Securosis, L.L.C. 515 E. Carefree Highway Suite #766 Phoenix, AZ 85085 T 602-412-3051

info@securosis.com www.securosis.com

Securosis — Seguridad

y privacidad en la red

encriptada

Versión 1.5

Publicado: 20 de enero de 2015

Securosis — Seguridad y privacidad en la red encriptada 2

Nota del autor

El contenido de este informe se creó en forma independiente de cualquier patrocinador. Se basa en material

que se publicó originalmente en el blog de Securosis, pero ha sido mejorado, revisado y editado

profesionalmente.

Un agradecimiento especial a Chris Pepper por su ayuda con el contenido y la edición.

Derechos de autor

Este informe se distribuye bajo licencia de Creative Commons

Attribution-Noncommercial-No Derivative Works 3.0.

http://creativecommons.org/licenses/by-nc-nd/3.0/us/deed.es

Blue Coat otorga poder a las empresas para elegir en forma segura las mejores aplicaciones, servicios, dispositivos, fuentes de datos y

contenidos que se ofrecen en el mundo, a fin de que puedan crear, comunicar, colaborar, innovar, ejecutar, competir y ganar en sus mercados. Blue

Coat tiene una extensa trayectoria en la protección

de organizaciones, sus datos y sus empleados, y es la marca de confianza de 15.000 clientes en todo el

mundo, que incluyen el 78 % de las empresas Fortune Global 500. Con una sólida cartera de

propiedad intelectual respaldada por más de 200 patentes y patentes en trámite, la empresa continúa

impulsando innovaciones que garantizan la continuidad del negocio, la agilidad y la

gobernabilidad. www.bluecoat.com

Este informe cuenta con la licencia de Blue Coat,

cuyo apoyo nos permitió publicarlo sin cargo.

Todo el contenido se creó en forma independiente.

Securosis — Seguridad y privacidad en la red encriptada 3

Seguridad y privacidad

en la red encriptada

Índice

El futuro está encriptado 4

¿Por qué es necesario descifrar? 5

Casos de uso 6

¿Qué se debe descifrar? 6

¿Dónde se debe descifrar? 7

Aplicación de políticas de seguridad 9

Supervisión y técnicas forenses 10

Problemas de RR. HH. y cumplimiento normativo 12

Implementación y criterios de selección 14

¿Independiente o integrado? 14

Criterios de selección 15

Implementación 16

Resumen 19

Acerca del analista 20

Acerca de Securosis 21

Securosis — Seguridad y privacidad en la red encriptada 4

El futuro está encriptado

La nube y la movilidad están afectando la manera en que el departamento de TI genera y ofrece valor a las

organizaciones. Posiblemente esté trasladando las cargas de trabajo informáticas a la nube y almacenando

una cantidad de datos cada vez mayor fuera del perímetro de la empresa, o tal vez ahora una proporción de

empleados cada vez mayor accede a los datos fuera de su

red corporativa, pero usted ya no tiene un control general de

las redes ni los dispositivos. De modo que los equipos de

seguridad deben adaptar sus modelos para proteger los

datos. Para obtener más detalles sobre esta interrupción,

consulte nuestra reciente investigación El futuro de la

seguridad.

Pero ese no es el único motivo por el que las organizaciones

se ven obligadas a adaptar sus posiciones de seguridad. Las “amenazas internas”, que a menudo se analizan

pero rara vez se abordan, ya no se pueden ignorar. Dada la manera en que los atacantes están perjudicando

los dispositivos, realizando exploraciones para encontrar objetivos vulnerables y husmeando el tráfico de la

red para robar credenciales, en algún momento durante cada ataque, el adversario se convierte en un

infiltrado con credenciales para acceder a sus datos más confidenciales. Ya sea que se trate de un

adversario externo o interno, en algún momento ingresará a su red.

Por último, una mayor colaboración entre los socios comerciales significa que las personas fuera de su

organización necesitan acceso a sus sistemas y viceversa. Este acceso no debería imponer un importante

riesgo adicional a su entorno, por lo que esas

conexiones se deben proteger para garantizar

que no se produzca un robo de datos.

Estas tendencias significan que las

organizaciones no tienen otra alternativa

más que encriptar más tráfico en sus redes.

El encriptado de la red evita que los

adversarios husmeen el tráfico para robar

credenciales y garantiza que los datos que

salen de la organización estén protegidos de

ataques de “intermediario”. Por lo tanto, prevemos que, durante los próximos 2 a 3 años, se encriptará un

mayor porcentaje de tráfico de red interno y externo.

En algún momento durante cada ataque, el adversario se convierte en un infiltrado con credenciales para acceder a

sus datos más confidenciales.

El encriptado de la red afecta la inspección del tráfico y la aplicación de

políticas de seguridad. Las redes encriptadas también dificultan la

supervisión de seguridad porque el tráfico se debe descifrar a la velocidad de la conexión para su captura y análisis

forense.

Securosis — Seguridad y privacidad en la red encriptada 5

¿Por qué es necesario descifrar?

A pesar de lo expuesto antes, ninguna buena acción queda sin castigo. El encriptado de la red afecta

negativamente su capacidad para inspeccionar el tráfico y aplicar políticas de seguridad. Por lo tanto, el

aumento del tráfico encriptado afecta su visibilidad para detectar el contenido confidencial que sale de su

red. Esta pérdida de datos no siempre está relacionada con atacantes avanzados que realizan transferencias

no autorizadas de sus datos, ya que los empleados pueden enviar información involuntariamente fuera de la

red dentro de una sesión encriptada. Las redes encriptadas también dificultan la supervisión de seguridad

porque el tráfico se debe descifrar a la velocidad de la conexión para su captura y análisis forense. Salvo

que tenga una estrategia para la administración del tráfico encriptado, corre el riesgo de una filtración de

datos fundamentales para la empresa.

Deberá contemplar las otras implicancias de descifrar el tráfico de la red. Por ejemplo, el descifrado del

tráfico también presenta problemas de cumplimiento normativo y plantea consideraciones relacionadas con

los recursos humanos, que deben tenerse en cuenta en sus planes al tratar de lidiar con el aumento del

tráfico encriptado, que aparece con mayor intensidad en sus redes.

