• Marcelo Ramos

NSA lança guideline para eliminar protocolos TLS obsoletos

A NSA (National Security Agency – Agência Nacional de Segurança dos EUA em tradução livre) lançou neste início de ano um documento com guia que “identifica estratégias para detectar conjuntos de criptografia obsoletos e mecanismos de troca de chaves, discute as configurações TLS recomendadas e fornece recomendações de remediação para organizações que usam configurações TLS obsoletas.”. No guia um link para um repositório no Github incorpora ao arsenal uma série de ferramentas que ajudarão na análise.


De uma forma simples, TLS e SSL (Secure Sockets Layer) foram desenvolvidos como protocolos que criam canais privados, criptografados e com autenticação entre um servidor e um cliente.


O uso de criptografia obsoleta traz uma falsa sensação de segurança. Agentes mal intencionados podem se valer de técnicas como descriptografia passiva e man-in-the-middle para interpretar ou mesmo modificar o tráfego em comunicações utilizando estes protocolos obsoletos.


A NSA recomenda que apenas as versões TLS 1.2 e 1.3 sejam utilizadas. SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1 não devem mais ser utilizadas.


O guia permite ao time de segurança elaborar um plano para eliminar configurações obsoletas, permitindo a detecção e priorização de ações.


Um dos itens que não aparece neste guia, mas que deve ser considerado pelo time de segurança, é a capacidade de seu firewall atual inspecionar pacotes TLS 1.2 e TLS 1.3. Essa inspeção é de suma importância. Segundo o Google Transparency Report, de 80% a 90% do tráfego web hoje é encriptado; e, segundo vários analistas de mercado algo próximo a 100% dos sites maliciosos e sites de comando e controle (sites utilizados por ransomwares para obter atualizações e ações a serem executadas) são encriptados. Deixar de analisar este tráfego no firewall abre uma série de possibilidades de ataques ao ambiente corporativo.


O guia pode ser acessado aqui.


O seu firewall inspeciona tráfego TLS e SSL? Se o seu firewall atual não tem essa capacidade - seja por que produto não as contemple, seja por que ao implementar a inspeção a carga gerada não é suportada pelo appliance - mantenha contato com um de nossos especialistas para analisarmos juntos os benefícios desta análise e como podemos implementá-la em sua empresa.


©2020 por Tiga Tecnologia