Acontecimientos de la última década como el caso Snowden, la fuga de datos revelada por Shadow Brokers o el efecto nocivo de Wannacry, NotPetya, y, más recientemente, Bad Rabbit han demostrado una cosa: las soluciones de seguridad son juzgadas y criticadas tan pronto como se plantea la menor duda sobre su efectividad o confiabilidad.
Esta situación pone de manifiesto el gran desafío al que se enfrentan los proveedores de ciberseguridad, al tener que garantizar que las operaciones que realizan sus tecnologías de seguridad son confiables. Todos sabemos que la economía digital solo puede florecer en un ambiente de confianza.
Índice de temas
El tráfico cifrado
Para los proveedores de seguridad de red, el cifrado del tráfico es uno de los pilares clave para lograr un ecosistema digital confiable. En este contexto, Gartner prevé que, en 2019, el 80% del tráfico online de las empresas será cifrado, sin duda, una buena noticia. Sin embargo, esto también permitirá a un número cada vez mayor de programas maliciosos (incluido ransomware) aprovechar HTTPS para ocultar la infección inicial y tomar el control de las comunicaciones.
Una debilidad en los productos que llevan a cabo el descifrado y la inspección SSL podría hacer colapsar toda la cadena de confianza
Frente a esta situación, Gartner recomienda que las empresas y organizaciones formalicen un plan a varios años vista para implementar soluciones de descifrado HTTPS, además de un programa de inspección. Esta técnica de inspección SSL se basa en el método man-in-the-middle, lo que significa que crearemos una vulnerabilidad en las comunicaciones y los intercambios seguros. Una debilidad en los productos que llevan a cabo el descifrado y la inspección SSL podría hacer colapsar toda la cadena de confianza.
Soluciones potenciales: luces y sombras
Para paliar esta situación y devolver a los usuarios la confianza, existen diferentes alternativas. Así, una primera opción es la de optar por pruebas llevadas a cabo por empresas externas especializadas en evaluar tecnología de seguridad. Sin embargo, estos test, en los que se juzga la efectividad de los mecanismos de protección, pueden ser muy costosos y no se centran realmente en el diseño de seguridad.
Otra alternativa es confiar en el marco definido por Common Criteria, adoptado por 26 países. Aquí, no obstante, al ser el proveedor quien define el alcance de la evaluación, ésta puede terminar limitándose a una pequeña parte del software auditado. Además, solo ciertos países miden la importancia y evalúan la relevancia de este objetivo de seguridad.
Los programas bug bounty, software de análisis de código estático o auditorías independientes para detectar y corregir fallas, pueden mejorar la seguridad tecnológica, incluso desde el diseño, pero es difícil mostrarlos como garantía para los usuarios.
Por último, están las certificaciones oficiales, las cuales juegan un papel importante. Por ejemplo, en Francia, ANSSI (la Agencia Nacional Francesa de Seguridad de la Información) evalúa el nivel de fiabilidad de los productos de seguridad utilizando un marco de calificación específico, que es una extensión de los principios de Common Criteria. Este marco define tres niveles de calificación basados ??en objetivos de seguridad predefinidos. Como resultado, este método proporciona pruebas de que los productos son robustos y de que no existen vulnerabilidades que puedan abrir una puerta trasera.
La necesidad de contar con un marco general
El hecho de que este marco de cualificación solo sea reconocido en Francia plantea un problema. La Comisión Europea parece haber entendido este mensaje; recientemente lanzó una iniciativa para crear un marco general de certificación en el continente. Sin duda, esta medida constituirá un paso adelante.
Al final, un marco que infunda confianza en las TI se desarrollará inevitablemente a través de una mejor colaboración y cooperación entre todos los interesados ??en el ecosistema cibernético. El intercambio continuo entre los sectores público y privado, la creación de alianzas entre proveedores de soluciones de seguridad cibernética y la participación del cliente en el proceso de desarrollo (es decir, el diseño colaborativo) sin duda aumentará la confiabilidad y la efectividad del hardware de protección.