Este documento analizará políticas de seguridad para garantizar que no se produzcan filtraciones de datos a

través de túneles encriptados, y que los empleados cumplan con políticas corporativas de uso aceptable,

descifrando el tráfico según sea necesario. Luego, nos abocaremos a la supervisión de seguridad y las

técnicas forenses, mediante el análisis de estrategias de descifrado del tráfico a fin de garantizar que pueda

emitir alertas cuando se produzcan eventos de seguridad e investigar los incidentes de manera adecuada.

Concluiremos con orientación sobre cómo solucionar los problemas relacionados con los recursos humanos

y el cumplimiento normativo, ya que una fracción cada vez mayor del tráfico de red está encriptada.

Securosis — Seguridad y privacidad en la red encriptada 6

Casos de uso

Como mencionamos anteriormente, nuestra incapacidad para inspeccionar el tráfico encriptado afecta

nuestra capacidad para aplicar políticas o controles de seguridad y cumplir con las normativas.

Analizaremos a fondo cómo descifrar el tráfico estratégicamente para abordar casos de uso clave, lo que

incluye la aplicación de políticas de seguridad y la supervisión de la seguridad y el cumplimiento

normativo. También debemos tener en cuenta los problemas de RR. HH. y privacidad asociados con el

descifrado del tráfico, dado que nadie querrá terminar en el lado equivocado de un consejo de trabajadores

protestando por su enfoque de seguridad de red.

¿Qué se debe descifrar?

El primer paso para obtener visibilidad de la red encriptada

es establecer políticas que indiquen cuándo se descifrará el

tráfico y durante cuánto tiempo permanecerá descifrado,

dado que los datos quedan desprotegidos (en formato

descifrado) hasta que se vuelven a encriptar. Estas

decisiones son impulsadas por la cultura organizacional, por

lo tanto, deberá determinar lo que funcionará para su

organización. Como especialistas en seguridad, preferimos

un mayor descifrado a fin de permitir una inspección más

integral y, por consiguiente, una supervisión y aplicación de

políticas más sólidas. Pero es una elección específica de cada empresa.

Varios factores influyen en las políticas de descifrado, principalmente las propias aplicaciones.

Probablemente descifrará algunas aplicaciones principales:

1. Webmail: los empleados creen que le están haciendo un favor a su organización trabajando a toda

hora del día. Pero esta fuerza de trabajo siempre conectada utiliza dispositivos personales y puede

decidir (aunque sea imprudente) que es más fácil enviar documentos de trabajo a equipos

personales a través de cuentas de correo electrónico personales. ¿Qué podría salir mal? Y, por

supuesto, hay muchos usos maliciosos de webmail en un entorno corporativo, ya que es un medio

común para la transferencia no autorizada de datos confidenciales. Hay agentes de DLP de

terminales para detectar este comportamiento, pero si no los tiene implementados debe

inspeccionar el tráfico de webmail saliente y buscar palabras clave o contenido que no debería

enviarse fuera de la organización. Como la mayor parte del webmail ahora está encriptado, debe

descifrar estas sesiones para poder inspeccionar el tráfico.

Como especialistas en seguridad, preferimos un mayor descifrado a fin de

permitir una inspección más integral y, por consiguiente, una supervisión y aplicación

de políticas más sólidas. Pero es una elección específica de

cada empresa.

Securosis — Seguridad y privacidad en la red encriptada 7

2. Explorador web: los sitios de redes sociales y otras propiedades web utilizan contenido generado

por el usuario que puede estar protegido o ser confidencial para su organización, por lo que debe

asegurarse de poder aplicar políticas también en el tráfico general de las aplicaciones web. Las

aplicaciones utilizan cada vez más SSL/TLS, en forma predeterminada, por lo que deberá descifrar

para aplicar políticas de uso aceptable y proteger los datos.

3. Aplicaciones de SaaS: las funciones empresariales están migrando cada vez más a software como

servicio (SaaS), por lo que debe inspeccionar el tráfico de SaaS. Quizás desee aplicar políticas de

contenido más estrictas en las aplicaciones de SaaS, dado que usted no controla la seguridad de los

datos en un entorno de SaaS, pero primero debe descifrar el tráfico para la inspección y aplicación

de políticas. Además, tenga en cuenta que algunas de estas aplicaciones pueden usar puertos no

estándares (aparte del típico TCP 443), lo que hace más complicado inspeccionar el tráfico de esa

aplicación específica.

4. Aplicaciones personalizadas: las aplicaciones web personalizadas y las aplicaciones web de los

socios también requieren un control riguroso ante la gran probabilidad de que utilicen datos

confidenciales. Al igual que con las aplicaciones de SaaS, es conveniente aplicar políticas

granulares para estas aplicaciones, por lo que debe descifrar.

En síntesis, si una aplicación tiene acceso a datos críticos o protegidos, debe descifrar e inspeccionar su

tráfico. No obstante, atributos secundarios pueden impedir o exigir el descifrado. Por ejemplo, ciertos

sitios/aplicaciones web, tales como sitios financieros y de asistencia médica para el consumidor final, se

deben incluir en la whitelist (nunca se deben descifrar) porque manejan datos privados de los empleados.

Otro disparador de políticas serán los empleados individuales y los grupos. Quizás no quiera descifrar el

tráfico del equipo legal debido a que probablemente esté protegido y sea confidencial. Y, por supuesto,

algunas personas requieren excepciones. Por ejemplo, el CEO puede hacer lo que desee y puede aprobar

una excepción para su propio tráfico. Habrá otras excepciones, se lo garantizamos, así que asegúrese de que

sus políticas sean lo suficientemente flexibles para adaptarse a la cultura y los requisitos de su empresa. Por

ejemplo, es probable que el tráfico de todos los usuarios de una aplicación se tenga que inspeccionar

siempre debido a la confidencialidad de sus datos. Del mismo modo, quizás el tráfico de un grupo de

usuarios no se inspeccionará en absoluto debido a la confidencialidad de ese trabajo en particular. Debe

tener la flexibilidad necesaria para descifrar el tráfico a fin de aplicar políticas sobre la base de aplicaciones

y usuarios/grupos, para adecuarse con precisión a los requisitos y procesos de la empresa.

¿Dónde se debe descifrar?

Ahora que sabe qué descifrar, debe determinar el mejor lugar para hacerlo. La respuesta depende de las

aplicaciones que se deben inspeccionar y los dispositivos que necesitan los datos para la supervisión o la

aplicación de políticas.

