Post on 11-Jan-2016
description
transcript
Securosis, L.L.C. 515 E. Carefree Highway Suite #766 Phoenix, AZ 85085 T 602-412-3051
info@securosis.com www.securosis.com
Securosis — Seguridad
y privacidad en la red
encriptada
Versión 1.5
Publicado: 20 de enero de 2015
Securosis — Seguridad y privacidad en la red encriptada 2
Nota del autor
El contenido de este informe se creó en forma independiente de cualquier patrocinador. Se basa en material
que se publicó originalmente en el blog de Securosis, pero ha sido mejorado, revisado y editado
profesionalmente.
Un agradecimiento especial a Chris Pepper por su ayuda con el contenido y la edición.
Derechos de autor
Este informe se distribuye bajo licencia de Creative Commons
Attribution-Noncommercial-No Derivative Works 3.0.
http://creativecommons.org/licenses/by-nc-nd/3.0/us/deed.es
Blue Coat otorga poder a las empresas para elegir en forma segura las mejores aplicaciones, servicios, dispositivos, fuentes de datos y
contenidos que se ofrecen en el mundo, a fin de que puedan crear, comunicar, colaborar, innovar, ejecutar, competir y ganar en sus mercados. Blue
Coat tiene una extensa trayectoria en la protección
de organizaciones, sus datos y sus empleados, y es la marca de confianza de 15.000 clientes en todo el
mundo, que incluyen el 78 % de las empresas Fortune Global 500. Con una sólida cartera de
propiedad intelectual respaldada por más de 200 patentes y patentes en trámite, la empresa continúa
impulsando innovaciones que garantizan la continuidad del negocio, la agilidad y la
gobernabilidad. www.bluecoat.com
Este informe cuenta con la licencia de Blue Coat,
cuyo apoyo nos permitió publicarlo sin cargo.
Todo el contenido se creó en forma independiente.
Securosis — Seguridad y privacidad en la red encriptada 3
Seguridad y privacidad
en la red encriptada
Índice
El futuro está encriptado 4
¿Por qué es necesario descifrar? 5
Casos de uso 6
¿Qué se debe descifrar? 6
¿Dónde se debe descifrar? 7
Aplicación de políticas de seguridad 9
Supervisión y técnicas forenses 10
Problemas de RR. HH. y cumplimiento normativo 12
Implementación y criterios de selección 14
¿Independiente o integrado? 14
Criterios de selección 15
Implementación 16
Resumen 19
Acerca del analista 20
Acerca de Securosis 21
Securosis — Seguridad y privacidad en la red encriptada 4
El futuro está encriptado
La nube y la movilidad están afectando la manera en que el departamento de TI genera y ofrece valor a las
organizaciones. Posiblemente esté trasladando las cargas de trabajo informáticas a la nube y almacenando
una cantidad de datos cada vez mayor fuera del perímetro de la empresa, o tal vez ahora una proporción de
empleados cada vez mayor accede a los datos fuera de su
red corporativa, pero usted ya no tiene un control general de
las redes ni los dispositivos. De modo que los equipos de
seguridad deben adaptar sus modelos para proteger los
datos. Para obtener más detalles sobre esta interrupción,
consulte nuestra reciente investigación El futuro de la
seguridad.
Pero ese no es el único motivo por el que las organizaciones
se ven obligadas a adaptar sus posiciones de seguridad. Las “amenazas internas”, que a menudo se analizan
pero rara vez se abordan, ya no se pueden ignorar. Dada la manera en que los atacantes están perjudicando
los dispositivos, realizando exploraciones para encontrar objetivos vulnerables y husmeando el tráfico de la
red para robar credenciales, en algún momento durante cada ataque, el adversario se convierte en un
infiltrado con credenciales para acceder a sus datos más confidenciales. Ya sea que se trate de un
adversario externo o interno, en algún momento ingresará a su red.
Por último, una mayor colaboración entre los socios comerciales significa que las personas fuera de su
organización necesitan acceso a sus sistemas y viceversa. Este acceso no debería imponer un importante
riesgo adicional a su entorno, por lo que esas
conexiones se deben proteger para garantizar
que no se produzca un robo de datos.
Estas tendencias significan que las
organizaciones no tienen otra alternativa
más que encriptar más tráfico en sus redes.
El encriptado de la red evita que los
adversarios husmeen el tráfico para robar
credenciales y garantiza que los datos que
salen de la organización estén protegidos de
ataques de “intermediario”. Por lo tanto, prevemos que, durante los próximos 2 a 3 años, se encriptará un
mayor porcentaje de tráfico de red interno y externo.
En algún momento durante cada ataque, el adversario se convierte en un infiltrado con credenciales para acceder a
sus datos más confidenciales.
El encriptado de la red afecta la inspección del tráfico y la aplicación de
políticas de seguridad. Las redes encriptadas también dificultan la
supervisión de seguridad porque el tráfico se debe descifrar a la velocidad de la conexión para su captura y análisis
forense.
Securosis — Seguridad y privacidad en la red encriptada 5
¿Por qué es necesario descifrar?
A pesar de lo expuesto antes, ninguna buena acción queda sin castigo. El encriptado de la red afecta
negativamente su capacidad para inspeccionar el tráfico y aplicar políticas de seguridad. Por lo tanto, el
aumento del tráfico encriptado afecta su visibilidad para detectar el contenido confidencial que sale de su
red. Esta pérdida de datos no siempre está relacionada con atacantes avanzados que realizan transferencias
no autorizadas de sus datos, ya que los empleados pueden enviar información involuntariamente fuera de la
red dentro de una sesión encriptada. Las redes encriptadas también dificultan la supervisión de seguridad
porque el tráfico se debe descifrar a la velocidad de la conexión para su captura y análisis forense. Salvo
que tenga una estrategia para la administración del tráfico encriptado, corre el riesgo de una filtración de
datos fundamentales para la empresa.
Deberá contemplar las otras implicancias de descifrar el tráfico de la red. Por ejemplo, el descifrado del
tráfico también presenta problemas de cumplimiento normativo y plantea consideraciones relacionadas con
los recursos humanos, que deben tenerse en cuenta en sus planes al tratar de lidiar con el aumento del
tráfico encriptado, que aparece con mayor intensidad en sus redes.
