Vous êtes sur la page 1sur 21

Securosis Seguridad

y privacidad en la red
encriptada
Versin 1.5
Publicado:

20 de enero de 2015

Securosis, L.L.C.

515 E. Carefree Highway Suite #766 Phoenix, AZ 85085


info@securosis.com www.securosis.com

T 602-412-3051

Nota del autor


El contenido de este informe se cre en forma independiente de cualquier patrocinador. Se basa en material
que se public originalmente en el blog de Securosis, pero ha sido mejorado, revisado y editado
profesionalmente.

Este informe cuenta con la licencia de Blue Coat,


cuyo apoyo nos permiti publicarlo sin cargo.
Todo el contenido se cre en forma independiente.

www.bluecoat.com

Blue Coat otorga poder a las empresas para elegir


en forma segura las mejores aplicaciones,
servicios, dispositivos, fuentes de datos y
contenidos que se ofrecen en el mundo, a fin de
que puedan crear, comunicar, colaborar, innovar,
ejecutar, competir y ganar en sus mercados. Blue
Coat tiene una extensa trayectoria en la proteccin
de organizaciones, sus datos y sus empleados, y es
la marca de confianza de 15.000 clientes en todo el
mundo, que incluyen el 78 % de las empresas
Fortune Global 500. Con una slida cartera de
propiedad intelectual respaldada por ms de 200
patentes y patentes en trmite, la empresa contina
impulsando innovaciones que garantizan la
continuidad del negocio, la agilidad y la
gobernabilidad.

Un agradecimiento especial a Chris Pepper por su ayuda con el contenido y la edicin.

Derechos de autor
Este informe se distribuye bajo licencia de Creative Commons
Attribution-Noncommercial-No Derivative Works 3.0.
http://creativecommons.org/licenses/by-nc-nd/3.0/us/deed.es

Securosis Seguridad y privacidad en la red encriptada

Seguridad y privacidad
en la red encriptada
ndice
El futuro est encriptado
Por qu es necesario descifrar?

Casos de uso

4
5

Qu se debe descifrar?

Dnde se debe descifrar?

Aplicacin de polticas de seguridad

Supervisin y tcnicas forenses

10

Problemas de RR. HH. y cumplimiento normativo

12

Implementacin y criterios de seleccin

14

Independiente o integrado?

14

Criterios de seleccin

15

Implementacin

16

Resumen

19

Acerca del analista

20

Acerca de Securosis

21

Securosis Seguridad y privacidad en la red encriptada

El futuro est encriptado


La nube y la movilidad estn afectando la manera en que el departamento de TI genera y ofrece valor a las
organizaciones. Posiblemente est trasladando las cargas de trabajo informticas a la nube y almacenando
una cantidad de datos cada vez mayor fuera del permetro de la empresa, o tal vez ahora una proporcin de
empleados cada vez mayor accede a los datos fuera de su
red corporativa, pero usted ya no tiene un control general de
las redes ni los dispositivos. De modo que los equipos de
seguridad deben adaptar sus modelos para proteger los
datos. Para obtener ms detalles sobre esta interrupcin,
consulte nuestra reciente investigacin El futuro de la
seguridad.

En algn momento durante


cada ataque, el adversario se
convierte en un infiltrado con
credenciales para acceder a
sus datos ms confidenciales.

Pero ese no es el nico motivo por el que las organizaciones


se ven obligadas a adaptar sus posiciones de seguridad. Las amenazas internas, que a menudo se analizan
pero rara vez se abordan, ya no se pueden ignorar. Dada la manera en que los atacantes estn perjudicando
los dispositivos, realizando exploraciones para encontrar objetivos vulnerables y husmeando el trfico de la
red para robar credenciales, en algn momento durante cada ataque, el adversario se convierte en un
infiltrado con credenciales para acceder a sus datos ms confidenciales. Ya sea que se trate de un
adversario externo o interno, en algn momento ingresar a su red.
Por ltimo, una mayor colaboracin entre los socios comerciales significa que las personas fuera de su
organizacin necesitan acceso a sus sistemas y viceversa. Este acceso no debera imponer un importante
riesgo adicional a su entorno, por lo que esas
conexiones se deben proteger para garantizar
El encriptado de la red afecta la
que no se produzca un robo de datos.
inspeccin del trfico y la aplicacin de

polticas de seguridad. Las redes


encriptadas tambin dificultan la
supervisin de seguridad porque el trfico
se debe descifrar a la velocidad de la
conexin para su captura y anlisis
forense.

Estas tendencias significan que las


organizaciones no tienen otra alternativa
ms que encriptar ms trfico en sus redes.
El encriptado de la red evita que los

adversarios husmeen el trfico para robar


credenciales y garantiza que los datos que
salen de la organizacin estn protegidos de
ataques de intermediario. Por lo tanto, prevemos que, durante los prximos 2 a 3 aos, se encriptar un
mayor porcentaje de trfico de red interno y externo.

Securosis Seguridad y privacidad en la red encriptada

Por qu es necesario descifrar?


A pesar de lo expuesto antes, ninguna buena accin queda sin castigo. El encriptado de la red afecta
negativamente su capacidad para inspeccionar el trfico y aplicar polticas de seguridad. Por lo tanto, el
aumento del trfico encriptado afecta su visibilidad para detectar el contenido confidencial que sale de su
red. Esta prdida de datos no siempre est relacionada con atacantes avanzados que realizan transferencias
no autorizadas de sus datos, ya que los empleados pueden enviar informacin involuntariamente fuera de la
red dentro de una sesin encriptada. Las redes encriptadas tambin dificultan la supervisin de seguridad
porque el trfico se debe descifrar a la velocidad de la conexin para su captura y anlisis forense. Salvo
que tenga una estrategia para la administracin del trfico encriptado, corre el riesgo de una filtracin de
datos fundamentales para la empresa.
Deber contemplar las otras implicancias de descifrar el trfico de la red. Por ejemplo, el descifrado del
trfico tambin presenta problemas de cumplimiento normativo y plantea consideraciones relacionadas con
los recursos humanos, que deben tenerse en cuenta en sus planes al tratar de lidiar con el aumento del
trfico encriptado, que aparece con mayor intensidad en sus redes.
Este documento analizar polticas de seguridad para garantizar que no se produzcan filtraciones de datos a
travs de tneles encriptados, y que los empleados cumplan con polticas corporativas de uso aceptable,
descifrando el trfico segn sea necesario. Luego, nos abocaremos a la supervisin de seguridad y las
tcnicas forenses, mediante el anlisis de estrategias de descifrado del trfico a fin de garantizar que pueda
emitir alertas cuando se produzcan eventos de seguridad e investigar los incidentes de manera adecuada.
Concluiremos con orientacin sobre cmo solucionar los problemas relacionados con los recursos humanos
y el cumplimiento normativo, ya que una fraccin cada vez mayor del trfico de red est encriptada.

