Estoy investigando la violación de Equifax descrita aquí: enlace
Al parecer, el ataque no se detectó durante un largo período de tiempo y la razón principal que lo explica son los certificados caducados: debido a los certificados caducados, el IPS de Equifax no pudo inspeccionar el tráfico cifrado y detectar el incumplimiento a tiempo.
- Edite, según la respuesta de Steffen Ulrich a continuación -
La página 34 del informe proporciona algunos detalles más:
El SSL expirado El certificado se instaló en un dispositivo de monitoreo de tráfico llamado SSL Dispositivo de visibilidad (SSLV ).195 Este dispositivo permitió a Equifax inspeccionar El tráfico cifrado fluye hacia y desde la plataforma ACIS mediante el descifrado El tráfico para su análisis antes de enviarlo al ACIS. Servidores.196 Tanto el sistema de detección de intrusos como el intruso. El sistema de prevención estaba detrás de este dispositivo de monitoreo.
Y más abajo en la misma página:
La configuración predeterminada para este dispositivo permite web tráfico para continuar a través del sistema ACIS, incluso cuando el SSL el certificado ha caducado. Cuando esto ocurre, el tráfico que fluye hacia y desde Internet no es analizado por la detección o prevención de intrusos. sistemas porque estas herramientas de seguridad no pueden analizar el tráfico cifrado. Según los documentos obtenidos, el certificado SSL instalado en el El dispositivo SSLV que supervisa el dominio ACIS ai.equifax.com expiró el 31 de enero de 2016. Como resultado, Equifax no tuvo visibilidad en el tráfico de red en el entorno ACIS durante diecinueve meses
- final de edición -
Según mi investigación, aún debería ser posible descifrar datos, incluso con un certificado caducado. Considere, por ejemplo, esta publicación aquí: enlace
No estoy familiarizado con los productos IPS y las respectivas posibilidades de configuración, por lo que estoy un poco confundido: ¿Cuál es exactamente el problema con el certificado caducado? ¿El IPS está comprobando la validez y en caso del certificado? ¿Está vencido solo se niega a descifrar el tráfico? Si es así, parece que debería haber al menos una opción para descifrar de todos modos y emitir una advertencia a quien esté ejecutando el IPS. ¿Hay tal cosa?
Gracias por su perspicacia y saludos