Este documento analizará políticas de seguridad para garantizar que no se produzcan filtraciones de datos a
través de túneles encriptados, y que los empleados cumplan con políticas corporativas de uso aceptable,
descifrando el tráfico según sea necesario. Luego, nos abocaremos a la supervisión de seguridad y las
técnicas forenses, mediante el análisis de estrategias de descifrado del tráfico a fin de garantizar que pueda
emitir alertas cuando se produzcan eventos de seguridad e investigar los incidentes de manera adecuada.
Concluiremos con orientación sobre cómo solucionar los problemas relacionados con los recursos humanos
y el cumplimiento normativo, ya que una fracción cada vez mayor del tráfico de red está encriptada.
Securosis — Seguridad y privacidad en la red encriptada 6
Casos de uso
Como mencionamos anteriormente, nuestra incapacidad para inspeccionar el tráfico encriptado afecta
nuestra capacidad para aplicar políticas o controles de seguridad y cumplir con las normativas.
Analizaremos a fondo cómo descifrar el tráfico estratégicamente para abordar casos de uso clave, lo que
incluye la aplicación de políticas de seguridad y la supervisión de la seguridad y el cumplimiento
normativo. También debemos tener en cuenta los problemas de RR. HH. y privacidad asociados con el
descifrado del tráfico, dado que nadie querrá terminar en el lado equivocado de un consejo de trabajadores
protestando por su enfoque de seguridad de red.
¿Qué se debe descifrar?
El primer paso para obtener visibilidad de la red encriptada
es establecer políticas que indiquen cuándo se descifrará el
tráfico y durante cuánto tiempo permanecerá descifrado,
dado que los datos quedan desprotegidos (en formato
descifrado) hasta que se vuelven a encriptar. Estas
decisiones son impulsadas por la cultura organizacional, por
lo tanto, deberá determinar lo que funcionará para su
organización. Como especialistas en seguridad, preferimos
un mayor descifrado a fin de permitir una inspección más
integral y, por consiguiente, una supervisión y aplicación de
políticas más sólidas. Pero es una elección específica de cada empresa.
Varios factores influyen en las políticas de descifrado, principalmente las propias aplicaciones.
Probablemente descifrará algunas aplicaciones principales:
1. Webmail: los empleados creen que le están haciendo un favor a su organización trabajando a toda
hora del día. Pero esta fuerza de trabajo siempre conectada utiliza dispositivos personales y puede
decidir (aunque sea imprudente) que es más fácil enviar documentos de trabajo a equipos
personales a través de cuentas de correo electrónico personales. ¿Qué podría salir mal? Y, por
supuesto, hay muchos usos maliciosos de webmail en un entorno corporativo, ya que es un medio
común para la transferencia no autorizada de datos confidenciales. Hay agentes de DLP de
terminales para detectar este comportamiento, pero si no los tiene implementados debe
inspeccionar el tráfico de webmail saliente y buscar palabras clave o contenido que no debería
enviarse fuera de la organización. Como la mayor parte del webmail ahora está encriptado, debe
descifrar estas sesiones para poder inspeccionar el tráfico.
Como especialistas en seguridad, preferimos un mayor descifrado a fin de
permitir una inspección más integral y, por consiguiente, una supervisión y aplicación
de políticas más sólidas. Pero es una elección específica de
cada empresa.
Securosis — Seguridad y privacidad en la red encriptada 7
2. Explorador web: los sitios de redes sociales y otras propiedades web utilizan contenido generado
por el usuario que puede estar protegido o ser confidencial para su organización, por lo que debe
asegurarse de poder aplicar políticas también en el tráfico general de las aplicaciones web. Las
aplicaciones utilizan cada vez más SSL/TLS, en forma predeterminada, por lo que deberá descifrar
para aplicar políticas de uso aceptable y proteger los datos.
3. Aplicaciones de SaaS: las funciones empresariales están migrando cada vez más a software como
servicio (SaaS), por lo que debe inspeccionar el tráfico de SaaS. Quizás desee aplicar políticas de
contenido más estrictas en las aplicaciones de SaaS, dado que usted no controla la seguridad de los
datos en un entorno de SaaS, pero primero debe descifrar el tráfico para la inspección y aplicación
de políticas. Además, tenga en cuenta que algunas de estas aplicaciones pueden usar puertos no
estándares (aparte del típico TCP 443), lo que hace más complicado inspeccionar el tráfico de esa
aplicación específica.
4. Aplicaciones personalizadas: las aplicaciones web personalizadas y las aplicaciones web de los
socios también requieren un control riguroso ante la gran probabilidad de que utilicen datos
confidenciales. Al igual que con las aplicaciones de SaaS, es conveniente aplicar políticas
granulares para estas aplicaciones, por lo que debe descifrar.
En síntesis, si una aplicación tiene acceso a datos críticos o protegidos, debe descifrar e inspeccionar su
tráfico. No obstante, atributos secundarios pueden impedir o exigir el descifrado. Por ejemplo, ciertos
sitios/aplicaciones web, tales como sitios financieros y de asistencia médica para el consumidor final, se
deben incluir en la whitelist (nunca se deben descifrar) porque manejan datos privados de los empleados.
Otro disparador de políticas serán los empleados individuales y los grupos. Quizás no quiera descifrar el
tráfico del equipo legal debido a que probablemente esté protegido y sea confidencial. Y, por supuesto,
algunas personas requieren excepciones. Por ejemplo, el CEO puede hacer lo que desee y puede aprobar
una excepción para su propio tráfico. Habrá otras excepciones, se lo garantizamos, así que asegúrese de que
sus políticas sean lo suficientemente flexibles para adaptarse a la cultura y los requisitos de su empresa. Por
ejemplo, es probable que el tráfico de todos los usuarios de una aplicación se tenga que inspeccionar
siempre debido a la confidencialidad de sus datos. Del mismo modo, quizás el tráfico de un grupo de
usuarios no se inspeccionará en absoluto debido a la confidencialidad de ese trabajo en particular. Debe
tener la flexibilidad necesaria para descifrar el tráfico a fin de aplicar políticas sobre la base de aplicaciones
y usuarios/grupos, para adecuarse con precisión a los requisitos y procesos de la empresa.
¿Dónde se debe descifrar?
Ahora que sabe qué descifrar, debe determinar el mejor lugar para hacerlo. La respuesta depende de las
aplicaciones que se deben inspeccionar y los dispositivos que necesitan los datos para la supervisión o la
aplicación de políticas.