1. Firewall: los firewalls por lo general adoptan la función del descifrado porque están en línea para

la salida y el acceso y ya aplican políticas, sobre todo a medida que evolucionan hacia firewalls de

próxima generación (NGFW) con reconocimiento de aplicaciones. El descifrado es muy exigente

Securosis — Seguridad y privacidad en la red encriptada 8

desde el punto de vista computacional, por lo que puede enfrentarse a problemas de escalabilidad,

incluso para firewalls más grandes y más potentes.

2. IPS: como tecnología de inspección, IPS resulta ineficaz si no puede inspeccionar el tráfico

encriptado. Para resolver esto, algunas organizaciones descifran en sus dispositivos de IPS. La

función de IPS es más exigente desde el punto de vista computacional que aplicar políticas de

control de acceso en un firewall, por lo que los dispositivos de IPS dedicados suelen tener más

potencia, lo que facilita el descifrado. Pero la escalabilidad puede ser un problema incluso bajo

una carga pesada de descifrado.

3. Gateway de Seguridad Web: como dispositivos de inspección y aplicación de políticas para el

tráfico web, los filtros web también necesitan descifrar el tráfico. Suelen no tener la potencia

suficiente en comparación con otros dispositivos en el perímetro, por lo tanto, salvo que haya una

cantidad mínima de tráfico encriptado, pueden quedarse sin combustible rápidamente y entorpecer

el tráfico web saliente.

4. Dispositivo de descifrado de SSL dedicado: para las organizaciones con una gran cantidad de

tráfico encriptado, lo que es cada vez más común, se encuentran disponibles dispositivos de

descifrado dedicados que se especializan en el descifrado del tráfico sin afectar a los empleados.

Ofrecen flexibilidad en la manera de enrutar el tráfico descifrado para los controles activos (FW,

IPS, filtro web, etc.) y la supervisión, y luego reencriptar el tráfico que debe continuar hasta

Internet. A continuación, brindaremos información específica sobre cómo seleccionar e

implementar estos dispositivos.

5. Ofertas que residen en la nube: a medida que maduran las ofertas de seguridad como servicio

(SECaaS), las organizaciones tienen la opción de descifrar en la nube, trasladando la

responsabilidad de la escalabilidad a un proveedor de servicios. Pero esto requiere descifrar e

inspeccionar datos potencialmente confidenciales en la nube, lo que puede plantear un desafío

cultural o reglamentario.

Por lo general, todos estos dispositivos se implementan dentro del perímetro de su red, por lo que no se

pueden detectar los atacantes que encriptan el tráfico de

exploración interna, o el tráfico que sale del centro de datos

hacia un servidor de almacenamiento provisional dentro de su

red interna. Para solucionar estos problemas puede elegir

configurar un dispositivo existente (probablemente un firewall

o IPS) internamente frente a su centro de datos, para descifrar,

aplicar políticas de seguridad e inspeccionar el tráfico. Vemos

cada vez más este modelo de implementación para los equipos

de seguridad de redes, aunque las características del tráfico de

red interno difieren de las del tráfico del perímetro. La

escalabilidad es fundamental en entornos de centros de datos,

que por lo general tienen redes internas de múltiples gigabits.

Es muy común que los atacantes sofisticados

encripten el tráfico hacia y desde los dispositivos

afectados. Si no descifra el tráfico de salida y acceso, no

podrá detectar ciertos ataques.

Securosis — Seguridad y privacidad en la red encriptada 9

Para garantizar la escalabilidad, es conveniente evaluar el impacto del descifrado en el desempeño. Según

pruebas de laboratorio independientes realizadas por organizaciones como NSS Labs, el desempeño puede

verse afectado en hasta un 80 % al descifrar en firewalls y dispositivos de IPS. Obviamente, la capacidad

adecuada para volúmenes de tráfico típicos es un requisito fundamental de la arquitectura y la

implementación.

Aplicación de políticas de seguridad

Nuestro primer caso de uso es la aplicación activa de políticas de seguridad. Esto involucra el descifrado de

tráfico y luego la aplicación de políticas mediante dispositivos tradicionales, que incluyen firewalls, IPS,

filtros web, balanceadores de carga, etc. Es muy común que los atacantes sofisticados encripten el tráfico

hacia y desde los dispositivos afectados. Si no descifra el tráfico de salida y acceso, no podrá detectar

ciertos ataques. Puede ignorar máquinas recientemente infectadas que se conecten al mothership

(controlador de bots) junto con las descargas de malware resultantes, debido a que el tráfico de Comando y

control (C&C) está encriptado. Otro punto ciego es la transferencia no autorizada de datos confidenciales,

que se encuentra permanentemente encriptada.

La siguiente tabla analiza algunos de los dispositivos en los que se necesita tráfico descifrado para aplicar

las políticas adecuadamente.

¿Por qué este dispositivo

necesita tráfico descifrado?

Capacidades de descifrado

nativas

IPS Los datos de las redes y aplicaciones necesarios para

el análisis están ocultos por el encriptado; no se

pueden igualar a las firmas de intrusos.

Limitadas. Importante disminución

de desempeño.

NGFW La clasificación de aplicaciones por lo general

requiere una inspección exhaustiva de paquetes que

está encriptada; la protección integrada contra

amenazas (IPS) necesita tráfico descifrado (consultar

más arriba).

Por lo general, el descifrado SSL

disminuye el desempeño entre el 50

y el 80 %.

DLP La DLP requiere la inspección de cargas útiles de

datos para comparar con los datos controlados

(p. ej., números de tarjetas de crédito, SSN, etc.).

Ninguna.

Sandbox de malware

basado en la red

Los archivos que transportan cargas útiles maliciosas

a menudo viajan a través de túneles encriptados

(SSL). Sin el descifrado, los archivos de malware

no son detonados para el análisis.

Ninguna.

Gateway de Web Los Gateways de Web necesitan descifrar las

solicitudes HTTP para comparar con las políticas de

filtrado; la integración con gateways antimalware y

sandboxes basados en la red necesita descifrar esos

archivos.

Los Gateways de Web en el nivel del

proxy pueden descifrar SSL.

Degradación potencialmente

significativa del desempeño del

dispositivo.

Securosis — Seguridad y privacidad en la red encriptada 10

Las consideraciones clave para descifrar el tráfico y enviarlo a un dispositivo de seguridad activo son las

siguientes:

1. Capacidad: las redes son cada vez más rápidas, y debe inspeccionar el tráfico a la velocidad de la

conexión (o a una velocidad muy cercana). El descifrado y reencriptado hacen un uso intensivo de

los recursos, por lo que debe asegurarse de que su capacidad de descifrado pueda ampliarse lo

suficiente en el dispositivo que elija para el descifrado. Suponga que (por ahora) entre el 20 y el

40 % de su tráfico estará encriptado y planifique una capacidad de descifrado según corresponda.

