Analizar el tráfico de red en busca de malware y otras amenazas informáticas es cada vez más complicado debido a que cada vez viaja por la red más tráfico cifrado. Aunque la mayoría de los antivirus del mercado hoy en día son capaces de descifrar este tráfico y analizarlo antes de llegar a nuestro ordenador, el método utilizado por estos antivirus no es el mejor, ni en cuanto a seguridad ni en cuanto a privacidad. Las grandes empresas de Networking, como Cisco, están buscando constantemente desarrollar nuevas medidas de seguridad para poder proteger, lo mejor posible, a los usuarios de las amenazas de Internet, y una de estas nuevas medidas es ETA.
ETA, Encrypted Traffic Analytics, es una nueva herramienta de seguridad avanzada, desarrollada por Cisco, capaz de identificar el malware que se pueda ocultar dentro del tráfico cifrado pero sin la necesidad de interceptar y descifrar los datos, al contrario de lo que hacen las soluciones de seguridad actuales, evitando romper la cadena de protección y privacidad de las comunicaciones cifradas.
Esta nueva medida de seguridad de sus productos hace uso de una configuración de varias capas de Machine Learning para ser capaz de leer todo el tráfico, sin descifrarlo, y poder detectar las pequeñas diferencias entre el tráfico fiable y el malicioso. Para ello, ETA examina el paquete de datos inicial de la conexión y, utilizando este paquete para determinar la secuencia y longitud de los paquetes posteriores. Cuando al analizar el resto de paquetes esto no coincide con la información que se había determinado es porque se ha realizado alguna modificación en el tráfico, probablemente, por una amenaza informática. Puedes usar Wireshark para capturar tráfico.
Gracias al Machine Learning, esta solución aprende automáticamente a medida que se utiliza, por lo que su eficacia es cada vez mayor y se extiende en el tiempo. Sin embargo, el Machine Learning necesita una gran cantidad de recursos, por lo que no todos los clientes de Cisco podrán utilizarla.
Disponibilidad de Cisco Encrypted Traffic Analytics
Esta herramienta ya ha estado siendo utilizada en algunas redes, en modo de prueba, desde junio de 2017, sin embargo, tal como ha asegurado la compañía, a partir de ahora empezará a ofrecerla en un mayor número de equipos y redes, aunque también, de momento, de forma bastante limitada.
Debido al funcionamiento de esta nueva tecnología, para poder disponer de ella es necesario que los clientes tengan el hardware más moderno de Cisco. Así, algunos de los productos que van a recibir Encrypted Traffic Analytics como función adicional de IOS XE son:
- Integrated Services Router (ISR): 4000, 1000 y ENCS 5000.
- Aggregation Services Router (ASR) 1000
- Cloud Services Router (CSR) 1000V
De esta manera, los productos punteros de la compañía van a poder empezar a hacer uso de esta nueva medida de seguridad, y es que, según las últimas estadísticas, se calcula que el 80% del tráfico de Internet viaje cifrado de cara a 2019, así como que el 50% de todo el tráfico malicioso se aproveche de este cifrado para intentar pasar desapercibido.
¿Qué opinas de Encrypted Traffic Analytics, la nueva tecnología de Cisco para detectar malware en el tráfico cifrado sin descifrarlo?