1. Firewall: los firewalls por lo general adoptan la función del descifrado porque están en línea para
la salida y el acceso y ya aplican políticas, sobre todo a medida que evolucionan hacia firewalls de
próxima generación (NGFW) con reconocimiento de aplicaciones. El descifrado es muy exigente
Securosis — Seguridad y privacidad en la red encriptada 8
desde el punto de vista computacional, por lo que puede enfrentarse a problemas de escalabilidad,
incluso para firewalls más grandes y más potentes.
2. IPS: como tecnología de inspección, IPS resulta ineficaz si no puede inspeccionar el tráfico
encriptado. Para resolver esto, algunas organizaciones descifran en sus dispositivos de IPS. La
función de IPS es más exigente desde el punto de vista computacional que aplicar políticas de
control de acceso en un firewall, por lo que los dispositivos de IPS dedicados suelen tener más
potencia, lo que facilita el descifrado. Pero la escalabilidad puede ser un problema incluso bajo
una carga pesada de descifrado.
3. Gateway de Seguridad Web: como dispositivos de inspección y aplicación de políticas para el
tráfico web, los filtros web también necesitan descifrar el tráfico. Suelen no tener la potencia
suficiente en comparación con otros dispositivos en el perímetro, por lo tanto, salvo que haya una
cantidad mínima de tráfico encriptado, pueden quedarse sin combustible rápidamente y entorpecer
el tráfico web saliente.
4. Dispositivo de descifrado de SSL dedicado: para las organizaciones con una gran cantidad de
tráfico encriptado, lo que es cada vez más común, se encuentran disponibles dispositivos de
descifrado dedicados que se especializan en el descifrado del tráfico sin afectar a los empleados.
Ofrecen flexibilidad en la manera de enrutar el tráfico descifrado para los controles activos (FW,
IPS, filtro web, etc.) y la supervisión, y luego reencriptar el tráfico que debe continuar hasta
Internet. A continuación, brindaremos información específica sobre cómo seleccionar e
implementar estos dispositivos.
5. Ofertas que residen en la nube: a medida que maduran las ofertas de seguridad como servicio
(SECaaS), las organizaciones tienen la opción de descifrar en la nube, trasladando la
responsabilidad de la escalabilidad a un proveedor de servicios. Pero esto requiere descifrar e
inspeccionar datos potencialmente confidenciales en la nube, lo que puede plantear un desafío
cultural o reglamentario.
Por lo general, todos estos dispositivos se implementan dentro del perímetro de su red, por lo que no se
pueden detectar los atacantes que encriptan el tráfico de
exploración interna, o el tráfico que sale del centro de datos
hacia un servidor de almacenamiento provisional dentro de su
red interna. Para solucionar estos problemas puede elegir
configurar un dispositivo existente (probablemente un firewall
o IPS) internamente frente a su centro de datos, para descifrar,
aplicar políticas de seguridad e inspeccionar el tráfico. Vemos
cada vez más este modelo de implementación para los equipos
de seguridad de redes, aunque las características del tráfico de
red interno difieren de las del tráfico del perímetro. La
escalabilidad es fundamental en entornos de centros de datos,
que por lo general tienen redes internas de múltiples gigabits.
Es muy común que los atacantes sofisticados
encripten el tráfico hacia y desde los dispositivos
afectados. Si no descifra el tráfico de salida y acceso, no
podrá detectar ciertos ataques.
Securosis — Seguridad y privacidad en la red encriptada 9
Para garantizar la escalabilidad, es conveniente evaluar el impacto del descifrado en el desempeño. Según
pruebas de laboratorio independientes realizadas por organizaciones como NSS Labs, el desempeño puede
verse afectado en hasta un 80 % al descifrar en firewalls y dispositivos de IPS. Obviamente, la capacidad
adecuada para volúmenes de tráfico típicos es un requisito fundamental de la arquitectura y la
implementación.
Aplicación de políticas de seguridad
Nuestro primer caso de uso es la aplicación activa de políticas de seguridad. Esto involucra el descifrado de
tráfico y luego la aplicación de políticas mediante dispositivos tradicionales, que incluyen firewalls, IPS,
filtros web, balanceadores de carga, etc. Es muy común que los atacantes sofisticados encripten el tráfico
hacia y desde los dispositivos afectados. Si no descifra el tráfico de salida y acceso, no podrá detectar
ciertos ataques. Puede ignorar máquinas recientemente infectadas que se conecten al mothership
(controlador de bots) junto con las descargas de malware resultantes, debido a que el tráfico de Comando y
control (C&C) está encriptado. Otro punto ciego es la transferencia no autorizada de datos confidenciales,
que se encuentra permanentemente encriptada.
La siguiente tabla analiza algunos de los dispositivos en los que se necesita tráfico descifrado para aplicar
las políticas adecuadamente.
¿Por qué este dispositivo
necesita tráfico descifrado?
Capacidades de descifrado
nativas
IPS Los datos de las redes y aplicaciones necesarios para
el análisis están ocultos por el encriptado; no se
pueden igualar a las firmas de intrusos.
Limitadas. Importante disminución
de desempeño.
NGFW La clasificación de aplicaciones por lo general
requiere una inspección exhaustiva de paquetes que
está encriptada; la protección integrada contra
amenazas (IPS) necesita tráfico descifrado (consultar
más arriba).
Por lo general, el descifrado SSL
disminuye el desempeño entre el 50
y el 80 %.
DLP La DLP requiere la inspección de cargas útiles de
datos para comparar con los datos controlados
(p. ej., números de tarjetas de crédito, SSN, etc.).
Ninguna.
Sandbox de malware
basado en la red
Los archivos que transportan cargas útiles maliciosas
a menudo viajan a través de túneles encriptados
(SSL). Sin el descifrado, los archivos de malware
no son detonados para el análisis.
Ninguna.
Gateway de Web Los Gateways de Web necesitan descifrar las
solicitudes HTTP para comparar con las políticas de
filtrado; la integración con gateways antimalware y
sandboxes basados en la red necesita descifrar esos
archivos.
Los Gateways de Web en el nivel del
proxy pueden descifrar SSL.
Degradación potencialmente
significativa del desempeño del
dispositivo.
Securosis — Seguridad y privacidad en la red encriptada 10
Las consideraciones clave para descifrar el tráfico y enviarlo a un dispositivo de seguridad activo son las
siguientes:
1. Capacidad: las redes son cada vez más rápidas, y debe inspeccionar el tráfico a la velocidad de la
conexión (o a una velocidad muy cercana). El descifrado y reencriptado hacen un uso intensivo de
los recursos, por lo que debe asegurarse de que su capacidad de descifrado pueda ampliarse lo
suficiente en el dispositivo que elija para el descifrado. Suponga que (por ahora) entre el 20 y el
40 % de su tráfico estará encriptado y planifique una capacidad de descifrado según corresponda.