2. Latencia: muchas aplicaciones son en tiempo real o sumamente interactivas, por lo que no es

aceptable introducir una latencia significativa. Debe asegurarse de que, junto con la capacidad

adecuada, la escalabilidad no agregue una latencia inaceptable.

3. Compatibilidad con todos los protocolos: los atacantes pueden ocultar el tráfico encriptado en

otros protocolos en diferentes puertos, por lo que es importante que los motores de inspección

analicen la secuencia de tráfico completa, no solo el puerto 443.

4. Granularidad de las políticas: se necesitan políticas precisas para controlar qué contenido se

descifra según atributos tales como protocolo, usuario/grupo, aplicación y categoría de sitios web,

a fin de mantener la privacidad de los usuarios.

5. Envío de tráfico descifrado a múltiples dispositivos: quizás desee un IPS y un sandbox de

malware basado en la red para analizar el tráfico, por lo que debe tener la capacidad de enviarlo a

múltiples dispositivos sin inconvenientes.

6. Falla en la apertura o el cierre: si el descifrado falla, ¿permitirá que el tráfico pase o lo

bloqueará? Esto se puede volver difícil ya que debe obtener la aprobación de la gerencia sénior y

los equipos legales. A menudo se prioriza la continuidad de las operaciones de la empresa por

sobre la posibilidad de un ataque.

Dado el impacto del descifrado en el desempeño deberá

manejar las expectativas a lo largo del proceso.

Probablemente no puede comprar la cantidad suficiente de

equipos de descifrado para descifrar todo el tráfico sin

ningún impacto en el desempeño. Es muy común que los

atacantes sofisticados encripten el tráfico hacia y desde los

dispositivos afectados. Por lo tanto, asegúrese de que todos

comprendan el impacto potencial del tráfico que se debe

descifrar e inspeccionar. Una breve comunicación proactiva

con las partes interesadas clave es esencial para tener éxito.

Supervisión y técnicas forenses

Para mejorar la respuesta ante incidentes frente a los ataques cada vez más sofisticados, se necesita

supervisar y captar más tráfico para emitir alertas y realizar un análisis forense. Este caso de uso difiere

considerablemente de la aplicación de políticas de seguridad porque no se reencriptan ni descartan datos

Dado el impacto del descifrado en el desempeño

deberá manejar las expectativas a lo largo del

proceso. Probablemente no puede comprar la cantidad suficiente de equipos de

descifrado para descifrar todo el tráfico sin ningún impacto

en el desempeño.

Securosis — Seguridad y privacidad en la red encriptada 11

rápidamente. El objetivo es obtener metadatos de la secuencia de paquetes o captar paquetes para su

posterior investigación.

Cuando se descifra para aplicar una política de seguridad, los datos pueden permanecer sin encriptar

durante algunos segundos. Pero cuando se descifra para la supervisión y el análisis forense, los datos

pueden permanecer sin encriptar indefinidamente. Debe ser consciente de este cambio, y mucho más

cuidadoso y riguroso sobre cómo y durante cuánto tiempo mantiene los datos sin encriptar.

Anteriormente, hablamos acerca de los tipos de aplicaciones

y otros atributos que pueden desencadenar o evitar el

descifrado; use el mismo enfoque para definir las políticas

para la supervisión y el análisis forense. También necesita

realizar un análisis de riesgos de casi todas las políticas, que

determine si el tráfico podría contener información

confidencial (ya sea de la empresa o personal) y el riesgo

que supone captarlo.

Por ejemplo, quizás quiera descifrar el tráfico de RR. HH. y

enviarlo al IPS para detectar la presencia de ataques, dado

que RR. HH. es un objetivo frecuente de phishing. Pero

quizás evite enviar la secuencia descifrada a su dispositivo

de captura de paquetes debido a que información personal

confidencial podría ser captada, lo cual representaría un riesgo inaceptable. No hay respuestas universales

correctas o incorrectas sobre qué se debe descifrar y qué no, debe hacer las preguntas correctas al establecer

las políticas.

Esta situación no es óptima para la seguridad, no se ajusta a nuestro enfoque general de captar lo más que

se pueda y conservarlo durante el mayor tiempo posible. Desafortunadamente, los problemas de privacidad,

que se describen con más detalle a continuación, exigen tomar decisiones difíciles acerca de qué se puede

descifrar para supervisión y durante cuánto tiempo se puede conservar. Pero incluso en lugares donde la

captura de paquetes es imposible, igualmente querrá descifrar y analizar los metadatos de las sesiones

(origen, destino, protocolo, cantidad de datos, aplicación, etc.) para extraer patrones para el análisis de

SIEM u otra capacidad de análisis de seguridad. La salvedad es que en algunas regiones geográficas ni

siquiera se puede realizar esa inspección básica del tráfico y, por lo general, el cumplimiento de la

legislación local prevalece por sobre la política de la empresa.

Quizás pueda disipar los temores en torno a la captura del tráfico encriptado destacando la seguridad del

entorno de captura. Si los datos captados se almacenan en un dispositivo diseñado específicamente con

protecciones adecuadas de autorización y control del acceso, y los datos están protegidos en reposo, de

alguna manera, eso puede tranquilizar a las personas influyentes clave acerca de las políticas de descifrado.

Cuando se descifra para la supervisión y el análisis

forense, los datos pueden permanecer sin encriptar

indefinidamente. Debe ser consciente de este cambio, y

mucho más cuidadoso y riguroso sobre cómo y durante cuánto tiempo mantiene los datos sin

encriptar.

Securosis — Seguridad y privacidad en la red encriptada 12

La siguiente tabla enumera los dispositivos de supervisión que necesitan tráfico descifrado:

¿Por qué este dispositivo necesita

tráfico descifrado?

Capacidades de descifrado

nativas

Análisis de seguridad/técnicas

forenses de redes

La captura, indexación y búsqueda de

cargas útiles de paquetes requieren tráfico

descifrado.

Ninguna.

SIEM El análisis de aplicaciones, protocolos,

cantidad de datos y otros metadatos de las

sesiones requieren la secuencia de la red

descifrada.

Ninguna.

