Lacune de securitate prin decriptare SSLTLS
Deoarece criptarea este utilizată din ce în ce mai mult pentru a proteja confidențialitatea - inclusiv a infractorilor - industria securității a răspuns prin interceptarea și decriptarea sesiunilor SSL (Secure Socket Layer) pentru a efectua inspecția profundă a pachetelor (DPI).
Gateway-urile web securizate, firewall-urile, sistemele de detectare și prevenire a intruziunilor, precum și soluțiile de prevenire a pierderii de date (DLP) au un lucru în comun: interceptează traficul de date criptat SSL sau TLS și îl decriptează pentru a efectua DPI și în acest fel pentru a identifica amenințările. Cu toate acestea, acest lucru crește riscul de vulnerabilitate într-o arhitectură inerent sigură.
„Adesea, utilizatorii nu sunt conștienți de acest lucru și au un fals sentiment de securitate. Browserul client poate verifica numai comunicarea sigură cu următorul computer cu care comunică. Majoritatea dispozitivelor presupun că următorul computer este destinația finală, dar ar putea fi doar un dispozitiv de rețea care verifică traficul SSL ”, a declarat Gérard Bauer, vicepreședinte EMEA la Vectra Networks. "Browserul confirmă doar că comunică cu un sistem care furnizează un certificat, dar nu ceea ce este de fapt acel sistem."
Computerul respectiv verifică dacă comunică cu destinatarul intenționat examinând certificatul de însoțire și sistemul care l-a eliberat. Cu toate acestea, există riscul ca un atacator să creeze un astfel de certificat sau să utilizeze un certificat furat. Unele browsere, cum ar fi Microsoft Internet Explorer, nici măcar nu vă permit să vizualizați un certificat înainte de a-l accepta. Prin urmare, este dificil chiar și pentru echipa de securitate să stabilească dacă conexiunea este într-adevăr sigură.
Pe lângă potențialele defecte de securitate, interceptarea și inspecția traficului SSL (SSL Inception & SSL Inspection) are un impact semnificativ asupra performanței, după cum a fost testat de NSS Labs. În medie, cele șapte firewall-uri de nouă generație testate de NSS Labs au înregistrat o pierdere de performanță de aproximativ 74% la 512 biți și 1.024 biți și aproximativ 81% pierderi la 2.048 biți. Cu cât criptarea este mai bună, cu atât este mai mare pedeapsa de performanță.
Interceptarea și inspecția traficului SSL de către produsele de securitate IT convenționale nu se încadrează în lumea IT actuală, în care traficul de date este criptat din ce în ce mai mult în beneficiul confidențialității și securității. O abordare modernă a securității, pe de altă parte, nu necesită decriptarea traficului SSL pentru a identifica amenințările sau atacurile.
Metoda tradițională a DPI funcționează prin deschiderea pachetelor de date pentru a identifica un anumit conținut, cum ar fi datele specifice DLP sau malware. Acest lucru se face la perimetrul rețelei unde intră și iese traficul dintre utilizatori și adresele de destinație Internet.
„O abordare mai bună este monitorizarea traficului de rețea pentru acțiuni și comportamente neobișnuite ale atacatorilor cibernetici, în loc să examineze în mod activ traficul pentru a detecta malware”, spune Gerard Bauer. „Soluțiile moderne de securitate identifică atacurile cibernetice în desfășurare fără a decripta traficul SSL sau TLS. Inteligența artificială (AI) sub formă de algoritmi de învățare automată monitorizează traficul de rețea pentru a detecta și analiza fluctuații minime în protocoale precum HTTPS, HTTP și DNS. Dacă în aceasta sunt ascunse straturi suplimentare de comunicare de comandă și control, acest lucru este indicat. "
Această detectare funcționează pentru toate etapele ciclului de atac, inclusiv recunoașterea, mișcarea laterală în rețea și exfiltrarea datelor. Abordarea modernă a detectării atacurilor cibernetice nu oferă doar informații despre comportamentul atacatorului în traficul criptat. Echipele de securitate beneficiază, de asemenea, de o probabilitate mai mare de detectare pe parcursul întregului ciclu de atac.
Modelele de securitate bazate pe detectarea perimetrului sunt limitate la identificarea intruziunii inițiale în rețea și a oricărei posibile comunicări de comandă și control de ieșire. Cu toate acestea, majoritatea atacurilor cibernetice au loc în interiorul perimetrului rețelei, adică în limitele rețelei. Prin monitorizarea comportamentului atacatorilor pe toate gazdele din rețea, Vectra poate vedea progresul unui atac.
„În cazul abordării clasice DPI la perimetru, atacatorii trebuie să aibă succes doar o dată, în timp ce apărătorii trebuie să aibă succes de fiecare dată”, conchide Gerard Bauer. „Dacă, pe de altă parte, inteligența artificială este utilizată pentru a identifica comportamentul atacatorilor, chiar și în traficul criptat, apărătorii ar trebui să recunoască doar o parte din atac și pot opri atacul”.