2. Latencia: muchas aplicaciones son en tiempo real o sumamente interactivas, por lo que no es
aceptable introducir una latencia significativa. Debe asegurarse de que, junto con la capacidad
adecuada, la escalabilidad no agregue una latencia inaceptable.
3. Compatibilidad con todos los protocolos: los atacantes pueden ocultar el tráfico encriptado en
otros protocolos en diferentes puertos, por lo que es importante que los motores de inspección
analicen la secuencia de tráfico completa, no solo el puerto 443.
4. Granularidad de las políticas: se necesitan políticas precisas para controlar qué contenido se
descifra según atributos tales como protocolo, usuario/grupo, aplicación y categoría de sitios web,
a fin de mantener la privacidad de los usuarios.
5. Envío de tráfico descifrado a múltiples dispositivos: quizás desee un IPS y un sandbox de
malware basado en la red para analizar el tráfico, por lo que debe tener la capacidad de enviarlo a
múltiples dispositivos sin inconvenientes.
6. Falla en la apertura o el cierre: si el descifrado falla, ¿permitirá que el tráfico pase o lo
bloqueará? Esto se puede volver difícil ya que debe obtener la aprobación de la gerencia sénior y
los equipos legales. A menudo se prioriza la continuidad de las operaciones de la empresa por
sobre la posibilidad de un ataque.
Dado el impacto del descifrado en el desempeño deberá
manejar las expectativas a lo largo del proceso.
Probablemente no puede comprar la cantidad suficiente de
equipos de descifrado para descifrar todo el tráfico sin
ningún impacto en el desempeño. Es muy común que los
atacantes sofisticados encripten el tráfico hacia y desde los
dispositivos afectados. Por lo tanto, asegúrese de que todos
comprendan el impacto potencial del tráfico que se debe
descifrar e inspeccionar. Una breve comunicación proactiva
con las partes interesadas clave es esencial para tener éxito.
Supervisión y técnicas forenses
Para mejorar la respuesta ante incidentes frente a los ataques cada vez más sofisticados, se necesita
supervisar y captar más tráfico para emitir alertas y realizar un análisis forense. Este caso de uso difiere
considerablemente de la aplicación de políticas de seguridad porque no se reencriptan ni descartan datos
Dado el impacto del descifrado en el desempeño
deberá manejar las expectativas a lo largo del
proceso. Probablemente no puede comprar la cantidad suficiente de equipos de
descifrado para descifrar todo el tráfico sin ningún impacto
en el desempeño.
Securosis — Seguridad y privacidad en la red encriptada 11
rápidamente. El objetivo es obtener metadatos de la secuencia de paquetes o captar paquetes para su
posterior investigación.
Cuando se descifra para aplicar una política de seguridad, los datos pueden permanecer sin encriptar
durante algunos segundos. Pero cuando se descifra para la supervisión y el análisis forense, los datos
pueden permanecer sin encriptar indefinidamente. Debe ser consciente de este cambio, y mucho más
cuidadoso y riguroso sobre cómo y durante cuánto tiempo mantiene los datos sin encriptar.
Anteriormente, hablamos acerca de los tipos de aplicaciones
y otros atributos que pueden desencadenar o evitar el
descifrado; use el mismo enfoque para definir las políticas
para la supervisión y el análisis forense. También necesita
realizar un análisis de riesgos de casi todas las políticas, que
determine si el tráfico podría contener información
confidencial (ya sea de la empresa o personal) y el riesgo
que supone captarlo.
Por ejemplo, quizás quiera descifrar el tráfico de RR. HH. y
enviarlo al IPS para detectar la presencia de ataques, dado
que RR. HH. es un objetivo frecuente de phishing. Pero
quizás evite enviar la secuencia descifrada a su dispositivo
de captura de paquetes debido a que información personal
confidencial podría ser captada, lo cual representaría un riesgo inaceptable. No hay respuestas universales
correctas o incorrectas sobre qué se debe descifrar y qué no, debe hacer las preguntas correctas al establecer
las políticas.
Esta situación no es óptima para la seguridad, no se ajusta a nuestro enfoque general de captar lo más que
se pueda y conservarlo durante el mayor tiempo posible. Desafortunadamente, los problemas de privacidad,
que se describen con más detalle a continuación, exigen tomar decisiones difíciles acerca de qué se puede
descifrar para supervisión y durante cuánto tiempo se puede conservar. Pero incluso en lugares donde la
captura de paquetes es imposible, igualmente querrá descifrar y analizar los metadatos de las sesiones
(origen, destino, protocolo, cantidad de datos, aplicación, etc.) para extraer patrones para el análisis de
SIEM u otra capacidad de análisis de seguridad. La salvedad es que en algunas regiones geográficas ni
siquiera se puede realizar esa inspección básica del tráfico y, por lo general, el cumplimiento de la
legislación local prevalece por sobre la política de la empresa.
Quizás pueda disipar los temores en torno a la captura del tráfico encriptado destacando la seguridad del
entorno de captura. Si los datos captados se almacenan en un dispositivo diseñado específicamente con
protecciones adecuadas de autorización y control del acceso, y los datos están protegidos en reposo, de
alguna manera, eso puede tranquilizar a las personas influyentes clave acerca de las políticas de descifrado.
Cuando se descifra para la supervisión y el análisis
forense, los datos pueden permanecer sin encriptar
indefinidamente. Debe ser consciente de este cambio, y
mucho más cuidadoso y riguroso sobre cómo y durante cuánto tiempo mantiene los datos sin
encriptar.
Securosis — Seguridad y privacidad en la red encriptada 12
La siguiente tabla enumera los dispositivos de supervisión que necesitan tráfico descifrado:
¿Por qué este dispositivo necesita
tráfico descifrado?
Capacidades de descifrado
nativas
Análisis de seguridad/técnicas
forenses de redes
La captura, indexación y búsqueda de
cargas útiles de paquetes requieren tráfico
descifrado.
Ninguna.
SIEM El análisis de aplicaciones, protocolos,
cantidad de datos y otros metadatos de las
sesiones requieren la secuencia de la red
descifrada.
Ninguna.
