profundizar en cómo funciona en la plataforma Zscaler. Cuando habilita la inspección SSL con Zscaler, el proceso funciona de este modo:

  1. Un usuario abre un navegador y envía una solicitud HTTPS.

  2. El servicio Zscaler intercepta la solicitud HTTPS. A través de un túnel SSL separado, el servicio envía su propia solicitud HTTPS al servidor de destino y realiza las negociaciones SSL.

  3. El servidor de destino envía al servicio Zscaler su certificado con su clave pública.

  4. El servicio Zscaler y el servidor de destino completan el protocolo de enlace SSL. Los datos de la aplicación y los mensajes posteriores se envían a través del túnel SSL.

  5. El servicio Zscaler lleva a cabo negociaciones SSL con el navegador del usuario. Envía al navegador el certificado intermedio de Zscaler o la raíz intermedia personalizada de su organización, así como un certificado de servidor firmado por la autoridad de certificación intermedia de Zscaler. El navegador valida la cadena de certificados en el almacén de certificados del navegador.

  6. El servicio Zscaler y el navegador completan el protocolo de enlace SSL. Los datos de la aplicación y los mensajes posteriores se envían a través del túnel SSL.

 

Zscaler y la inspección SSL

Zscaler Zero Trust Exchange™ ofrece una inspección SSL completa como capacidad nativa de nuestra pila de seguridad en la nube. Como resultado, obtiene una seguridad en la nube superior y ágil a escala, sin las trabas de las restricciones de los dispositivos heredados.

La inspección SSL con la mayor nube de seguridad del mundo le ofrece:

Capacidad ilimitada
Inspeccione todo el tráfico SSL de sus usuarios, dentro o fuera de la red, con un servicio que se adapta de manera elástica para satisfacer sus demandas de tráfico.

Administración más eficiente
Deje de administrar certificados individualmente en todas las puertas de enlace. Los certificados subidos a la nube de Zscaler están inmediatamente disponibles en más de 150 centros de datos de Zscaler en todo el mundo.

Control de políticas granular
Garantice el cumplimiento con la flexibilidad para excluir el tráfico cifrado de los usuarios en las categorías de sitios web confidenciales, como el sector de salud o bancario.

Seguridad y protección
Manténgase protegido con la compatibilidad con las últimas suites de cifrado AES/GCM y DHE para una confidencialidad perfecta para el futuro. Los datos de usuario nunca se almacenan en la nube.

Administración simplificada de certificados
Utilice nuestros certificados o los suyos propios. Utilice nuestra API para rotar fácilmente sus certificados con la frecuencia que necesite.

 

¿Está preparado para saber más sobre cómo puede inspeccionar el tráfico cifrado sin limitaciones ni costosos aparatos? Vea cómo Zscaler SSL Inspection puede ayudarle.