Problemas de RR. HH. y cumplimiento normativo

Como indicamos anteriormente, la implementación de políticas de descifrado tiene impactos significativos

en la privacidad y el cumplimiento normativo, y en algún momento (lo antes posible), las políticas deben

ser revisadas por abogados. Estas son algunas cuestiones que deben considerarse:

1. Variantes geográficas: si hace negocios en una región geográfica donde existe una gran

preocupación respecto a la privacidad, debe involucrar al equipo local lo antes posible,

especialmente en Europa. Probablemente, deberá trabajar con las autoridades locales o los

consejos de trabajadores para asegurarse de que las políticas de descifrado no violen la legislación

local, (por ejemplo, PCI-DSS, PIPEDA, FISMA, la Ley de Privacidad de Australia, la Ley de

Protección de Datos de Alemania, etc.) y las normativas de cumplimiento (además de las

normativas reglamentarias y legales). Algunos lugares restringen específicamente la suplantación

de sitios web, que incluye el descifrado intermediario del tráfico utilizando un certificado

intermedio. También existe una susceptibilidad considerable acerca de la vigilancia de los

empleados, por lo tanto, tenga en cuenta también las actitudes locales.

2. Soluciones de whitelisting: para abordar algunos de estos problemas debe considerar utilizar

soluciones de whitelisting para ciertas categorías de aplicaciones y sitios web, por lo general,

empresas financieras y de asistencia médica. Esto garantiza que no se descifren sitios en los que

existe una alta probabilidad de interceptar información confidencial o protegida. Por supuesto, los

atacantes lo saben muy bien y pueden utilizar servidores infectados en categorías de whitelists para

evitar el descifrado.

3. Cultura: algunas organizaciones tienen una mayor preocupación respecto a la protección de la

propiedad intelectual y los datos críticos, y exigen una mayor supervisión y seguridad. Si se

encuentra en un entorno de este tipo, podrá descifrar más. Otros son muy conservadores y no

supervisarán si existe una mínima posibilidad de que los empleados se sientan marginados o

sientan que no se ha respetado su privacidad. Es por eso que es tan importante trabajar junto con la

gerencia sénior y un asesor legal al definir las políticas. Evite tomar una decisión unilateral sobre

qué debe descifrar y qué debe dejar pasar.

Securosis — Seguridad y privacidad en la red encriptada 13

4. Documentación: incluso si todos aprueban las políticas, pueden tener problemas más adelante.

Por lo tanto, asegúrese de poder corroborar exactamente qué y cuándo se descifra mediante

documentación sólida. Además, asegúrese de poder probar quién tiene acceso a los datos (en

particular cuando se conservan para la supervisión y el análisis forense), y documente los flujos de

trabajo de la investigación para mostrar quién accedió a qué datos durante una investigación.

Puede hacerlo aprovechando los registros de los equipos de descifrado, y conservar informes de

políticas y flujos de trabajo del proceso de respuesta para probar lo que está haciendo, y lo que no.

Es mejor tener demasiada documentación que pedirles a los organismos reguladores como los

consejos de trabajadores (frecuentes en Europa, Medio Oriente y África [EMEA]) que confíen

ciegamente en usted.

Como es habitual, lo que debería ser un debate técnico bastante sencillo sobre qué y cómo descifrar recae

sobre la fangosa realidad de las normativas de políticas y privacidad. Ese es el juego que debemos jugar los

especialistas en seguridad. Cree las políticas utilizando un proceso inclusivo para desarrollar y actualizar lo

que se implementa según lo que se considere aceptable en su organización.

Securosis — Seguridad y privacidad en la red encriptada 14

Implementación y criterios

de selección

Ahora comprende cómo establecer políticas para el descifrado, los casos de uso específicos que impulsan el

descifrado del tráfico de la red, y las consideraciones en relación a los recursos humanos y el cumplimiento

normativo para crear políticas. Luego, debe comprender los matices técnicos a la hora de determinar dónde

descifrar, y cómo seleccionar e implementar la tecnología. Primero vamos a hablar un poco acerca de si

necesita un dispositivo independiente.

¿Independiente o integrado?

Tal como se analizó previamente, tiene muchas opciones en cuanto a dónde descifrar el tráfico, como

firewalls (NGFW y UTM), IPS, balanceadores de carga, y Gateways de Seguridad Web y de correo

electrónico. Obviamente, lo más simple sería utilizar un dispositivo existente tanto para el descifrado como

para la inspección. No tiene que agregar otras soluciones ni arriesgarse a estropear el esquema de

direcciones de la red, y puede aplicar políticas justo en el punto de descifrado/inspección. Un dispositivo de

seguridad puede descifrar el tráfico, inspeccionarlo, aplicar políticas y reencriptarlo, todo con una sola

solución. Para entornos con volúmenes de red limitados y políticas sencillas, los dispositivos integrados son

una excelente opción.

Pero las organizaciones que necesitan descifrar una gran

cantidad de tráfico de red suelen perjudicar rápidamente el

desempeño de dispositivos de seguridad existentes al

intentar descifrar en ellos; el descifrado incorporado puede

reducir el desempeño de otros dispositivos de seguridad

hasta un 80 %. Si cuenta con un gran margen de desempeño

en los dispositivos existentes, puede admitir la sobrecarga

del descifrado. Si no es así, deberá recurrir a otro dispositivo

para descargar la carga de descifrado, a fin de dejar que sus

dispositivos de seguridad hagan lo que mejor saben hacer:

inspeccionar el tráfico, aplicar políticas y supervisar o captar

el tráfico.

Si implementa varias aplicaciones móviles, web y de nube que requieren políticas más complejas

(o avanzadas), como tener que enviar el tráfico a varios dispositivos activos o de supervisión, y tiene varios

detonadores de políticas en toda la secuencia de la red y no puede limitar la inspección a solo el tráfico del

puerto 443 (HTTPS), las políticas de descifrado relativamente sencillas de un dispositivo integrado pueden

no ser suficientes. Además, si necesita enviar el tráfico descifrado a varios lugares, como un dispositivo de

Pero las organizaciones que necesitan descifrar una gran

cantidad de tráfico de red suelen perjudicar

rápidamente el desempeño de dispositivos de seguridad

existentes al intentar descifrar en ellos; el descifrado

incorporado puede reducir el desempeño de otros

dispositivos de seguridad

hasta un 80 %.

Securosis — Seguridad y privacidad en la red encriptada 15

análisis forense/captura de paquetes de red o SIEM, una solución integrada quizás no sea una opción

adecuada.