Securosis Seguridad y privacidad en la red encriptada

Casos de uso
Como mencionamos anteriormente, nuestra incapacidad para inspeccionar el trfico encriptado afecta
nuestra capacidad para aplicar polticas o controles de seguridad y cumplir con las normativas.
Analizaremos a fondo cmo descifrar el trfico estratgicamente para abordar casos de uso clave, lo que
incluye la aplicacin de polticas de seguridad y la supervisin de la seguridad y el cumplimiento
normativo. Tambin debemos tener en cuenta los problemas de RR. HH. y privacidad asociados con el
descifrado del trfico, dado que nadie querr terminar en el lado equivocado de un consejo de trabajadores
protestando por su enfoque de seguridad de red.

Qu se debe descifrar?
El primer paso para obtener visibilidad de la red encriptada
es establecer polticas que indiquen cundo se descifrar el
trfico y durante cunto tiempo permanecer descifrado,
dado que los datos quedan desprotegidos (en formato
descifrado) hasta que se vuelven a encriptar. Estas
decisiones son impulsadas por la cultura organizacional, por

Como especialistas en
seguridad, preferimos un
mayor descifrado a fin de
permitir una inspeccin ms
integral y, por consiguiente,
una supervisin y aplicacin
de polticas ms slidas. Pero
es una eleccin especfica de
cada empresa.

lo tanto, deber determinar lo que funcionar para su


organizacin. Como especialistas en seguridad, preferimos
un mayor descifrado a fin de permitir una inspeccin ms
integral y, por consiguiente, una supervisin y aplicacin de
polticas ms slidas. Pero es una eleccin especfica de cada empresa.

Varios factores influyen en las polticas de descifrado, principalmente las propias aplicaciones.
Probablemente descifrar algunas aplicaciones principales:
1.

Webmail: los empleados creen que le estn haciendo un favor a su organizacin trabajando a toda
hora del da. Pero esta fuerza de trabajo siempre conectada utiliza dispositivos personales y puede
decidir (aunque sea imprudente) que es ms fcil enviar documentos de trabajo a equipos
personales a travs de cuentas de correo electrnico personales. Qu podra salir mal? Y, por
supuesto, hay muchos usos maliciosos de webmail en un entorno corporativo, ya que es un medio
comn para la transferencia no autorizada de datos confidenciales. Hay agentes de DLP de
terminales para detectar este comportamiento, pero si no los tiene implementados debe
inspeccionar el trfico de webmail saliente y buscar palabras clave o contenido que no debera
enviarse fuera de la organizacin. Como la mayor parte del webmail ahora est encriptado, debe
descifrar estas sesiones para poder inspeccionar el trfico.

Securosis Seguridad y privacidad en la red encriptada

2.

Explorador web: los sitios de redes sociales y otras propiedades web utilizan contenido generado
por el usuario que puede estar protegido o ser confidencial para su organizacin, por lo que debe
asegurarse de poder aplicar polticas tambin en el trfico general de las aplicaciones web. Las
aplicaciones utilizan cada vez ms SSL/TLS, en forma predeterminada, por lo que deber descifrar
para aplicar polticas de uso aceptable y proteger los datos.

3.

Aplicaciones de SaaS: las funciones empresariales estn migrando cada vez ms a software como
servicio (SaaS), por lo que debe inspeccionar el trfico de SaaS. Quizs desee aplicar polticas de
contenido ms estrictas en las aplicaciones de SaaS, dado que usted no controla la seguridad de los
datos en un entorno de SaaS, pero primero debe descifrar el trfico para la inspeccin y aplicacin
de polticas. Adems, tenga en cuenta que algunas de estas aplicaciones pueden usar puertos no
estndares (aparte del tpico TCP 443), lo que hace ms complicado inspeccionar el trfico de esa
aplicacin especfica.

4.

Aplicaciones personalizadas: las aplicaciones web personalizadas y las aplicaciones web de los
socios tambin requieren un control riguroso ante la gran probabilidad de que utilicen datos
confidenciales. Al igual que con las aplicaciones de SaaS, es conveniente aplicar polticas
granulares para estas aplicaciones, por lo que debe descifrar.

En sntesis, si una aplicacin tiene acceso a datos crticos o protegidos, debe descifrar e inspeccionar su
trfico. No obstante, atributos secundarios pueden impedir o exigir el descifrado. Por ejemplo, ciertos
sitios/aplicaciones web, tales como sitios financieros y de asistencia mdica para el consumidor final, se
deben incluir en la whitelist (nunca se deben descifrar) porque manejan datos privados de los empleados.
Otro disparador de polticas sern los empleados individuales y los grupos. Quizs no quiera descifrar el
trfico del equipo legal debido a que probablemente est protegido y sea confidencial. Y, por supuesto,
algunas personas requieren excepciones. Por ejemplo, el CEO puede hacer lo que desee y puede aprobar
una excepcin para su propio trfico. Habr otras excepciones, se lo garantizamos, as que asegrese de que
sus polticas sean lo suficientemente flexibles para adaptarse a la cultura y los requisitos de su empresa. Por
ejemplo, es probable que el trfico de todos los usuarios de una aplicacin se tenga que inspeccionar
siempre debido a la confidencialidad de sus datos. Del mismo modo, quizs el trfico de un grupo de
usuarios no se inspeccionar en absoluto debido a la confidencialidad de ese trabajo en particular. Debe
tener la flexibilidad necesaria para descifrar el trfico a fin de aplicar polticas sobre la base de aplicaciones
y usuarios/grupos, para adecuarse con precisin a los requisitos y procesos de la empresa.

Dnde se debe descifrar?


Ahora que sabe qu descifrar, debe determinar el mejor lugar para hacerlo. La respuesta depende de las
aplicaciones que se deben inspeccionar y los dispositivos que necesitan los datos para la supervisin o la
aplicacin de polticas.
1.

Firewall: los firewalls por lo general adoptan la funcin del descifrado porque estn en lnea para
la salida y el acceso y ya aplican polticas, sobre todo a medida que evolucionan hacia firewalls de
prxima generacin (NGFW) con reconocimiento de aplicaciones. El descifrado es muy exigente

Securosis Seguridad y privacidad en la red encriptada

desde el punto de vista computacional, por lo que puede enfrentarse a problemas de escalabilidad,
incluso para firewalls ms grandes y ms potentes.
2.

