Los profesionales de la seguridad deben actuar antes de que se implementen TLS 1.3 y DNS sobre HTTPS (DoH) o no podrán analizar el tráfico de la red y detectar ciberamenazas, advierte Forrester Research.
Getty Images / iStockphoto
La seguridad de la capa de transporte (TLS) y el DNS, dos de los protocolos fundamentales de Internet, han experimentado recientemente cambios radicales para proteger la privacidad del usuario del navegador. Al mismo tiempo, reducirán la seguridad en las instalaciones a corto plazo, y los profesionales de la seguridad deben implementar herramientas en los próximos años. un nuevo informe de Forrester Research estados.
“Mientras [the protocols] ocultan la actividad del usuario de los ojos de búsqueda de los estados-nación y los ISP, también ocultan valiosos metadatos de las herramientas de inspección de redes empresariales “, según el analista senior de Forrester Research, David Homes.” A medida que estos cambios adquieran impulso, las herramientas de monitoreo de seguridad estarán cegadas el contenido y el destino del tráfico y no puede detectar amenazas. La red será más oscura que nunca “.
Los activistas de la privacidad se han enfrentado a la comunidad de vigilancia del gobierno que aboga por el cifrado y han estado trabajando dentro del Grupo de Trabajo de Ingeniería de Internet (IETF) para proporcionar contramedidas contra las escuchas clandestinas y la recopilación de datos, escribió Holmes. La última versión, TLS 1.3, y el cifrado del sistema de nombres de dominio son el resultado de sus esfuerzos más recientes.
VER: Política de mejores prácticas de certificados SSL (TechRepublic Premium)
Pero estos cambios han generado controversia, dijo, porque:
-
La comunidad de servicios financieros ha invertido mucho en el descifrado pasivo, porque la regulación prohíbe los datos no cifrados, incluso en sus redes internas. Los activistas de la privacidad diseñaron TLS 1.3 para exigir “confidencialidad directa”, lo que lo hace incompatible con las arquitecturas de inspección de seguridad de los grandes servicios financieros.
-
TLS 1.3 cifra los certificados del servidor, lo que significa que los equipos de seguridad ya no pueden aplicar políticas de red que impidan que los usuarios visiten sitios con certificados inseguros, incluidos aquellos que están vencidos, revocados o autofirmados.
-
DNS sobre HTTPS elimina el control de TI. Los activistas de la privacidad ven el sistema de nombres de dominio actual como una fuga de privacidad significativa y han propuesto encriptar DNS sobre HTTPS para solucionarlo. Los navegadores y las redes de distribución de contenido (CDN) lo adoptaron tan rápido como pudieron, incluso a pesar de las protestas de muchos detractores. Uno de los oponentes más ruidosos, escribió Holmes, es Paul Vixie, el padrino de DNS.
El informe enfatiza que los profesionales de la seguridad deben estar al tanto de los próximos cambios. “Muchas herramientas de seguridad, como los firewalls empresariales, las puertas de enlace web seguras y los agentes de seguridad de acceso a la nube (CASB) impiden que los usuarios accedan a sitios web defectuosos al examinar tres piezas clave de metadatos en el tráfico cifrado”, escribió Holmes. Pronto desaparecerán tres metadatos del tráfico de red: la solicitud de DNS del usuario, el certificado SSL del objetivo y la SNI de indicación de nombre del servidor.
“La mayoría de los clientes de seguridad y riesgo de Forrester están monitoreando a sus usuarios para protegerlos, no explotarlos, y estos cambios hacen que sus vidas sean más difíciles”, dice el informe.
Llamada a la acción
Los profesionales de la seguridad y los riesgos no pueden controlar los navegadores o Internet, pero siguen siendo responsables de proteger el medio ambiente, escribió Holmes. Si bien las evoluciones de TLS 1.3, el sistema de nombres de dominio cifrado (DNS) y el indicador de nombre de servidor cifrado (SNI) son recientes y en este momento las tasas de adopción son modestas, los profesionales de la seguridad no deberían retrasar sus preparativos.
Tienen dos años para implementar capacidades clave, dijo.
“A medida que TLS 1.3 y DNS sobre HTTPS cobran impulso, los equipos deben planificar ahora para aumentar sus programas de inspección”, escribió Holmes. “Diseñe explícitamente un programa de actualización de visibilidad o colóquelo en un esfuerzo mayor, como la modernización de la red o la transformación digital. Dentro del esfuerzo mayor, incorpore enfoques tácticos para recuperar metadatos de red y capacidades de descifrado perdidas”.
Solo una de cada cuatro propiedades web de Internet ofrece actualmente TLS 1.3.7, escribió Holmes, citando los datos SSL Pulse de Qualys Labs. “Sin embargo, los profesionales de la seguridad deben esperar que la adopción de TLS 1.3 fuera de los megasitios aumente un 10% por año”.
VER: Por qué se debe configurar la autenticación multifactor para todos sus servicios y dispositivos (TechRepublic)
DNS-over-HTTPS ya es compatible con todos los principales navegadores y Active Directory de Microsoft, dijo Holmes. Hoy en día, solo Firefox lo habilita de forma predeterminada, y dentro de dos años, la mayoría de los navegadores modernos también lo harán, dijo.
A medida que TLS 1.3 y DNS sobre HTTPS prevalecen en la red empresarial y dentro de las nubes públicas y privadas, los profesionales de seguridad deben tomar varios pasos, incluida la creación de zonas de inspección de proxy completo para el tráfico entrante, ya sea en las instalaciones o en la nube. Escribió Holmes.
También deben aumentar su monitoreo de redes con aprendizaje automático aplicado a los metadatos de red que quedan, dijo Holmes.
También deben recuperar el control del DNS, al que denominó “el hijastro pelirrojo de la TI: Operaciones odia ejecutarlo, la seguridad no lo quiere y la única persona que lo entiende probablemente se jubilará en cualquier momento”.
Las organizaciones tendrán que implementar un sistema híbrido que capture las solicitudes de dominio a través de DNS sobre HTTPS con sistemas locales, dijo.
Tecnotraffic
Esperemos que te haya sido útil Comparte nuestro post . .
Nos vemos pronto!