CSO
El verano pasado, Cisco anunció un producto llamado Analisis de Tráfico Encriptado (ETA), el cual resuelve uno de los grandes problemas de la ciberseguridad, encontrando malware en el tráfico encriptado.
El uso del tráfico cifrado continúa creciendo. De hecho, es más de la mitad de todo el tráfico actual y superará el 80% en 2020. El beneficio de encriptar el tráfico es que los malos no pueden acceder a los datos, por lo que están protegidos. La desventaja es que las herramientas de seguridad no pueden inspeccionarlo en busca de malware, por lo que es el lugar perfecto para que un actor de amenazas oculte cualquier tipo de circulación maliciosa.
La única forma de ver dentro es descodificarlo antes de enviarlo a la herramienta de seguridad. Este es un proceso muy intensivo de la CPU y generalmente requiere dispositivos independientes o un intermediario de paquetes de red.
Vea luego: El poder del descifrado selectivo
Estas soluciones funcionan, pero son muy caras y tienen la desventaja obvia de tener que descifrar el tráfico, lo que lo expone a amenazas. Un informe de 2016 de Ponemon citó que solo el 38% de las empresas descodifican el tráfico, lo que significa que la mayoría de las compañías son susceptibles a ataques en el tráfico encriptado.
La ETA de Cisco utiliza una combinación de información de telemetría generada por la infraestructura de red de Cisco y algoritmos de aprendizaje automático para buscar las diferencias entre tráfico bueno y posiblemente infectado.
Uno de los pequeños secretos sucios de la industria de la seguridad es que la mayoría del malware es solo una leve desviación del software maligno existente. Los algoritmos idóneos de aprendizaje automático con los datos correctos pueden identificar el tráfico cifrado que podría contener el programa malicioso. Ese tráfico se puede enviar a herramientas de seguridad avanzadas, como Cisco Stealthwatch, para una mayor investigación y limpieza.
Los datos que ETA usa son una combinación de información disponible de la infraestructura de Cisco, incluido NetFlow. Es importante tener en cuenta que Cisco ETA analiza cada flujo, mientras que muchos instrumentos de terceros que aprovechan NetFlow lo prueban.
Eso significa que toma un subconjunto de datos de flujo, lo que puede hacer que las herramientas pierdan cosas. Con las utilidades de gestión de red, esto sería molesto. Con seguridad, esta puede ser la diferencia entre la captura de malware y estar vulnerable.
Cisco extiende el uso de ETA
Inicialmente, ETA solo estaba disponible en los nuevos switches Cisco Catalyst 9000 campus, que formaban parte del lanzamiento de Network Intuitive, lo que denota que solo se puede inspeccionar el tráfico en el campus. Esto es obviamente importante, pero hay más en una red de negocios que en el campus.
Cisco ha extendido ETA a las plataformas de sucursales que ejecutan IOS XE, incluidas las siguientes:
– Integrated Services Router (ISR) serie 4000, nueva serie 1000 e ISRv en ENCS 5000.
– Router de servicios de agregación (ASR) 100 Series.
– Enrutador de servicios en la nube (CSR) 100V.
Esto expande ETA a través de la WAN, a la sucursal y a la nube para una protección completa en toda la red. Si bien el centro de datos no fue específicamente llamado, una empresa podría poner una o más de las plataformas que admiten ETA en el centro de datos para observar el tráfico allí.
Es probable que Cisco finalmente convierta a ETA en una parte estándar de todos los productos, incluida la familia de conmutadores Nexus. La fruta más fácil para ETA es, obviamente, encontrar malware, pero la compañía ha agregado otra característica que permite a las empresas cumplir con los estándares de cumplimiento criptográfico.
No se pierda: Los datos encriptados pueden ser el mayor engaño de TI
Muchas industrias ahora tienen pautas estrictas sobre el tráfico cifrado que deben cumplirse. Dado que ETA ve todo el tráfico codificado, puede evaluar la calidad y proporciona visibilidad sobre si la organización cumple con los mandatos. La evaluación criptográfica se puede ver en Stealthwatch o se puede exportar a otra herramienta de terceros mediante API.
Cisco también anunció que el producto ahora está saliendo de la fase inicial de prueba de campo y está disponible para todos sus clientes. La serie Catalyst 9000 era una nueva línea, por lo que ETA estaba habilitado solo para un grupo de usuarios.
La adición de otras plataformas IOS XE crea una base de instalación significativamente más grande. La empresa estima que el número de clientes que ejecutan uno de los productos mencionados anteriormente es de aproximadamente 50 mil.
La cantidad de tráfico cifrado ciertamente no disminuirá en el corto plazo, haciendo que el trabajo de los equipos de seguridad sea cada vez más difícil. La ETA de Cisco puede brindar alguna ayuda que se necesita con urgencia a los equipos de seguridad con exceso de trabajo, ya que resuelve uno de los mayores problemas de la ciberseguridad actual.