IPS: como tecnologa de inspeccin, IPS resulta ineficaz si no puede inspeccionar el trfico
encriptado. Para resolver esto, algunas organizaciones descifran en sus dispositivos de IPS. La
funcin de IPS es ms exigente desde el punto de vista computacional que aplicar polticas de
control de acceso en un firewall, por lo que los dispositivos de IPS dedicados suelen tener ms
potencia, lo que facilita el descifrado. Pero la escalabilidad puede ser un problema incluso bajo
una carga pesada de descifrado.

3.

Gateway de Seguridad Web: como dispositivos de inspeccin y aplicacin de polticas para el


trfico web, los filtros web tambin necesitan descifrar el trfico. Suelen no tener la potencia
suficiente en comparacin con otros dispositivos en el permetro, por lo tanto, salvo que haya una
cantidad mnima de trfico encriptado, pueden quedarse sin combustible rpidamente y entorpecer
el trfico web saliente.

4.

Dispositivo de descifrado de SSL dedicado: para las organizaciones con una gran cantidad de
trfico encriptado, lo que es cada vez ms comn, se encuentran disponibles dispositivos de
descifrado dedicados que se especializan en el descifrado del trfico sin afectar a los empleados.
Ofrecen flexibilidad en la manera de enrutar el trfico descifrado para los controles activos (FW,
IPS, filtro web, etc.) y la supervisin, y luego reencriptar el trfico que debe continuar hasta
Internet. A continuacin, brindaremos informacin especfica sobre cmo seleccionar e
implementar estos dispositivos.

5.

Ofertas que residen en la nube: a medida que maduran las ofertas de seguridad como servicio
(SECaaS), las organizaciones tienen la opcin de descifrar en la nube, trasladando la
responsabilidad de la escalabilidad a un proveedor de servicios. Pero esto requiere descifrar e
inspeccionar datos potencialmente confidenciales en la nube, lo que puede plantear un desafo
cultural o reglamentario.

Por lo general, todos estos dispositivos se implementan dentro del permetro de su red, por lo que no se
pueden detectar los atacantes que encriptan el trfico de
exploracin interna, o el trfico que sale del centro de datos
hacia un servidor de almacenamiento provisional dentro de su
red interna. Para solucionar estos problemas puede elegir
configurar un dispositivo existente (probablemente un firewall
o IPS) internamente frente a su centro de datos, para descifrar,
aplicar polticas de seguridad e inspeccionar el trfico. Vemos
cada vez ms este modelo de implementacin para los equipos
de seguridad de redes, aunque las caractersticas del trfico de
red interno difieren de las del trfico del permetro. La

Es muy comn que los


atacantes sofisticados
encripten el trfico hacia y
desde los dispositivos
afectados. Si no descifra el
trfico de salida y acceso, no
podr detectar ciertos
ataques.

escalabilidad es fundamental en entornos de centros de datos,


que por lo general tienen redes internas de mltiples gigabits.
Securosis Seguridad y privacidad en la red encriptada

Para garantizar la escalabilidad, es conveniente evaluar el impacto del descifrado en el desempeo. Segn
pruebas de laboratorio independientes realizadas por organizaciones como NSS Labs, el desempeo puede
verse afectado en hasta un 80 % al descifrar en firewalls y dispositivos de IPS. Obviamente, la capacidad
adecuada para volmenes de trfico tpicos es un requisito fundamental de la arquitectura y la
implementacin.

Aplicacin de polticas de seguridad


Nuestro primer caso de uso es la aplicacin activa de polticas de seguridad. Esto involucra el descifrado de
trfico y luego la aplicacin de polticas mediante dispositivos tradicionales, que incluyen firewalls, IPS,
filtros web, balanceadores de carga, etc. Es muy comn que los atacantes sofisticados encripten el trfico
hacia y desde los dispositivos afectados. Si no descifra el trfico de salida y acceso, no podr detectar
ciertos ataques. Puede ignorar mquinas recientemente infectadas que se conecten al mothership
(controlador de bots) junto con las descargas de malware resultantes, debido a que el trfico de Comando y
control (C&C) est encriptado. Otro punto ciego es la transferencia no autorizada de datos confidenciales,
que se encuentra permanentemente encriptada.
La siguiente tabla analiza algunos de los dispositivos en los que se necesita trfico descifrado para aplicar
las polticas adecuadamente.

IPS

Por qu este dispositivo

Capacidades de descifrado

necesita trfico descifrado?

nativas

Los datos de las redes y aplicaciones necesarios para

Limitadas. Importante disminucin

el anlisis estn ocultos por el encriptado; no se

de desempeo.

pueden igualar a las firmas de intrusos.

NGFW

La clasificacin de aplicaciones por lo general

Por lo general, el descifrado SSL

requiere una inspeccin exhaustiva de paquetes que

disminuye el desempeo entre el 50

est encriptada; la proteccin integrada contra

y el 80 %.

amenazas (IPS) necesita trfico descifrado (consultar


ms arriba).
DLP

La DLP requiere la inspeccin de cargas tiles de

Ninguna.

datos para comparar con los datos controlados


(p. ej., nmeros de tarjetas de crdito, SSN, etc.).

Sandbox de malware

Los archivos que transportan cargas tiles maliciosas

basado en la red

a menudo viajan a travs de tneles encriptados

Ninguna.

(SSL). Sin el descifrado, los archivos de malware


no son detonados para el anlisis.
Gateway de Web

Los Gateways de Web necesitan descifrar las

Los Gateways de Web en el nivel del

solicitudes HTTP para comparar con las polticas de

proxy pueden descifrar SSL.

filtrado; la integracin con gateways antimalware y

Degradacin potencialmente

sandboxes basados en la red necesita descifrar esos

significativa del desempeo del

archivos.

dispositivo.

Securosis Seguridad y privacidad en la red encriptada

Las consideraciones clave para descifrar el trfico y enviarlo a un dispositivo de seguridad activo son las
siguientes:
1.

Capacidad: las redes son cada vez ms rpidas, y debe inspeccionar el trfico a la velocidad de la
conexin (o a una velocidad muy cercana). El descifrado y reencriptado hacen un uso intensivo de
los recursos, por lo que debe asegurarse de que su capacidad de descifrado pueda ampliarse lo
suficiente en el dispositivo que elija para el descifrado. Suponga que (por ahora) entre el 20 y el
40 % de su trfico estar encriptado y planifique una capacidad de descifrado segn corresponda.