Problemas de RR. HH. y cumplimiento normativo
Como indicamos anteriormente, la implementación de políticas de descifrado tiene impactos significativos
en la privacidad y el cumplimiento normativo, y en algún momento (lo antes posible), las políticas deben
ser revisadas por abogados. Estas son algunas cuestiones que deben considerarse:
1. Variantes geográficas: si hace negocios en una región geográfica donde existe una gran
preocupación respecto a la privacidad, debe involucrar al equipo local lo antes posible,
especialmente en Europa. Probablemente, deberá trabajar con las autoridades locales o los
consejos de trabajadores para asegurarse de que las políticas de descifrado no violen la legislación
local, (por ejemplo, PCI-DSS, PIPEDA, FISMA, la Ley de Privacidad de Australia, la Ley de
Protección de Datos de Alemania, etc.) y las normativas de cumplimiento (además de las
normativas reglamentarias y legales). Algunos lugares restringen específicamente la suplantación
de sitios web, que incluye el descifrado intermediario del tráfico utilizando un certificado
intermedio. También existe una susceptibilidad considerable acerca de la vigilancia de los
empleados, por lo tanto, tenga en cuenta también las actitudes locales.
2. Soluciones de whitelisting: para abordar algunos de estos problemas debe considerar utilizar
soluciones de whitelisting para ciertas categorías de aplicaciones y sitios web, por lo general,
empresas financieras y de asistencia médica. Esto garantiza que no se descifren sitios en los que
existe una alta probabilidad de interceptar información confidencial o protegida. Por supuesto, los
atacantes lo saben muy bien y pueden utilizar servidores infectados en categorías de whitelists para
evitar el descifrado.
3. Cultura: algunas organizaciones tienen una mayor preocupación respecto a la protección de la
propiedad intelectual y los datos críticos, y exigen una mayor supervisión y seguridad. Si se
encuentra en un entorno de este tipo, podrá descifrar más. Otros son muy conservadores y no
supervisarán si existe una mínima posibilidad de que los empleados se sientan marginados o
sientan que no se ha respetado su privacidad. Es por eso que es tan importante trabajar junto con la
gerencia sénior y un asesor legal al definir las políticas. Evite tomar una decisión unilateral sobre
qué debe descifrar y qué debe dejar pasar.
Securosis — Seguridad y privacidad en la red encriptada 13
4. Documentación: incluso si todos aprueban las políticas, pueden tener problemas más adelante.
Por lo tanto, asegúrese de poder corroborar exactamente qué y cuándo se descifra mediante
documentación sólida. Además, asegúrese de poder probar quién tiene acceso a los datos (en
particular cuando se conservan para la supervisión y el análisis forense), y documente los flujos de
trabajo de la investigación para mostrar quién accedió a qué datos durante una investigación.
Puede hacerlo aprovechando los registros de los equipos de descifrado, y conservar informes de
políticas y flujos de trabajo del proceso de respuesta para probar lo que está haciendo, y lo que no.
Es mejor tener demasiada documentación que pedirles a los organismos reguladores como los
consejos de trabajadores (frecuentes en Europa, Medio Oriente y África [EMEA]) que confíen
ciegamente en usted.
Como es habitual, lo que debería ser un debate técnico bastante sencillo sobre qué y cómo descifrar recae
sobre la fangosa realidad de las normativas de políticas y privacidad. Ese es el juego que debemos jugar los
especialistas en seguridad. Cree las políticas utilizando un proceso inclusivo para desarrollar y actualizar lo
que se implementa según lo que se considere aceptable en su organización.
Securosis — Seguridad y privacidad en la red encriptada 14
Implementación y criterios
de selección
Ahora comprende cómo establecer políticas para el descifrado, los casos de uso específicos que impulsan el
descifrado del tráfico de la red, y las consideraciones en relación a los recursos humanos y el cumplimiento
normativo para crear políticas. Luego, debe comprender los matices técnicos a la hora de determinar dónde
descifrar, y cómo seleccionar e implementar la tecnología. Primero vamos a hablar un poco acerca de si
necesita un dispositivo independiente.
¿Independiente o integrado?
Tal como se analizó previamente, tiene muchas opciones en cuanto a dónde descifrar el tráfico, como
firewalls (NGFW y UTM), IPS, balanceadores de carga, y Gateways de Seguridad Web y de correo
electrónico. Obviamente, lo más simple sería utilizar un dispositivo existente tanto para el descifrado como
para la inspección. No tiene que agregar otras soluciones ni arriesgarse a estropear el esquema de
direcciones de la red, y puede aplicar políticas justo en el punto de descifrado/inspección. Un dispositivo de
seguridad puede descifrar el tráfico, inspeccionarlo, aplicar políticas y reencriptarlo, todo con una sola
solución. Para entornos con volúmenes de red limitados y políticas sencillas, los dispositivos integrados son
una excelente opción.
Pero las organizaciones que necesitan descifrar una gran
cantidad de tráfico de red suelen perjudicar rápidamente el
desempeño de dispositivos de seguridad existentes al
intentar descifrar en ellos; el descifrado incorporado puede
reducir el desempeño de otros dispositivos de seguridad
hasta un 80 %. Si cuenta con un gran margen de desempeño
en los dispositivos existentes, puede admitir la sobrecarga
del descifrado. Si no es así, deberá recurrir a otro dispositivo
para descargar la carga de descifrado, a fin de dejar que sus
dispositivos de seguridad hagan lo que mejor saben hacer:
inspeccionar el tráfico, aplicar políticas y supervisar o captar
el tráfico.
Si implementa varias aplicaciones móviles, web y de nube que requieren políticas más complejas
(o avanzadas), como tener que enviar el tráfico a varios dispositivos activos o de supervisión, y tiene varios
detonadores de políticas en toda la secuencia de la red y no puede limitar la inspección a solo el tráfico del
puerto 443 (HTTPS), las políticas de descifrado relativamente sencillas de un dispositivo integrado pueden
no ser suficientes. Además, si necesita enviar el tráfico descifrado a varios lugares, como un dispositivo de
Pero las organizaciones que necesitan descifrar una gran
cantidad de tráfico de red suelen perjudicar
rápidamente el desempeño de dispositivos de seguridad
existentes al intentar descifrar en ellos; el descifrado
incorporado puede reducir el desempeño de otros
dispositivos de seguridad
hasta un 80 %.
Securosis — Seguridad y privacidad en la red encriptada 15
análisis forense/captura de paquetes de red o SIEM, una solución integrada quizás no sea una opción
adecuada.