También debe contemplar el costo de una solución integrada frente a una opción de solución dedicada con

el tiempo. Si tiene una gran cantidad de dispositivos que requieren tráfico descifrado (como se describió

anteriormente) o espera una cantidad de tráfico encriptado cada vez mayor en su red, la necesidad de

aumentar el tamaño y la capacidad de los dispositivos nativos para una escalabilidad adecuada puede ser

muy costosa. El costo de CPU, memoria y conectividad de red adicionales en los dispositivos integrados

puede potencialmente duplicar o triplicar el costo de esa solución. No se olvide de los costos operativos,

dado que la administración de certificados y claves criptográficas en varios dispositivos nativos también

puede añadir costos operativos y complejidad a la opción integrada.

Nos gustan las opciones integradas cuando son viables, pero el pragmatismo exige la herramienta apropiada

para el trabajo, y agregar el descifrado a otro dispositivo es rara vez adecuado para entornos de alto tráfico

o entornos necesarios para enviar tráfico a varios dispositivos. Si el descifrado incorporado puede satisfacer

sus requisitos de desempeño y políticas, úselo.

Criterios de selección

Si decide utilizar un dispositivo de descifrado dedicado, ¿qué debe buscar? Estos son algunos aspectos que

debe considerar:

1. Desempeño: una gran parte del valor de un hardware dedicado reside en su capacidad de poder

escalarlo a medida que aumenta el volumen de tráfico. Asegúrese de que cualquier dispositivo o

dispositivos que compre se puedan escalar para adaptarse a los volúmenes de ancho de banda

actuales y futuros. No se meta en un callejón sin salida comprando equipos que deberán

reemplazase a medida que aumente el volumen de tráfico.

2. Compatibilidad con todos los puertos: una de las técnicas de evasión más fáciles que utilizan los

atacantes consiste simplemente en cambiar el número de puerto del tráfico saliente, enviando de

este modo el tráfico encriptado a un lugar donde no se espera ni se supervisa. Los dispositivos de

inspección no pueden confiar en los números de puerto, se necesita una inspección exhaustiva de

paquetes para detectar la evasión.

3. Precisión: la estrategia de descifrado depende en gran medida de las políticas, por lo tanto, para

que tenga éxito se necesita la identificación y categorización precisas del tráfico. Junto con

examinar la secuencia completa del tráfico, debe asegurarse de que sus dispositivos encuentren el

tráfico encriptado en forma precisa y lo categoricen de manera eficaz.

4. Acciones sobre políticas: asegúrese de que su dispositivo admita una variedad de acciones

distintas en una ejecución de políticas. Debe poder descifrar, no descifrar, descartar la sesión o

rechazar la sesión (con un código de error de HTTP). También es conveniente tener la capacidad

para incluir en listas los orígenes o destinos para descifrar siempre (blacklist) o no descifrar nunca

(whitelist), por grupo o usuario.

5. Compatibilidad con reputación/categorías de sitios web: dedicamos mucho tiempo a los

matices que conlleva el establecimiento de políticas, que por lo general contemplan los sitios web,

Securosis — Seguridad y privacidad en la red encriptada 16

las direcciones IP y las aplicaciones. Dada la rapidez con la que cambian las categorías y

reputaciones de sitios web (en minutos, o incluso segundos), es importante tener una fuente

dinámica de información actual en la que puedan basarse las políticas. Eso habitualmente significa

contar con algún tipo de servicio de categorización de sitios web que resida en la nube para las

soluciones de whitelisting (sitios de finanzas o de asistencia médica) o blacklisting (direcciones IP

maliciosas conocidas), junto con puntuación de reputación dinámica para sitios web y

aplicaciones.

6. Compatibilidad con varios dispositivos: dada la variedad de casos de uso del descifrado, estos

dispositivos deben ser flexibles en cuanto a cómo reenvían el tráfico y a cuántos dispositivos lo

reenvían. Por ejemplo, quizás quiera enviar el tráfico a un IPS para un control activo, y también a

un dispositivo de captura de paquetes o SIEM para la supervisión y el análisis forense. Es

importante que los dispositivos de descifrado interoperen en forma nativa con los dispositivos de

seguridad, de modo que (por ejemplo) cuando un IPS detecte tráfico de ataques (descifrado), el

dispositivo de descifrado pueda descartar esa sesión sin intervención humana.

7. Seguridad: estos son dispositivos de seguridad, por lo que debe asegurarse de que los datos y las

claves de descifrado/nuevo registro que se encuentren en los dispositivos estén protegidos.

También es conveniente tener la capacidad para rechazar/descartar sesiones si su seguridad no es

suficiente. Por ejemplo, un cifrado de encriptación débil podría poner en riesgo los datos; o podría

violar la política para transmitir datos encriptados que no pueden ser descifrados por el dispositivo

de seguridad, a fin de evitar que datos desconocidos salgan del entorno.

8. Transparencia: es importante asegurarse de que el descifrado no tenga un impacto en el

comportamiento de las aplicaciones ni en la interacción del usuario. Los usuarios finales

no deberían tener que preocuparse por la inspección de seguridad. Por otra parte, el dispositivo de

descifrado no debería alterar de ninguna manera los encabezados de paquetes, ya que eso podría

afectar la inspección de otros dispositivos de seguridad. Por supuesto, (probablemente) deberá

informar a los empleados que pueden ser supervisados (mediante un acuerdo sobre el uso de

Internet), pero el dispositivo de descifrado no debería afectar la experiencia del usuario.

9. Flexibilidad de implementación: hay una variedad de casos de uso para el descifrado, de modo

que es conveniente contar con un dispositivo que admita varios modelos de implementación para

satisfacer sus diversos requisitos presentes y futuros para descifrar el tráfico. Para dispositivos con

varios puertos debe tener flexibilidad en la manera de asignar puertos, así como en qué puertos

serán activos o pasivos, como se analizó previamente.

Implementación

La implementación del dispositivo de seguridad debe ser lo menos disruptiva posible. No querrá meterse

con los esquemas de direcciones IP, forzar a cada usuario a ver (o hacer clic en) una advertencia de

seguridad cada vez que realicen una conexión SSL, o hacer que el dispositivo manipule encabezados de

direcciones IP y complicar la supervisión y el análisis del tráfico. Usted quiere transparencia.