2.

Latencia: muchas aplicaciones son en tiempo real o sumamente interactivas, por lo que no es
aceptable introducir una latencia significativa. Debe asegurarse de que, junto con la capacidad
adecuada, la escalabilidad no agregue una latencia inaceptable.

3.

Compatibilidad con todos los protocolos: los atacantes pueden ocultar el trfico encriptado en
otros protocolos en diferentes puertos, por lo que es importante que los motores de inspeccin
analicen la secuencia de trfico completa, no solo el puerto 443.

4.

Granularidad de las polticas: se necesitan polticas precisas para controlar qu contenido se


descifra segn atributos tales como protocolo, usuario/grupo, aplicacin y categora de sitios web,
a fin de mantener la privacidad de los usuarios.

5.

Envo de trfico descifrado a mltiples dispositivos: quizs desee un IPS y un sandbox de


malware basado en la red para analizar el trfico, por lo que debe tener la capacidad de enviarlo a
mltiples dispositivos sin inconvenientes.

6.

Falla en la apertura o el cierre: si el descifrado falla, permitir que el trfico pase o lo


bloquear? Esto se puede volver difcil ya que debe obtener la aprobacin de la gerencia snior y
los equipos legales. A menudo se prioriza la continuidad de las operaciones de la empresa por
sobre la posibilidad de un ataque.

Dado el impacto del descifrado en el desempeo deber


manejar las expectativas a lo largo del proceso.
Probablemente no puede comprar la cantidad suficiente de
equipos de descifrado para descifrar todo el trfico sin
ningn impacto en el desempeo. Es muy comn que los
atacantes sofisticados encripten el trfico hacia y desde los
dispositivos afectados. Por lo tanto, asegrese de que todos
comprendan el impacto potencial del trfico que se debe
descifrar e inspeccionar. Una breve comunicacin proactiva
con las partes interesadas clave es esencial para tener xito.

Dado el impacto del


descifrado en el desempeo
deber manejar las
expectativas a lo largo del
proceso. Probablemente no
puede comprar la cantidad
suficiente de equipos de
descifrado para descifrar todo
el trfico sin ningn impacto
en el desempeo.

Supervisin y tcnicas forenses


Para mejorar la respuesta ante incidentes frente a los ataques cada vez ms sofisticados, se necesita
supervisar y captar ms trfico para emitir alertas y realizar un anlisis forense. Este caso de uso difiere
considerablemente de la aplicacin de polticas de seguridad porque no se reencriptan ni descartan datos
Securosis Seguridad y privacidad en la red encriptada

10

rpidamente. El objetivo es obtener metadatos de la secuencia de paquetes o captar paquetes para su


posterior investigacin.
Cuando se descifra para aplicar una poltica de seguridad, los datos pueden permanecer sin encriptar
durante algunos segundos. Pero cuando se descifra para la supervisin y el anlisis forense, los datos
pueden permanecer sin encriptar indefinidamente. Debe ser consciente de este cambio, y mucho ms
cuidadoso y riguroso sobre cmo y durante cunto tiempo mantiene los datos sin encriptar.

Cuando se descifra para la


supervisin y el anlisis
forense, los datos pueden
permanecer sin encriptar
indefinidamente. Debe ser
consciente de este cambio, y
mucho ms cuidadoso y
riguroso sobre cmo y
durante cunto tiempo
mantiene los datos sin
encriptar.

Anteriormente, hablamos acerca de los tipos de aplicaciones


y otros atributos que pueden desencadenar o evitar el
descifrado; use el mismo enfoque para definir las polticas
para la supervisin y el anlisis forense. Tambin necesita
realizar un anlisis de riesgos de casi todas las polticas, que
determine si el trfico podra contener informacin
confidencial (ya sea de la empresa o personal) y el riesgo
que supone captarlo.
Por ejemplo, quizs quiera descifrar el trfico de RR. HH. y
enviarlo al IPS para detectar la presencia de ataques, dado
que RR. HH. es un objetivo frecuente de phishing. Pero
quizs evite enviar la secuencia descifrada a su dispositivo

de captura de paquetes debido a que informacin personal


confidencial podra ser captada, lo cual representara un riesgo inaceptable. No hay respuestas universales
correctas o incorrectas sobre qu se debe descifrar y qu no, debe hacer las preguntas correctas al establecer
las polticas.
Esta situacin no es ptima para la seguridad, no se ajusta a nuestro enfoque general de captar lo ms que
se pueda y conservarlo durante el mayor tiempo posible. Desafortunadamente, los problemas de privacidad,
que se describen con ms detalle a continuacin, exigen tomar decisiones difciles acerca de qu se puede
descifrar para supervisin y durante cunto tiempo se puede conservar. Pero incluso en lugares donde la
captura de paquetes es imposible, igualmente querr descifrar y analizar los metadatos de las sesiones
(origen, destino, protocolo, cantidad de datos, aplicacin, etc.) para extraer patrones para el anlisis de
SIEM u otra capacidad de anlisis de seguridad. La salvedad es que en algunas regiones geogrficas ni
siquiera se puede realizar esa inspeccin bsica del trfico y, por lo general, el cumplimiento de la
legislacin local prevalece por sobre la poltica de la empresa.
Quizs pueda disipar los temores en torno a la captura del trfico encriptado destacando la seguridad del
entorno de captura. Si los datos captados se almacenan en un dispositivo diseado especficamente con
protecciones adecuadas de autorizacin y control del acceso, y los datos estn protegidos en reposo, de
alguna manera, eso puede tranquilizar a las personas influyentes clave acerca de las polticas de descifrado.

Securosis Seguridad y privacidad en la red encriptada

11

La siguiente tabla enumera los dispositivos de supervisin que necesitan trfico descifrado:
Por qu este dispositivo necesita

Capacidades de descifrado

trfico descifrado?

nativas

Anlisis de seguridad/tcnicas

La captura, indexacin y bsqueda de

Ninguna.

forenses de redes

cargas tiles de paquetes requieren trfico


descifrado.

SIEM

El anlisis de aplicaciones, protocolos,

Ninguna.

cantidad de datos y otros metadatos de las


sesiones requieren la secuencia de la red
descifrada.

Problemas de RR. HH. y cumplimiento normativo


Como indicamos anteriormente, la implementacin de polticas de descifrado tiene impactos significativos
en la privacidad y el cumplimiento normativo, y en algn momento (lo antes posible), las polticas deben
ser revisadas por abogados. Estas son algunas cuestiones que deben considerarse:
1.