También debe contemplar el costo de una solución integrada frente a una opción de solución dedicada con
el tiempo. Si tiene una gran cantidad de dispositivos que requieren tráfico descifrado (como se describió
anteriormente) o espera una cantidad de tráfico encriptado cada vez mayor en su red, la necesidad de
aumentar el tamaño y la capacidad de los dispositivos nativos para una escalabilidad adecuada puede ser
muy costosa. El costo de CPU, memoria y conectividad de red adicionales en los dispositivos integrados
puede potencialmente duplicar o triplicar el costo de esa solución. No se olvide de los costos operativos,
dado que la administración de certificados y claves criptográficas en varios dispositivos nativos también
puede añadir costos operativos y complejidad a la opción integrada.
Nos gustan las opciones integradas cuando son viables, pero el pragmatismo exige la herramienta apropiada
para el trabajo, y agregar el descifrado a otro dispositivo es rara vez adecuado para entornos de alto tráfico
o entornos necesarios para enviar tráfico a varios dispositivos. Si el descifrado incorporado puede satisfacer
sus requisitos de desempeño y políticas, úselo.
Criterios de selección
Si decide utilizar un dispositivo de descifrado dedicado, ¿qué debe buscar? Estos son algunos aspectos que
debe considerar:
1. Desempeño: una gran parte del valor de un hardware dedicado reside en su capacidad de poder
escalarlo a medida que aumenta el volumen de tráfico. Asegúrese de que cualquier dispositivo o
dispositivos que compre se puedan escalar para adaptarse a los volúmenes de ancho de banda
actuales y futuros. No se meta en un callejón sin salida comprando equipos que deberán
reemplazase a medida que aumente el volumen de tráfico.
2. Compatibilidad con todos los puertos: una de las técnicas de evasión más fáciles que utilizan los
atacantes consiste simplemente en cambiar el número de puerto del tráfico saliente, enviando de
este modo el tráfico encriptado a un lugar donde no se espera ni se supervisa. Los dispositivos de
inspección no pueden confiar en los números de puerto, se necesita una inspección exhaustiva de
paquetes para detectar la evasión.
3. Precisión: la estrategia de descifrado depende en gran medida de las políticas, por lo tanto, para
que tenga éxito se necesita la identificación y categorización precisas del tráfico. Junto con
examinar la secuencia completa del tráfico, debe asegurarse de que sus dispositivos encuentren el
tráfico encriptado en forma precisa y lo categoricen de manera eficaz.
4. Acciones sobre políticas: asegúrese de que su dispositivo admita una variedad de acciones
distintas en una ejecución de políticas. Debe poder descifrar, no descifrar, descartar la sesión o
rechazar la sesión (con un código de error de HTTP). También es conveniente tener la capacidad
para incluir en listas los orígenes o destinos para descifrar siempre (blacklist) o no descifrar nunca
(whitelist), por grupo o usuario.
5. Compatibilidad con reputación/categorías de sitios web: dedicamos mucho tiempo a los
matices que conlleva el establecimiento de políticas, que por lo general contemplan los sitios web,
Securosis — Seguridad y privacidad en la red encriptada 16
las direcciones IP y las aplicaciones. Dada la rapidez con la que cambian las categorías y
reputaciones de sitios web (en minutos, o incluso segundos), es importante tener una fuente
dinámica de información actual en la que puedan basarse las políticas. Eso habitualmente significa
contar con algún tipo de servicio de categorización de sitios web que resida en la nube para las
soluciones de whitelisting (sitios de finanzas o de asistencia médica) o blacklisting (direcciones IP
maliciosas conocidas), junto con puntuación de reputación dinámica para sitios web y
aplicaciones.
6. Compatibilidad con varios dispositivos: dada la variedad de casos de uso del descifrado, estos
dispositivos deben ser flexibles en cuanto a cómo reenvían el tráfico y a cuántos dispositivos lo
reenvían. Por ejemplo, quizás quiera enviar el tráfico a un IPS para un control activo, y también a
un dispositivo de captura de paquetes o SIEM para la supervisión y el análisis forense. Es
importante que los dispositivos de descifrado interoperen en forma nativa con los dispositivos de
seguridad, de modo que (por ejemplo) cuando un IPS detecte tráfico de ataques (descifrado), el
dispositivo de descifrado pueda descartar esa sesión sin intervención humana.
7. Seguridad: estos son dispositivos de seguridad, por lo que debe asegurarse de que los datos y las
claves de descifrado/nuevo registro que se encuentren en los dispositivos estén protegidos.
También es conveniente tener la capacidad para rechazar/descartar sesiones si su seguridad no es
suficiente. Por ejemplo, un cifrado de encriptación débil podría poner en riesgo los datos; o podría
violar la política para transmitir datos encriptados que no pueden ser descifrados por el dispositivo
de seguridad, a fin de evitar que datos desconocidos salgan del entorno.
8. Transparencia: es importante asegurarse de que el descifrado no tenga un impacto en el
comportamiento de las aplicaciones ni en la interacción del usuario. Los usuarios finales
no deberían tener que preocuparse por la inspección de seguridad. Por otra parte, el dispositivo de
descifrado no debería alterar de ninguna manera los encabezados de paquetes, ya que eso podría
afectar la inspección de otros dispositivos de seguridad. Por supuesto, (probablemente) deberá
informar a los empleados que pueden ser supervisados (mediante un acuerdo sobre el uso de
Internet), pero el dispositivo de descifrado no debería afectar la experiencia del usuario.
9. Flexibilidad de implementación: hay una variedad de casos de uso para el descifrado, de modo
que es conveniente contar con un dispositivo que admita varios modelos de implementación para
satisfacer sus diversos requisitos presentes y futuros para descifrar el tráfico. Para dispositivos con
varios puertos debe tener flexibilidad en la manera de asignar puertos, así como en qué puertos
serán activos o pasivos, como se analizó previamente.
Implementación
La implementación del dispositivo de seguridad debe ser lo menos disruptiva posible. No querrá meterse
con los esquemas de direcciones IP, forzar a cada usuario a ver (o hacer clic en) una advertencia de
seguridad cada vez que realicen una conexión SSL, o hacer que el dispositivo manipule encabezados de
direcciones IP y complicar la supervisión y el análisis del tráfico. Usted quiere transparencia.