Securosis — Seguridad y privacidad en la red encriptada 17

Asegúrese de ver todo el tráfico relevante. No suponga que todo el tráfico

encriptado estará en ciertos puertos. Los atacantes por lo general ocultan el

tráfico encriptado en puertos extraños para evitar el descifrado. Para ello,

examine todo el tráfico para detectar datos encriptados, no solo los obvios

(HTTPS, FTPS, SMTPS, POP3S, etc.), y asegurarse de no pasar nada por

alto.

Existen algunas opciones de implementación si opta por un dispositivo de

descifrado dedicado:

1. Pasiva en línea: en esta configuración el dispositivo de descifrado está “puesto en el cable”, en

línea, para asegurar que todo el tráfico se pueda inspeccionar y descifrar de acuerdo con la

política. Una vez que se descifra el tráfico, el dispositivo puede reenviarlo a una variedad de

distintos dispositivos de seguridad para su inspección/supervisión, realizando un balanceo de

carga entre ellos si la capacidad es un problema. En esta implementación pasiva, el dispositivo de

descifrado no puede descartar ni bloquear sesiones, ni puede reencriptar el tráfico; solo copia el

tráfico en dispositivos de inspección y reenvía el tráfico encriptado original a la red.

2. Activa en línea: esta configuración es similar a la pasiva en línea, pero en este modo el

dispositivo puede aplicar políticas. Sobre la base de la política, el dispositivo descifra el tráfico y

lo reenvía para su inspección. Pone en cola cada sesión encriptada hasta que recibe un veredicto

desde otro dispositivo de seguridad. Si se aprueba la sesión, reencripta y envía el tráfico en su

camino. Las sesiones que tienen la apariencia de un ataque se descartan.

3. TAP pasiva: en este modo, el dispositivo de descifrado se conecta a un TAP de red o puerto

SPAN en un conmutador para recibir una copia de todo el tráfico. El dispositivo de descifrado

(junto con cualquier otro dispositivo que inspeccione el tráfico) es pasivo y no se encuentra en el

flujo del tráfico, por lo tanto, no se pueden aplicar políticas a través de él. También necesita las

claves privadas de los servidores para los cuales está destinado el tráfico, porque en esta

configuración no se encuentra en el medio del camino de la red y no puede reencriptar el tráfico.

Este modelo solo es adecuado para inspeccionar el tráfico hacia los servidores internos y, por lo

tanto, no muy común.

Los modelos de implementación en línea sitúan el dispositivo de manera eficaz como un intermediario

entre los empleados y sus destinos de sitios web. El dispositivo de descifrado termina las sesiones de

usuario y establece sesiones nuevas con sitios web de destino. Para evitar que el usuario vea un alerta de

seguridad cada vez que inicie una sesión segura, los usuarios deben confiar en un certificado emitido por el

dispositivo de descifrado. Esto significa cargar un certificado firmado en el explorador de cada usuario (por

lo general, mediante una política de estaciones de trabajo) o hacer firmar los certificados del dispositivo de

descifrado por una raíz en que los usuarios (exploradores) ya confían, como una Autoridad de certificación

(CA) pública.

Anteriormente mencionamos la importancia de la flexibilidad de la implementación, que incluye poder

asignar un determinado puerto como un puerto activo (potencialmente descarta los ataques) o pasivo (solo

emite alertas cuando se producen ataques) que envíe el tráfico a un control activo. Otro puerto puede enviar

No suponga que todo el tráfico encriptado estará en

ciertos puertos. Los atacantes por lo general ocultan el

tráfico encriptado en puertos extraños para evitar el

descifrado.

Securosis — Seguridad y privacidad en la red encriptada 18

tráfico en forma pasiva a un dispositivo de análisis de seguridad/técnicas forenses de redes. Y quizás desee

cambiar esas asignaciones sobre la base de los modelos de uso dinámico, de modo que la implementación

pueda reflejar las políticas a medida que evolucionan.

Estos dispositivos inspeccionan e influyen en el tráfico confidencial, por lo que la disponibilidad

es fundamental, excepto en las implementaciones de TAP pasivas, debido a que los TAP no se encuentran

en el flujo del tráfico. No obstante, para una configuración en línea, debe decidir qué sucede si el

dispositivo falla.

Las opciones incluyen:

1. Falla en la red: si el dispositivo falla, el tráfico se envía al puerto de red saliente, pero no a

dispositivos de inspección. Las sesiones se interrumpen, pero la falla elude la inspección y la

supervisión.

2. Falla en el dispositivo: si el dispositivo de descifrado falla, el tráfico se sigue enviando a los

dispositivos de inspección. El tráfico encriptado no se puede descifrar y proporciona medios

limitados para el examen (origen, destino, protocolo), pero el tráfico no encriptado se puede seguir

inspeccionando y supervisando/captando.

3. Falla en el cierre: esta configuración desconecta la red al no reenviar el tráfico cuando

el dispositivo de descifrado se encuentra inactivo. Esto asegura que no pase por alto un ataque al

poner la red completamente fuera de servicio.

La mayoría de las organizaciones eligen “falla en la red”. Si el descifrado falla, no están dispuestas

a detener todo el tráfico. Pero eso es algo que deberá determinar con la gerencia sénior, para garantizar que

comprendan el impacto que tiene.

Ahora que sabe cómo establecer políticas para controlar el tráfico encriptado, dónde descifrarlo, y los

criterios que deberían guiarlo a la hora de seleccionar dónde y cómo descifrar, está listo para lidiar con las

redes encriptadas.

Securosis — Seguridad y privacidad en la red encriptada 19

Resumen

Dada la sofisticación cada vez mayor de los atacantes y la probabilidad de que se arraiguen en su red, se

muevan lateralmente de manera sistemática hacia su objetivo, empaqueten datos críticos y los transfieran

sin autorización fuera de la red, lo que usted no ve puede matarlo. Por este motivo, se ha vuelto

imprescindible echar un vistazo a los datos encriptados que entran y salen de su red, al menos para

asegurarse de que no se trate de tráfico de comando y control o de que no estén filtrando información

crítica.

Sin embargo, el descifrado puede ser un asunto complicado. En primer lugar, debe identificar el tráfico

encriptado, luego asegurarse de tener las políticas adecuadas para descifrar las sesiones en riesgo, sin

infringir las normativas de protección de la privacidad de los empleados o los recursos humanos. También

debe asegurarse de que el descifrado no agregue una latencia excesiva ni cause un impacto inaceptable en

el desempeño de su red.