Variantes geogrficas: si hace negocios en una regin geogrfica donde existe una gran
preocupacin respecto a la privacidad, debe involucrar al equipo local lo antes posible,
especialmente en Europa. Probablemente, deber trabajar con las autoridades locales o los
consejos de trabajadores para asegurarse de que las polticas de descifrado no violen la legislacin
local, (por ejemplo, PCI-DSS, PIPEDA, FISMA, la Ley de Privacidad de Australia, la Ley de
Proteccin de Datos de Alemania, etc.) y las normativas de cumplimiento (adems de las
normativas reglamentarias y legales). Algunos lugares restringen especficamente la suplantacin
de sitios web, que incluye el descifrado intermediario del trfico utilizando un certificado
intermedio. Tambin existe una susceptibilidad considerable acerca de la vigilancia de los
empleados, por lo tanto, tenga en cuenta tambin las actitudes locales.

2.

Soluciones de whitelisting: para abordar algunos de estos problemas debe considerar utilizar
soluciones de whitelisting para ciertas categoras de aplicaciones y sitios web, por lo general,
empresas financieras y de asistencia mdica. Esto garantiza que no se descifren sitios en los que
existe una alta probabilidad de interceptar informacin confidencial o protegida. Por supuesto, los
atacantes lo saben muy bien y pueden utilizar servidores infectados en categoras de whitelists para
evitar el descifrado.

3.

Cultura: algunas organizaciones tienen una mayor preocupacin respecto a la proteccin de la


propiedad intelectual y los datos crticos, y exigen una mayor supervisin y seguridad. Si se
encuentra en un entorno de este tipo, podr descifrar ms. Otros son muy conservadores y no
supervisarn si existe una mnima posibilidad de que los empleados se sientan marginados o
sientan que no se ha respetado su privacidad. Es por eso que es tan importante trabajar junto con la
gerencia snior y un asesor legal al definir las polticas. Evite tomar una decisin unilateral sobre
qu debe descifrar y qu debe dejar pasar.

Securosis Seguridad y privacidad en la red encriptada

12

4.

Documentacin: incluso si todos aprueban las polticas, pueden tener problemas ms adelante.
Por lo tanto, asegrese de poder corroborar exactamente qu y cundo se descifra mediante
documentacin slida. Adems, asegrese de poder probar quin tiene acceso a los datos (en
particular cuando se conservan para la supervisin y el anlisis forense), y documente los flujos de
trabajo de la investigacin para mostrar quin accedi a qu datos durante una investigacin.
Puede hacerlo aprovechando los registros de los equipos de descifrado, y conservar informes de
polticas y flujos de trabajo del proceso de respuesta para probar lo que est haciendo, y lo que no.
Es mejor tener demasiada documentacin que pedirles a los organismos reguladores como los
consejos de trabajadores (frecuentes en Europa, Medio Oriente y frica [EMEA]) que confen
ciegamente en usted.

Como es habitual, lo que debera ser un debate tcnico bastante sencillo sobre qu y cmo descifrar recae
sobre la fangosa realidad de las normativas de polticas y privacidad. Ese es el juego que debemos jugar los
especialistas en seguridad. Cree las polticas utilizando un proceso inclusivo para desarrollar y actualizar lo
que se implementa segn lo que se considere aceptable en su organizacin.

Securosis Seguridad y privacidad en la red encriptada

13

Implementacin y criterios
de seleccin
Ahora comprende cmo establecer polticas para el descifrado, los casos de uso especficos que impulsan el
descifrado del trfico de la red, y las consideraciones en relacin a los recursos humanos y el cumplimiento
normativo para crear polticas. Luego, debe comprender los matices tcnicos a la hora de determinar dnde
descifrar, y cmo seleccionar e implementar la tecnologa. Primero vamos a hablar un poco acerca de si
necesita un dispositivo independiente.

Independiente o integrado?
Tal como se analiz previamente, tiene muchas opciones en cuanto a dnde descifrar el trfico, como
firewalls (NGFW y UTM), IPS, balanceadores de carga, y Gateways de Seguridad Web y de correo
electrnico. Obviamente, lo ms simple sera utilizar un dispositivo existente tanto para el descifrado como
para la inspeccin. No tiene que agregar otras soluciones ni arriesgarse a estropear el esquema de
direcciones de la red, y puede aplicar polticas justo en el punto de descifrado/inspeccin. Un dispositivo de
seguridad puede descifrar el trfico, inspeccionarlo, aplicar polticas y reencriptarlo, todo con una sola
solucin. Para entornos con volmenes de red limitados y polticas sencillas, los dispositivos integrados son
una excelente opcin.

Pero las organizaciones que


necesitan descifrar una gran
cantidad de trfico de red
suelen perjudicar
rpidamente el desempeo
de dispositivos de seguridad
existentes al intentar descifrar
en ellos; el descifrado
incorporado puede reducir el
desempeo de otros
dispositivos de seguridad
hasta un 80 %.

Pero las organizaciones que necesitan descifrar una gran


cantidad de trfico de red suelen perjudicar rpidamente el
desempeo de dispositivos de seguridad existentes al
intentar descifrar en ellos; el descifrado incorporado puede
reducir el desempeo de otros dispositivos de seguridad
hasta un 80 %. Si cuenta con un gran margen de desempeo
en los dispositivos existentes, puede admitir la sobrecarga
del descifrado. Si no es as, deber recurrir a otro dispositivo
para descargar la carga de descifrado, a fin de dejar que sus
dispositivos de seguridad hagan lo que mejor saben hacer:
inspeccionar el trfico, aplicar polticas y supervisar o captar
el trfico.