Securosis — Seguridad y privacidad en la red encriptada 17
Asegúrese de ver todo el tráfico relevante. No suponga que todo el tráfico
encriptado estará en ciertos puertos. Los atacantes por lo general ocultan el
tráfico encriptado en puertos extraños para evitar el descifrado. Para ello,
examine todo el tráfico para detectar datos encriptados, no solo los obvios
(HTTPS, FTPS, SMTPS, POP3S, etc.), y asegurarse de no pasar nada por
alto.
Existen algunas opciones de implementación si opta por un dispositivo de
descifrado dedicado:
1. Pasiva en línea: en esta configuración el dispositivo de descifrado está “puesto en el cable”, en
línea, para asegurar que todo el tráfico se pueda inspeccionar y descifrar de acuerdo con la
política. Una vez que se descifra el tráfico, el dispositivo puede reenviarlo a una variedad de
distintos dispositivos de seguridad para su inspección/supervisión, realizando un balanceo de
carga entre ellos si la capacidad es un problema. En esta implementación pasiva, el dispositivo de
descifrado no puede descartar ni bloquear sesiones, ni puede reencriptar el tráfico; solo copia el
tráfico en dispositivos de inspección y reenvía el tráfico encriptado original a la red.
2. Activa en línea: esta configuración es similar a la pasiva en línea, pero en este modo el
dispositivo puede aplicar políticas. Sobre la base de la política, el dispositivo descifra el tráfico y
lo reenvía para su inspección. Pone en cola cada sesión encriptada hasta que recibe un veredicto
desde otro dispositivo de seguridad. Si se aprueba la sesión, reencripta y envía el tráfico en su
camino. Las sesiones que tienen la apariencia de un ataque se descartan.
3. TAP pasiva: en este modo, el dispositivo de descifrado se conecta a un TAP de red o puerto
SPAN en un conmutador para recibir una copia de todo el tráfico. El dispositivo de descifrado
(junto con cualquier otro dispositivo que inspeccione el tráfico) es pasivo y no se encuentra en el
flujo del tráfico, por lo tanto, no se pueden aplicar políticas a través de él. También necesita las
claves privadas de los servidores para los cuales está destinado el tráfico, porque en esta
configuración no se encuentra en el medio del camino de la red y no puede reencriptar el tráfico.
Este modelo solo es adecuado para inspeccionar el tráfico hacia los servidores internos y, por lo
tanto, no muy común.
Los modelos de implementación en línea sitúan el dispositivo de manera eficaz como un intermediario
entre los empleados y sus destinos de sitios web. El dispositivo de descifrado termina las sesiones de
usuario y establece sesiones nuevas con sitios web de destino. Para evitar que el usuario vea un alerta de
seguridad cada vez que inicie una sesión segura, los usuarios deben confiar en un certificado emitido por el
dispositivo de descifrado. Esto significa cargar un certificado firmado en el explorador de cada usuario (por
lo general, mediante una política de estaciones de trabajo) o hacer firmar los certificados del dispositivo de
descifrado por una raíz en que los usuarios (exploradores) ya confían, como una Autoridad de certificación
(CA) pública.
Anteriormente mencionamos la importancia de la flexibilidad de la implementación, que incluye poder
asignar un determinado puerto como un puerto activo (potencialmente descarta los ataques) o pasivo (solo
emite alertas cuando se producen ataques) que envíe el tráfico a un control activo. Otro puerto puede enviar
No suponga que todo el tráfico encriptado estará en
ciertos puertos. Los atacantes por lo general ocultan el
tráfico encriptado en puertos extraños para evitar el
descifrado.
Securosis — Seguridad y privacidad en la red encriptada 18
tráfico en forma pasiva a un dispositivo de análisis de seguridad/técnicas forenses de redes. Y quizás desee
cambiar esas asignaciones sobre la base de los modelos de uso dinámico, de modo que la implementación
pueda reflejar las políticas a medida que evolucionan.
Estos dispositivos inspeccionan e influyen en el tráfico confidencial, por lo que la disponibilidad
es fundamental, excepto en las implementaciones de TAP pasivas, debido a que los TAP no se encuentran
en el flujo del tráfico. No obstante, para una configuración en línea, debe decidir qué sucede si el
dispositivo falla.
Las opciones incluyen:
1. Falla en la red: si el dispositivo falla, el tráfico se envía al puerto de red saliente, pero no a
dispositivos de inspección. Las sesiones se interrumpen, pero la falla elude la inspección y la
supervisión.
2. Falla en el dispositivo: si el dispositivo de descifrado falla, el tráfico se sigue enviando a los
dispositivos de inspección. El tráfico encriptado no se puede descifrar y proporciona medios
limitados para el examen (origen, destino, protocolo), pero el tráfico no encriptado se puede seguir
inspeccionando y supervisando/captando.
3. Falla en el cierre: esta configuración desconecta la red al no reenviar el tráfico cuando
el dispositivo de descifrado se encuentra inactivo. Esto asegura que no pase por alto un ataque al
poner la red completamente fuera de servicio.
La mayoría de las organizaciones eligen “falla en la red”. Si el descifrado falla, no están dispuestas
a detener todo el tráfico. Pero eso es algo que deberá determinar con la gerencia sénior, para garantizar que
comprendan el impacto que tiene.
Ahora que sabe cómo establecer políticas para controlar el tráfico encriptado, dónde descifrarlo, y los
criterios que deberían guiarlo a la hora de seleccionar dónde y cómo descifrar, está listo para lidiar con las
redes encriptadas.
Securosis — Seguridad y privacidad en la red encriptada 19
Resumen
Dada la sofisticación cada vez mayor de los atacantes y la probabilidad de que se arraiguen en su red, se
muevan lateralmente de manera sistemática hacia su objetivo, empaqueten datos críticos y los transfieran
sin autorización fuera de la red, lo que usted no ve puede matarlo. Por este motivo, se ha vuelto
imprescindible echar un vistazo a los datos encriptados que entran y salen de su red, al menos para
asegurarse de que no se trate de tráfico de comando y control o de que no estén filtrando información
crítica.
Sin embargo, el descifrado puede ser un asunto complicado. En primer lugar, debe identificar el tráfico
encriptado, luego asegurarse de tener las políticas adecuadas para descifrar las sesiones en riesgo, sin
infringir las normativas de protección de la privacidad de los empleados o los recursos humanos. También
debe asegurarse de que el descifrado no agregue una latencia excesiva ni cause un impacto inaceptable en
el desempeño de su red.
