Escaneo HTTPS: por qué debería estar activado en Sophos

Con el tema del “cifrado” pasa algo curioso: ¿no tenéis también la sensación de que se oye hablar de ello continuamente, se comenta mucho, pero su adopción avanza más bien despacio? Con el proyecto “Let’s Encrypt”, al menos la comunicación cifrada en Internet entre una página web y un visitante ha recibido un impulso enorme. Gracias a los certificados SSL gratuitos, “Let’s Encrypt” aspira a convertir la conexión cifrada en el nuevo estándar.

En este artículo del blog quiero mostrar qué significa esto para vuestro Sophos Firewall cuando, de repente, la mayor parte del tráfico web pasa a estar cifrado.

Los inicios de “https://”

Retrocedamos unos años en la historia y veamos cómo ha sido la evolución de “https://” en Internet. En el contexto de la Avanet, hemos vivido esta época sobre todo a través de iniciativas de Google. Disculpad, por tanto, que la siguiente pequeña cronología esté tan “centrada en Google”.

• 2010 - Google cifra las búsquedas (BETA)
• 2011 - YouTube pasa a cifrarse de forma predeterminada
• 2013 - Edward Snowden afirma que un buen cifrado es seguro
• 2013 - (marzo) La búsqueda de Google pasa a cifrarse por defecto
• 2014 - Google favorece las páginas HTTPS y las posiciona mejor para incentivar el cambio
• 2015 - (03.12.2015) Let’s Encrypt entra en beta pública para todos
• 2016 - (09.03.2016) Let’s Encrypt ya ha emitido 1 millón de certificados
• 2016 - (13.04.2016) Let’s Encrypt finaliza la fase beta
• 2016 - (16.10.2016) El cifrado HTTPS en la Web alcanza por primera vez el 50 %
• 2017 - (24.10.2017) 71 de las 100 páginas más visitadas utilizan HTTPS
• 2018 - (febrero) 81 de las 100 principales páginas web usan HTTPS por defecto

1,7 millones de certificados para más de 3,8 millones de páginas web.

Desde nuestro punto de vista, Google ha contribuido de forma decisiva, aprovechando su peso como gigante de las búsquedas, a que cada vez más administradores web equipen sus sitios con un certificado SSL. Al anunciar que, en el futuro, las conexiones cifradas también influirán en el posicionamiento de una página web, prácticamente se les obliga a implementar un certificado SSL. Gracias a Let’s Encrypt, ahora además puede hacerse de forma gratuita.

*Por supuesto, nosotros también hemos probado “Let’s Encrypt”. Desde enero de 2016, este blog está protegido con un certificado de Let’s Encrypt.

Cifrado y seguridad

La gráfica anterior deja ya bastante claro que es muy probable que las páginas web cifradas se conviertan en el estándar. En principio, esto es algo positivo, ¿no? Sí y no. Para un visitante es estupendo que la comunicación entre él y la página web a la que accede esté cifrada. Especialmente en tiendas online, donde se transmiten datos sensibles, esto genera un plus de confianza. Para vuestro firewall, que necesita analizar el tráfico para detectar malware, desde el punto de vista de la seguridad la situación ya no es tan ideal.

Un firewall “normal” no puede analizar tráfico cifrado.

Evitar el “vuelo a ciegas” de vuestra Sophos

Ahora bien, un firewall SOPHOS no es un firewall “normal”. 🙂 Muchos ya sabréis que la UTM puede analizar conexiones SSL desde hace bastante tiempo. El requisito, por supuesto, es disponer de una licencia válida de Web Protection.

Sin embargo, seguimos encontrando relativamente pocas configuraciones en las que esta función esté realmente activada. La consecuencia es que todo el tráfico HTTPS no se analiza en busca de malware y también las conexiones a botnets atraviesan la UTM sin ser detectadas. Esto afecta tanto a la UTM como a la XG. En este punto solo puedo recomendar encarecidamente que activéis el análisis HTTPS en vuestra SOPHOS.

Un ejemplo práctico

Para terminar, veamos brevemente cómo se presenta el tráfico HTTPS en la práctica. En uno de los firewalls de nuestros clientes, por ejemplo, la situación es la siguiente:

Como administro ya varios firewalls, puedo confirmar que en algunos de ellos el tráfico HTTPS es claramente mayoritario. Por supuesto, esto depende de la empresa y de sus patrones de navegación. En resumen, puedo decir que, en todos los firewalls que hemos analizado, el tráfico HTTPS se sitúa de media por encima del 30 %. Esto significa que, sin un análisis HTTPS, casi un tercio del tráfico pasaría por el firewall sin ser inspeccionado.

En una época en la que el ransomware se oculta en código JavaScript de páginas web comprometidas, hay que aprovechar todas las capacidades del firewall. Aseguraos, por tanto, de incluir estos puntos en vuestra lista de tareas:

• Activar el análisis HTTPS
• Utilizar Sandboxing (Sophos Sandstorm)
• Implementar antivirus con HIPS y Malicious Traffic Detection
• Formar a los usuarios en profundidad

Conclusión

Mientras que antes era relativamente poco habitual que las páginas web contaran con un certificado SSL, gracias a Let’s Encrypt ahora es muy sencillo y, además, gratuito emitir uno propio. Las estadísticas lo muestran con claridad: en el futuro probablemente solo habrá tráfico web cifrado. Por ello, recomendamos encarecidamente activar y configurar el análisis HTTPS en la UTM o en la XG.

El tiempo no se detiene y, precisamente aquí, se aprecia muy bien que un firewall no puede quedarse en una esquina durante 5 años sin tocarlo. Un mantenimiento regular y revisiones periódicas son totalmente imprescindibles para estar preparados frente a nuevas amenazas.