Si implementa varias aplicaciones mviles, web y de nube que requieren polticas ms complejas
(o avanzadas), como tener que enviar el trfico a varios dispositivos activos o de supervisin, y tiene varios
detonadores de polticas en toda la secuencia de la red y no puede limitar la inspeccin a solo el trfico del
puerto 443 (HTTPS), las polticas de descifrado relativamente sencillas de un dispositivo integrado pueden
no ser suficientes. Adems, si necesita enviar el trfico descifrado a varios lugares, como un dispositivo de

Securosis Seguridad y privacidad en la red encriptada

14

anlisis forense/captura de paquetes de red o SIEM, una solucin integrada quizs no sea una opcin
adecuada.
Tambin debe contemplar el costo de una solucin integrada frente a una opcin de solucin dedicada con
el tiempo. Si tiene una gran cantidad de dispositivos que requieren trfico descifrado (como se describi
anteriormente) o espera una cantidad de trfico encriptado cada vez mayor en su red, la necesidad de
aumentar el tamao y la capacidad de los dispositivos nativos para una escalabilidad adecuada puede ser
muy costosa. El costo de CPU, memoria y conectividad de red adicionales en los dispositivos integrados
puede potencialmente duplicar o triplicar el costo de esa solucin. No se olvide de los costos operativos,
dado que la administracin de certificados y claves criptogrficas en varios dispositivos nativos tambin
puede aadir costos operativos y complejidad a la opcin integrada.
Nos gustan las opciones integradas cuando son viables, pero el pragmatismo exige la herramienta apropiada
para el trabajo, y agregar el descifrado a otro dispositivo es rara vez adecuado para entornos de alto trfico
o entornos necesarios para enviar trfico a varios dispositivos. Si el descifrado incorporado puede satisfacer
sus requisitos de desempeo y polticas, selo.

Criterios de seleccin
Si decide utilizar un dispositivo de descifrado dedicado, qu debe buscar? Estos son algunos aspectos que
debe considerar:
1.

Desempeo: una gran parte del valor de un hardware dedicado reside en su capacidad de poder
escalarlo a medida que aumenta el volumen de trfico. Asegrese de que cualquier dispositivo o
dispositivos que compre se puedan escalar para adaptarse a los volmenes de ancho de banda
actuales y futuros. No se meta en un callejn sin salida comprando equipos que debern
reemplazase a medida que aumente el volumen de trfico.

2.

Compatibilidad con todos los puertos: una de las tcnicas de evasin ms fciles que utilizan los
atacantes consiste simplemente en cambiar el nmero de puerto del trfico saliente, enviando de
este modo el trfico encriptado a un lugar donde no se espera ni se supervisa. Los dispositivos de
inspeccin no pueden confiar en los nmeros de puerto, se necesita una inspeccin exhaustiva de
paquetes para detectar la evasin.

3.

Precisin: la estrategia de descifrado depende en gran medida de las polticas, por lo tanto, para
que tenga xito se necesita la identificacin y categorizacin precisas del trfico. Junto con
examinar la secuencia completa del trfico, debe asegurarse de que sus dispositivos encuentren el
trfico encriptado en forma precisa y lo categoricen de manera eficaz.

4.

Acciones sobre polticas: asegrese de que su dispositivo admita una variedad de acciones
distintas en una ejecucin de polticas. Debe poder descifrar, no descifrar, descartar la sesin o
rechazar la sesin (con un cdigo de error de HTTP). Tambin es conveniente tener la capacidad
para incluir en listas los orgenes o destinos para descifrar siempre (blacklist) o no descifrar nunca
(whitelist), por grupo o usuario.

5.

Compatibilidad con reputacin/categoras de sitios web: dedicamos mucho tiempo a los


matices que conlleva el establecimiento de polticas, que por lo general contemplan los sitios web,

Securosis Seguridad y privacidad en la red encriptada

15

las direcciones IP y las aplicaciones. Dada la rapidez con la que cambian las categoras y
reputaciones de sitios web (en minutos, o incluso segundos), es importante tener una fuente
dinmica de informacin actual en la que puedan basarse las polticas. Eso habitualmente significa
contar con algn tipo de servicio de categorizacin de sitios web que resida en la nube para las
soluciones de whitelisting (sitios de finanzas o de asistencia mdica) o blacklisting (direcciones IP
maliciosas conocidas), junto con puntuacin de reputacin dinmica para sitios web y
aplicaciones.
6.

Compatibilidad con varios dispositivos: dada la variedad de casos de uso del descifrado, estos
dispositivos deben ser flexibles en cuanto a cmo reenvan el trfico y a cuntos dispositivos lo
reenvan. Por ejemplo, quizs quiera enviar el trfico a un IPS para un control activo, y tambin a
un dispositivo de captura de paquetes o SIEM para la supervisin y el anlisis forense. Es
importante que los dispositivos de descifrado interoperen en forma nativa con los dispositivos de
seguridad, de modo que (por ejemplo) cuando un IPS detecte trfico de ataques (descifrado), el
dispositivo de descifrado pueda descartar esa sesin sin intervencin humana.

7.

Seguridad: estos son dispositivos de seguridad, por lo que debe asegurarse de que los datos y las
claves de descifrado/nuevo registro que se encuentren en los dispositivos estn protegidos.
Tambin es conveniente tener la capacidad para rechazar/descartar sesiones si su seguridad no es
suficiente. Por ejemplo, un cifrado de encriptacin dbil podra poner en riesgo los datos; o podra
violar la poltica para transmitir datos encriptados que no pueden ser descifrados por el dispositivo
de seguridad, a fin de evitar que datos desconocidos salgan del entorno.

8.

Transparencia: es importante asegurarse de que el descifrado no tenga un impacto en el


comportamiento de las aplicaciones ni en la interaccin del usuario. Los usuarios finales
no deberan tener que preocuparse por la inspeccin de seguridad. Por otra parte, el dispositivo de
descifrado no debera alterar de ninguna manera los encabezados de paquetes, ya que eso podra
afectar la inspeccin de otros dispositivos de seguridad. Por supuesto, (probablemente) deber
informar a los empleados que pueden ser supervisados (mediante un acuerdo sobre el uso de
Internet), pero el dispositivo de descifrado no debera afectar la experiencia del usuario.

9.

Flexibilidad de implementacin: hay una variedad de casos de uso para el descifrado, de modo
que es conveniente contar con un dispositivo que admita varios modelos de implementacin para
satisfacer sus diversos requisitos presentes y futuros para descifrar el trfico. Para dispositivos con
varios puertos debe tener flexibilidad en la manera de asignar puertos, as como en qu puertos
sern activos o pasivos, como se analiz previamente.

Implementacin
La implementacin del dispositivo de seguridad debe ser lo menos disruptiva posible. No querr meterse
con los esquemas de direcciones IP, forzar a cada usuario a ver (o hacer clic en) una advertencia de
seguridad cada vez que realicen una conexin SSL, o hacer que el dispositivo manipule encabezados de
direcciones IP y complicar la supervisin y el anlisis del trfico. Usted quiere transparencia.