Las organizaciones tienen una variedad de opciones para
descifrar el tráfico, que incluyen el uso de dispositivos de
seguridad de redes existentes o la implementación de un
dispositivo de descifrado dedicado. Las organizaciones con
requisitos modestos de descifrado por lo general pueden
utilizar un dispositivo existente, pero las organizaciones que
necesitan alto rendimiento o flexibilidad en la
implementación deben optar por dispositivos dedicados.
En este documento se describió cómo establecer políticas,
determinar qué tipo de dispositivo podrá satisfacer sus
requisitos y seleccionar un dispositivo de descifrado dedicado. Dado que los atacantes no se pueden detener
por completo, poder reaccionar mejor y más rápido es la única opción real. La red encriptada se está
convirtiendo en una realidad cada día, lo que significa que la única manera eficaz de aplicar políticas de
seguridad, detectar ataques y supervisar las redes es ver todo el tráfico. Cuanto más pronto implemente una
estrategia de administración del tráfico encriptado y una arquitectura de seguridad de red de apoyo, más
probabilidades tendrá de detectar al próximo atacante con las manos en la masa.
Si tiene alguna pregunta sobre este tema, o desea analizar su situación en particular, no dude en escribirnos
a info@securosis.com.
La red encriptada se está convirtiendo en una realidad cada día, lo que significa que
la única manera eficaz de aplicar políticas de seguridad, detectar ataques y supervisar
las redes es ver todo el
tráfico.
Securosis — Seguridad y privacidad en la red encriptada 20
Acerca del analista
Mike Rothman, analista y presidente
Las perspectivas audaces y el estilo irreverente de Mike son invaluables para las empresas a la hora de determinar
estrategias eficaces para lidiar con el panorama de amenazas de seguridad dinámicas. Mike se especializa en los
aspectos atractivos de la seguridad, como la protección de redes y dispositivos terminales, la administración de la
seguridad y el cumplimiento normativo. Mike es uno de los oradores y comentaristas más buscados en el negocio de la
seguridad, cuenta con una gran experiencia en seguridad de la información. Después de 20 años en el campo de la
seguridad, es uno de los que conocen los secretos del espacio.
Mike, quien comenzó su carrera como programador y consultor de redes, se sumó a META Group en 1993 y encabezó
la incursión inicial de META en la investigación de seguridad de la información. Mike se fue de META en 1998 y
fundó SHYM Technology, una empresa pionera en el mercado del software de infraestructura de clave pública (PKI), y
luego desempeñó funciones ejecutivas en CipherTrust y TruSecure. Cuando se cansó de la vida de proveedor, Mike
fundó Security Incite en 2006 para ser una voz racional en una industria de la seguridad sobredimensionada, pero
decepcionante. Después de un breve desvío como vicepresidente sénior de Estrategia en eIQnetworks para alcanzar
grandes logros en administración de seguridad y cumplimiento normativo, Mike se sumó a Securosis con un cinismo
rejuvenecido sobre el estado de la seguridad y lo que se necesita para sobrevivir como un profesional de la seguridad.
Mike publicó The Pragmatic CSO <http://www.pragmaticcso.com/> en 2007 para introducir a los profesionales de la
seguridad con orientación técnica a los matices de lo que se necesita para ser un profesional de la seguridad sénior.
También posee un valioso título en ingeniería en Investigación de Operaciones e Ingeniería Industrial de la Universidad
de Cornell. A su gente le encanta que usa literalmente cero por ciento de su educación a diario. Pueden contactarlo en
mrothman (arroba) securosis (punto) com.
Securosis — Seguridad y privacidad en la red encriptada 21
Acerca de Securosis
Securosis, LLC es una empresa de investigación y análisis independiente que se dedica al liderazgo intelectual, la
objetividad y la transparencia. Nuestros analistas han ocupado puestos ejecutivos y se dedican a brindar servicios de
consultoría pragmáticos y de alto valor. Nuestros servicios incluyen:
• Principales publicaciones de investigaciones: actualmente, publicamos la gran mayoría de nuestras investigaciones
en forma gratuita a través de nuestro blog y las archivamos en nuestra Biblioteca de investigaciones. La mayoría de
estos documentos de investigación pueden ser patrocinados para su distribución una vez al año. Todos los materiales
publicados y las presentaciones cumplen con nuestros estrictos requisitos de objetividad y se ajustan a nuestra
política de investigación totalmente transparente.
• Productos de investigación y servicios de consultoría estratégicos para usuarios finales: Securosis va a presentar
una línea de productos de investigación y servicios de suscripción basados en consultas diseñados para ayudar a
organizaciones de usuarios finales a acelerar el éxito de los programas y proyectos. También se encuentran
disponibles proyectos de consultoría adicionales, que incluyen asistencia para la selección de productos, estrategia de
tecnología y arquitectura, educación, evaluaciones de la administración de la seguridad y evaluaciones de riesgo.
• Servicios para proveedores con pago anticipado: aunque aceptaremos instrucciones de cualquier persona, algunos
proveedores optan por una relación continua más cercana. Ofrecemos una serie de paquetes de pago anticipado
flexibles. Los servicios disponibles como parte de un paquete de pago anticipado incluyen estrategia y análisis de
productos y del mercado, orientación sobre la tecnología, evaluación de productos y evaluación de fusiones y
adquisiciones. Incluso con clientes pagos, mantenemos nuestros estrictos requisitos de objetividad y
confidencialidad. Hay información adicional disponible sobre nuestros servicios con pago anticipado (PDF).
• Disertaciones externas y editorial: los analistas de Securosis a menudo hablan en eventos de la industria, realizan
presentaciones en línea y escriben o hablan para una variedad de publicaciones y medios.
• Otros servicios especializados: los analistas de Securosis también se encuentran disponibles para otros servicios,
entre ellos, días de consultoría estratégica, encuentros de consultoría de estrategia y servicios para inversores. Suelen
ser personalizados para satisfacer los requisitos particulares del cliente.
Nuestros clientes abarcan desde empresas nuevas hasta algunos de los usuarios finales y proveedores de tecnología más
conocidos. Los clientes incluyen grandes instituciones financieras, inversores institucionales, empresas medianas e
importantes proveedores de seguridad.
Además, Securosis se asocia con laboratorios de análisis de seguridad para ofrecer evaluaciones de productos únicas
que combinan análisis técnico en profundidad con análisis de alto nivel de productos, arquitecturas y mercados. Para
obtener más información acerca de Securosis, visite nuestro sitio web: <http://securosis.com/>.