Las organizaciones tienen una variedad de opciones para

descifrar el tráfico, que incluyen el uso de dispositivos de

seguridad de redes existentes o la implementación de un

dispositivo de descifrado dedicado. Las organizaciones con

requisitos modestos de descifrado por lo general pueden

utilizar un dispositivo existente, pero las organizaciones que

necesitan alto rendimiento o flexibilidad en la

implementación deben optar por dispositivos dedicados.

En este documento se describió cómo establecer políticas,

determinar qué tipo de dispositivo podrá satisfacer sus

requisitos y seleccionar un dispositivo de descifrado dedicado. Dado que los atacantes no se pueden detener

por completo, poder reaccionar mejor y más rápido es la única opción real. La red encriptada se está

convirtiendo en una realidad cada día, lo que significa que la única manera eficaz de aplicar políticas de

seguridad, detectar ataques y supervisar las redes es ver todo el tráfico. Cuanto más pronto implemente una

estrategia de administración del tráfico encriptado y una arquitectura de seguridad de red de apoyo, más

probabilidades tendrá de detectar al próximo atacante con las manos en la masa.

Si tiene alguna pregunta sobre este tema, o desea analizar su situación en particular, no dude en escribirnos

a info@securosis.com.

La red encriptada se está convirtiendo en una realidad cada día, lo que significa que

la única manera eficaz de aplicar políticas de seguridad, detectar ataques y supervisar

las redes es ver todo el

tráfico.

Securosis — Seguridad y privacidad en la red encriptada 20

Acerca del analista

Mike Rothman, analista y presidente

Las perspectivas audaces y el estilo irreverente de Mike son invaluables para las empresas a la hora de determinar

estrategias eficaces para lidiar con el panorama de amenazas de seguridad dinámicas. Mike se especializa en los

aspectos atractivos de la seguridad, como la protección de redes y dispositivos terminales, la administración de la

seguridad y el cumplimiento normativo. Mike es uno de los oradores y comentaristas más buscados en el negocio de la

seguridad, cuenta con una gran experiencia en seguridad de la información. Después de 20 años en el campo de la

seguridad, es uno de los que conocen los secretos del espacio.

Mike, quien comenzó su carrera como programador y consultor de redes, se sumó a META Group en 1993 y encabezó

la incursión inicial de META en la investigación de seguridad de la información. Mike se fue de META en 1998 y

fundó SHYM Technology, una empresa pionera en el mercado del software de infraestructura de clave pública (PKI), y

luego desempeñó funciones ejecutivas en CipherTrust y TruSecure. Cuando se cansó de la vida de proveedor, Mike

fundó Security Incite en 2006 para ser una voz racional en una industria de la seguridad sobredimensionada, pero

decepcionante. Después de un breve desvío como vicepresidente sénior de Estrategia en eIQnetworks para alcanzar

grandes logros en administración de seguridad y cumplimiento normativo, Mike se sumó a Securosis con un cinismo

rejuvenecido sobre el estado de la seguridad y lo que se necesita para sobrevivir como un profesional de la seguridad.

Mike publicó The Pragmatic CSO <http://www.pragmaticcso.com/> en 2007 para introducir a los profesionales de la

seguridad con orientación técnica a los matices de lo que se necesita para ser un profesional de la seguridad sénior.

También posee un valioso título en ingeniería en Investigación de Operaciones e Ingeniería Industrial de la Universidad

de Cornell. A su gente le encanta que usa literalmente cero por ciento de su educación a diario. Pueden contactarlo en

mrothman (arroba) securosis (punto) com.

Securosis — Seguridad y privacidad en la red encriptada 21

Acerca de Securosis

Securosis, LLC es una empresa de investigación y análisis independiente que se dedica al liderazgo intelectual, la

objetividad y la transparencia. Nuestros analistas han ocupado puestos ejecutivos y se dedican a brindar servicios de

consultoría pragmáticos y de alto valor. Nuestros servicios incluyen:

• Principales publicaciones de investigaciones: actualmente, publicamos la gran mayoría de nuestras investigaciones

en forma gratuita a través de nuestro blog y las archivamos en nuestra Biblioteca de investigaciones. La mayoría de

estos documentos de investigación pueden ser patrocinados para su distribución una vez al año. Todos los materiales

publicados y las presentaciones cumplen con nuestros estrictos requisitos de objetividad y se ajustan a nuestra

política de investigación totalmente transparente.

• Productos de investigación y servicios de consultoría estratégicos para usuarios finales: Securosis va a presentar

una línea de productos de investigación y servicios de suscripción basados en consultas diseñados para ayudar a

organizaciones de usuarios finales a acelerar el éxito de los programas y proyectos. También se encuentran

disponibles proyectos de consultoría adicionales, que incluyen asistencia para la selección de productos, estrategia de

tecnología y arquitectura, educación, evaluaciones de la administración de la seguridad y evaluaciones de riesgo.

• Servicios para proveedores con pago anticipado: aunque aceptaremos instrucciones de cualquier persona, algunos

proveedores optan por una relación continua más cercana. Ofrecemos una serie de paquetes de pago anticipado

flexibles. Los servicios disponibles como parte de un paquete de pago anticipado incluyen estrategia y análisis de

productos y del mercado, orientación sobre la tecnología, evaluación de productos y evaluación de fusiones y

adquisiciones. Incluso con clientes pagos, mantenemos nuestros estrictos requisitos de objetividad y

confidencialidad. Hay información adicional disponible sobre nuestros servicios con pago anticipado (PDF).

• Disertaciones externas y editorial: los analistas de Securosis a menudo hablan en eventos de la industria, realizan

presentaciones en línea y escriben o hablan para una variedad de publicaciones y medios.

• Otros servicios especializados: los analistas de Securosis también se encuentran disponibles para otros servicios,

entre ellos, días de consultoría estratégica, encuentros de consultoría de estrategia y servicios para inversores. Suelen

ser personalizados para satisfacer los requisitos particulares del cliente.

Nuestros clientes abarcan desde empresas nuevas hasta algunos de los usuarios finales y proveedores de tecnología más

conocidos. Los clientes incluyen grandes instituciones financieras, inversores institucionales, empresas medianas e

importantes proveedores de seguridad.

Además, Securosis se asocia con laboratorios de análisis de seguridad para ofrecer evaluaciones de productos únicas

que combinan análisis técnico en profundidad con análisis de alto nivel de productos, arquitecturas y mercados. Para

obtener más información acerca de Securosis, visite nuestro sitio web: <http://securosis.com/>.