Securosis Seguridad y privacidad en la red encriptada

16

Asegrese de ver todo el trfico relevante. No suponga que todo el trfico


encriptado estar en ciertos puertos. Los atacantes por lo general ocultan el
trfico encriptado en puertos extraos para evitar el descifrado. Para ello,
examine todo el trfico para detectar datos encriptados, no solo los obvios
(HTTPS, FTPS, SMTPS, POP3S, etc.), y asegurarse de no pasar nada por
alto.
Existen algunas opciones de implementacin si opta por un dispositivo de
descifrado dedicado:
1.

No suponga que todo el


trfico encriptado estar en
ciertos puertos. Los atacantes
por lo general ocultan el
trfico encriptado en puertos
extraos para evitar el
descifrado.

Pasiva en lnea: en esta configuracin el dispositivo de descifrado est puesto en el cable, en


lnea, para asegurar que todo el trfico se pueda inspeccionar y descifrar de acuerdo con la
poltica. Una vez que se descifra el trfico, el dispositivo puede reenviarlo a una variedad de
distintos dispositivos de seguridad para su inspeccin/supervisin, realizando un balanceo de
carga entre ellos si la capacidad es un problema. En esta implementacin pasiva, el dispositivo de
descifrado no puede descartar ni bloquear sesiones, ni puede reencriptar el trfico; solo copia el
trfico en dispositivos de inspeccin y reenva el trfico encriptado original a la red.

2.

Activa en lnea: esta configuracin es similar a la pasiva en lnea, pero en este modo el
dispositivo puede aplicar polticas. Sobre la base de la poltica, el dispositivo descifra el trfico y
lo reenva para su inspeccin. Pone en cola cada sesin encriptada hasta que recibe un veredicto
desde otro dispositivo de seguridad. Si se aprueba la sesin, reencripta y enva el trfico en su
camino. Las sesiones que tienen la apariencia de un ataque se descartan.

3.

TAP pasiva: en este modo, el dispositivo de descifrado se conecta a un TAP de red o puerto
SPAN en un conmutador para recibir una copia de todo el trfico. El dispositivo de descifrado
(junto con cualquier otro dispositivo que inspeccione el trfico) es pasivo y no se encuentra en el
flujo del trfico, por lo tanto, no se pueden aplicar polticas a travs de l. Tambin necesita las
claves privadas de los servidores para los cuales est destinado el trfico, porque en esta
configuracin no se encuentra en el medio del camino de la red y no puede reencriptar el trfico.
Este modelo solo es adecuado para inspeccionar el trfico hacia los servidores internos y, por lo
tanto, no muy comn.

Los modelos de implementacin en lnea sitan el dispositivo de manera eficaz como un intermediario
entre los empleados y sus destinos de sitios web. El dispositivo de descifrado termina las sesiones de
usuario y establece sesiones nuevas con sitios web de destino. Para evitar que el usuario vea un alerta de
seguridad cada vez que inicie una sesin segura, los usuarios deben confiar en un certificado emitido por el
dispositivo de descifrado. Esto significa cargar un certificado firmado en el explorador de cada usuario (por
lo general, mediante una poltica de estaciones de trabajo) o hacer firmar los certificados del dispositivo de
descifrado por una raz en que los usuarios (exploradores) ya confan, como una Autoridad de certificacin
(CA) pblica.
Anteriormente mencionamos la importancia de la flexibilidad de la implementacin, que incluye poder
asignar un determinado puerto como un puerto activo (potencialmente descarta los ataques) o pasivo (solo
emite alertas cuando se producen ataques) que enve el trfico a un control activo. Otro puerto puede enviar
Securosis Seguridad y privacidad en la red encriptada

17

trfico en forma pasiva a un dispositivo de anlisis de seguridad/tcnicas forenses de redes. Y quizs desee
cambiar esas asignaciones sobre la base de los modelos de uso dinmico, de modo que la implementacin
pueda reflejar las polticas a medida que evolucionan.
Estos dispositivos inspeccionan e influyen en el trfico confidencial, por lo que la disponibilidad
es fundamental, excepto en las implementaciones de TAP pasivas, debido a que los TAP no se encuentran
en el flujo del trfico. No obstante, para una configuracin en lnea, debe decidir qu sucede si el
dispositivo falla.
Las opciones incluyen:
1.

Falla en la red: si el dispositivo falla, el trfico se enva al puerto de red saliente, pero no a
dispositivos de inspeccin. Las sesiones se interrumpen, pero la falla elude la inspeccin y la
supervisin.

2.

Falla en el dispositivo: si el dispositivo de descifrado falla, el trfico se sigue enviando a los


dispositivos de inspeccin. El trfico encriptado no se puede descifrar y proporciona medios
limitados para el examen (origen, destino, protocolo), pero el trfico no encriptado se puede seguir
inspeccionando y supervisando/captando.

3.

Falla en el cierre: esta configuracin desconecta la red al no reenviar el trfico cuando


el dispositivo de descifrado se encuentra inactivo. Esto asegura que no pase por alto un ataque al
poner la red completamente fuera de servicio.

La mayora de las organizaciones eligen falla en la red. Si el descifrado falla, no estn dispuestas
a detener todo el trfico. Pero eso es algo que deber determinar con la gerencia snior, para garantizar que
comprendan el impacto que tiene.
Ahora que sabe cmo establecer polticas para controlar el trfico encriptado, dnde descifrarlo, y los
criterios que deberan guiarlo a la hora de seleccionar dnde y cmo descifrar, est listo para lidiar con las
redes encriptadas.

Securosis Seguridad y privacidad en la red encriptada

18

Resumen
Dada la sofisticacin cada vez mayor de los atacantes y la probabilidad de que se arraiguen en su red, se
muevan lateralmente de manera sistemtica hacia su objetivo, empaqueten datos crticos y los transfieran
sin autorizacin fuera de la red, lo que usted no ve puede matarlo. Por este motivo, se ha vuelto
imprescindible echar un vistazo a los datos encriptados que entran y salen de su red, al menos para
asegurarse de que no se trate de trfico de comando y control o de que no estn filtrando informacin
crtica.
Sin embargo, el descifrado puede ser un asunto complicado. En primer lugar, debe identificar el trfico
encriptado, luego asegurarse de tener las polticas adecuadas para descifrar las sesiones en riesgo, sin
infringir las normativas de proteccin de la privacidad de los empleados o los recursos humanos. Tambin
debe asegurarse de que el descifrado no agregue una latencia excesiva ni cause un impacto inaceptable en
el desempeo de su red.

La red encriptada se est


convirtiendo en una realidad
cada da, lo que significa que
la nica manera eficaz de
aplicar polticas de seguridad,
detectar ataques y supervisar
las redes es ver todo el
trfico.

