Ataques SSL: Tras la introducción masiva de tecnologías, se van conociendo brechas de seguridad, que los atacantes también pueden explotar perfectamente. La tecnología de cifrado SSL no es una excepción a esta regla y ha mostrado una gran cantidad de vulnerabilidades publicadas, lo que obliga a los usuarios a migrar a versiones nuevas y más seguras y, en última instancia, a un protocolo de reemplazo como Transport Layer Security (TLS).
Sin embargo, la explotación de vulnerabilidades recién identificadas no es la única forma en que SSL se utiliza como arma en manos de atacantes malintencionados. Radware descubrió que los ataques SSL son cada vez más frecuentes para ofuscar y complicar aún más la detección del tráfico de ataque para las amenazas de capa de red y de aplicación.
Ataques SSL: muchas formas
Los ataques SSL son populares entre los atacantes porque solo se requiere una pequeña cantidad de paquetes para provocar una denegación de servicio para un servicio bastante grande. Los atacantes lanzan ataques que usan SSL porque cada protocolo de enlace de sesión SSL consume 15 veces más recursos en el servidor que en el cliente. Como resultado de este efecto de beneficio, incluso un pequeño ataque puede causar un daño paralizante.
Los ataques basados en SSL toman muchas formas, incluyendo:
- Inundaciones SYN cifradas. Estos ataques son de naturaleza similar a los ataques regulares de inundación SYN sin cifrar en el sentido de que agotan los recursos disponibles para completar el protocolo de enlace SYN ACK. La diferencia es que estos ataques complican aún más el desafío al cifrar el tráfico y forzar el uso de recursos de protocolo de enlace SSL.
- Renegociación SSL. Dichos ataques inician un protocolo de enlace SSL regular y requieren una renegociación inmediata de la clave. La herramienta continúa repitiendo esta solicitud de renegociación hasta que se agotan todos los recursos del servidor.
- Inundaciones de HTTPS. Genere inundaciones de tráfico HTTP encriptado, a menudo como parte de campañas de ataques multivectoriales. Además de los efectos de las inundaciones HTTP "normales", los ataques HTTP encriptados tienen algunos otros desafíos, como: B. la carga de los mecanismos de cifrado y descifrado.
- Ataques encriptados a aplicaciones web. Las campañas de ataques multivectoriales utilizan cada vez más ataques que no son DoS en la lógica de las aplicaciones web. Al cifrar el tráfico de datos, estos ataques suelen pasar desapercibidos por las contramedidas contra DDoS y los mecanismos de protección de las aplicaciones web.
Detección y contención difíciles
De la misma manera que SSL y el cifrado protegen la integridad de las comunicaciones legítimas, también ofuscan muchos de los atributos del tráfico que se utilizan para determinar si el tráfico es malicioso o legítimo. "Identificar el tráfico malicioso dentro de los flujos de tráfico cifrado es como encontrar una aguja en un pajar en la oscuridad", dijo Michael Tullius, director general de DACH en Radware. “La mayoría de las soluciones de seguridad se esfuerzan por identificar y aislar el tráfico potencialmente malicioso de las fuentes de tráfico cifradas para un análisis más detallado y una posible mitigación”.
Muchas soluciones que pueden proporcionar algún nivel de descifrado tienden a depender de la limitación de la tasa de solicitudes, lo que efectivamente finaliza el ataque. Sin embargo, también bloquea el tráfico legítimo. Por último, muchas soluciones requieren que el cliente comparta certificados de servidor, lo que dificulta la implementación y la gestión de certificados.
Protección contra ataques SSL
La desafortunada realidad es que la mayoría de las soluciones de protección contra ataques DDoS solo ofrecen protección contra ciertos tipos de ataques y, en muchos casos, luchan contra los ataques SSL. El resultado final de las soluciones para brindar una protección efectiva es la cobertura total de los vectores de ataque (incluido SSL) y la alta escalabilidad para satisfacer las crecientes demandas y brindar una protección efectiva. En particular, la defensa contra los ataques SSL debe admitir todas las versiones comunes de SSL y TLS y permitir la implementación asimétrica, en la que solo el tráfico de datos cifrados entrante pasa a través del motor de mitigación. También debe utilizar el análisis de comportamiento para aislar el tráfico cifrado sospechoso a fin de limitar el impacto en los usuarios legítimos. Finalmente, dicha solución debe proporcionar mecanismos avanzados de desafío/respuesta para validar el tráfico cifrado que se marca como sospechoso pero que solo afecta la primera sesión del usuario.
Más información en Radware.com
Acerca de Radware Radware (NASDAQ: RDWR) es líder mundial en soluciones de ciberseguridad y entrega de aplicaciones para centros de datos virtuales, en la nube y definidos por software. La cartera galardonada de la empresa protege la infraestructura de TI y las aplicaciones críticas de toda la empresa y garantiza su disponibilidad. Más de 12.500 XNUMX clientes empresariales y de operadores en todo el mundo se benefician de las soluciones de Radware para adaptarse rápidamente a los desarrollos del mercado, mantener la continuidad del negocio y maximizar la productividad a bajo costo.