Dalla prospettiva di investire risorse per far funzionare i servizi web sotto il protocollo; fa molta differenza se hai implementato TLS vs eseguito nella modalità HTTP normale all'interno del firewall?
Ammesso che una presenza vile sia arrivata alla rete intranet, con quale facilità TLSv1.2 potrebbe essere sfondato.
TLS 1.2 è probabilmente ancora il migliore che ci sia. Si noti che l'idea alla base del protocollo stesso è relativamente sicura. Il problema si trova all'interno dei dettagli del protocollo.
Ci sono diverse decisioni di progettazione che non sono così grandi all'interno di TLS, come l'idea di eseguire un MAC sul messaggio / frame invece che sul testo cifrato. L'effetto di ciò fu che l'attacco di oracle divenne una possibilità. Tuttavia, correzioni corrette del protocollo possono evitarlo. Per quanto ne so non ci sono vulnerabilità importanti che non possono essere riparate.
Se si tiene aggiornato il software e si sceglie una suite di crittografia protetta e un metodo di autenticazione, TLS 1.2 può ancora fornire molta sicurezza. Se è facile da schierare, sicuramente non ne discuto. Se vale il costo è qualcosa che dovrai decidere; dipende più dalla tua situazione (casi d'uso, modello di minaccia, numero di dispositivi sulla rete, rapporto costi / benefici ecc.) se vale il costo delle risorse.
I firewall sono mitigazioni, non fermano tutti gli attacchi. Se lo facessero, non ci sarebbero mai brecce. Se apprezzi i dati elaborati dai tuoi server web interni, li fai usare solo HTTPS.
Non è probabile che il TLS 1.2 sia danneggiato, ma gli autori degli attacchi non devono interrompere TLS, lo fanno girare intorno.
E non pensare che i firewall non abbiano anche problemi di sicurezza, prendi in considerazione questo vulnerabilità in un dispositivo firewall Cisco, consente l'esecuzione di codice in modalità remota. Quindi, il tuo firewall è diventato il firewall dell'attaccante e può quindi configurarlo per inserire nella whitelist gli indirizzi IP che controlla per attaccare ulteriormente la tua rete.