Las organizaciones tienen una variedad de opciones para


descifrar el trfico, que incluyen el uso de dispositivos de
seguridad de redes existentes o la implementacin de un
dispositivo de descifrado dedicado. Las organizaciones con
requisitos modestos de descifrado por lo general pueden
utilizar un dispositivo existente, pero las organizaciones que
necesitan alto rendimiento o flexibilidad en la
implementacin deben optar por dispositivos dedicados.

En este documento se describi cmo establecer polticas,


determinar qu tipo de dispositivo podr satisfacer sus
requisitos y seleccionar un dispositivo de descifrado dedicado. Dado que los atacantes no se pueden detener
por completo, poder reaccionar mejor y ms rpido es la nica opcin real. La red encriptada se est
convirtiendo en una realidad cada da, lo que significa que la nica manera eficaz de aplicar polticas de
seguridad, detectar ataques y supervisar las redes es ver todo el trfico. Cuanto ms pronto implemente una
estrategia de administracin del trfico encriptado y una arquitectura de seguridad de red de apoyo, ms
probabilidades tendr de detectar al prximo atacante con las manos en la masa.

Si tiene alguna pregunta sobre este tema, o desea analizar su situacin en particular, no dude en escribirnos
a info@securosis.com.

Securosis Seguridad y privacidad en la red encriptada

19

Acerca del analista


Mike Rothman, analista y presidente
Las perspectivas audaces y el estilo irreverente de Mike son invaluables para las empresas a la hora de determinar
estrategias eficaces para lidiar con el panorama de amenazas de seguridad dinmicas. Mike se especializa en los
aspectos atractivos de la seguridad, como la proteccin de redes y dispositivos terminales, la administracin de la
seguridad y el cumplimiento normativo. Mike es uno de los oradores y comentaristas ms buscados en el negocio de la
seguridad, cuenta con una gran experiencia en seguridad de la informacin. Despus de 20 aos en el campo de la
seguridad, es uno de los que conocen los secretos del espacio.
Mike, quien comenz su carrera como programador y consultor de redes, se sum a META Group en 1993 y encabez
la incursin inicial de META en la investigacin de seguridad de la informacin. Mike se fue de META en 1998 y
fund SHYM Technology, una empresa pionera en el mercado del software de infraestructura de clave pblica (PKI), y
luego desempe funciones ejecutivas en CipherTrust y TruSecure. Cuando se cans de la vida de proveedor, Mike
fund Security Incite en 2006 para ser una voz racional en una industria de la seguridad sobredimensionada, pero
decepcionante. Despus de un breve desvo como vicepresidente snior de Estrategia en eIQnetworks para alcanzar
grandes logros en administracin de seguridad y cumplimiento normativo, Mike se sum a Securosis con un cinismo
rejuvenecido sobre el estado de la seguridad y lo que se necesita para sobrevivir como un profesional de la seguridad.
Mike public The Pragmatic CSO <http://www.pragmaticcso.com/> en 2007 para introducir a los profesionales de la
seguridad con orientacin tcnica a los matices de lo que se necesita para ser un profesional de la seguridad snior.
Tambin posee un valioso ttulo en ingeniera en Investigacin de Operaciones e Ingeniera Industrial de la Universidad
de Cornell. A su gente le encanta que usa literalmente cero por ciento de su educacin a diario. Pueden contactarlo en
mrothman (arroba) securosis (punto) com.

Securosis Seguridad y privacidad en la red encriptada

20

Acerca de Securosis
Securosis, LLC es una empresa de investigacin y anlisis independiente que se dedica al liderazgo intelectual, la
objetividad y la transparencia. Nuestros analistas han ocupado puestos ejecutivos y se dedican a brindar servicios de
consultora pragmticos y de alto valor. Nuestros servicios incluyen:
Principales publicaciones de investigaciones: actualmente, publicamos la gran mayora de nuestras investigaciones
en forma gratuita a travs de nuestro blog y las archivamos en nuestra Biblioteca de investigaciones. La mayora de
estos documentos de investigacin pueden ser patrocinados para su distribucin una vez al ao. Todos los materiales
publicados y las presentaciones cumplen con nuestros estrictos requisitos de objetividad y se ajustan a nuestra
poltica de investigacin totalmente transparente.
Productos de investigacin y servicios de consultora estratgicos para usuarios finales: Securosis va a presentar
una lnea de productos de investigacin y servicios de suscripcin basados en consultas diseados para ayudar a
organizaciones de usuarios finales a acelerar el xito de los programas y proyectos. Tambin se encuentran
disponibles proyectos de consultora adicionales, que incluyen asistencia para la seleccin de productos, estrategia de
tecnologa y arquitectura, educacin, evaluaciones de la administracin de la seguridad y evaluaciones de riesgo.
Servicios para proveedores con pago anticipado: aunque aceptaremos instrucciones de cualquier persona, algunos
proveedores optan por una relacin continua ms cercana. Ofrecemos una serie de paquetes de pago anticipado
flexibles. Los servicios disponibles como parte de un paquete de pago anticipado incluyen estrategia y anlisis de
productos y del mercado, orientacin sobre la tecnologa, evaluacin de productos y evaluacin de fusiones y
adquisiciones. Incluso con clientes pagos, mantenemos nuestros estrictos requisitos de objetividad y
confidencialidad. Hay informacin adicional disponible sobre nuestros servicios con pago anticipado (PDF).
Disertaciones externas y editorial: los analistas de Securosis a menudo hablan en eventos de la industria, realizan
presentaciones en lnea y escriben o hablan para una variedad de publicaciones y medios.
Otros servicios especializados: los analistas de Securosis tambin se encuentran disponibles para otros servicios,
entre ellos, das de consultora estratgica, encuentros de consultora de estrategia y servicios para inversores. Suelen
ser personalizados para satisfacer los requisitos particulares del cliente.
Nuestros clientes abarcan desde empresas nuevas hasta algunos de los usuarios finales y proveedores de tecnologa ms
conocidos. Los clientes incluyen grandes instituciones financieras, inversores institucionales, empresas medianas e
importantes proveedores de seguridad.
Adems, Securosis se asocia con laboratorios de anlisis de seguridad para ofrecer evaluaciones de productos nicas
que combinan anlisis tcnico en profundidad con anlisis de alto nivel de productos, arquitecturas y mercados. Para
obtener ms informacin acerca de Securosis, visite nuestro sitio web: <http://securosis.com/>.

Securosis Seguridad y privacidad en la red encriptada

21

Vous aimerez peut-être aussi