Прогалини в безпеці завдяки розшифровці SSLTLS

розшифровці
Vectra Networks вказує на ризики розшифрування SSL/TLS та глибокої перевірки пакетів звичайними рішеннями ІТ-безпеки. Наприклад, US-Cert (Американська команда з підготовки до надзвичайних ситуацій на комп'ютері) випустила попередження, що загальний метод перехоплення HTTPS (HTTPS Interception) послаблює безпеку транспортного рівня (TLS).

З ширшим використанням дедалі ширшого захисту приватності - в тому числі і зловмисників - індустрія безпеки відреагувала перехопленням і розшифровкою сеансів SSL (Secure Socket Layer) для виконання глибокої перевірки пакетів (DPI).

Безпечні веб-шлюзи, брандмауери, системи виявлення та запобігання вторгненню, а також рішення щодо запобігання втраті даних (DLP) мають одне спільне: вони перехоплюють зашифрований трафік даних SSL або TLS і розшифровують його для здійснення DPI та у такий спосіб виявити загрози. Однак це підвищує ризик вразливості в природно безпечній архітектурі.

“Користувачі часто цього не усвідомлюють і мають помилкове відчуття безпеки. Клієнтський браузер може перевірити захищений зв’язок лише з наступним комп’ютером, з яким він спілкується. Більшість пристроїв припускають, що наступний комп'ютер є кінцевим пунктом призначення, але це може бути просто мережевий пристрій, який перевіряє трафік SSL », - сказав Жерар Бауер, віце-президент EMEA у Vectra Networks. "Браузер лише підтверджує, що він взаємодіє із системою, яка надає сертифікат, але не те, що ця система насправді є".

Відповідний комп'ютер перевіряє, чи взаємодіє він із передбачуваним одержувачем, вивчаючи супровідний сертифікат та систему, яка його видала. Однак існує ризик того, що зловмисник може створити такий сертифікат або скористатися викраденим сертифікатом. Деякі браузери, такі як Microsoft Internet Explorer, навіть не дозволяють переглядати сертифікат, перш ніж прийняти його. Тому навіть команді охорони важко визначити, чи справді зв’язок надійний.

На додаток до потенційних недоліків безпеки, перехоплення та перевірка трафіку SSL (SSL Inception & SSL Inspection) має значний вплив на продуктивність, як перевірено лабораторіями NSS. В середньому сім брандмауерів наступного покоління, протестовані NSS Labs, зазнали втрати продуктивності близько 74 відсотків при 512-розрядному та 1024-розрядному та близько 81 відсотків втрат при 2048-розрядному. Чим краще шифрування, тим більший показник продуктивності.

Перехоплення та перевірка SSL-трафіку звичайними продуктами ІТ-безпеки сьогодні не вписуються в наш ІТ-світ, де трафік даних дедалі шифрується з метою забезпечення конфіденційності та безпеки. З іншого боку, сучасний підхід до безпеки не вимагає від вас розшифровувати трафік SSL для виявлення загроз або атак.

Традиційний метод DPI працює, відкриваючи пакети даних для ідентифікації певного вмісту, наприклад даних, характерних для DLP, або шкідливого програмного забезпечення. Це відбувається по периметру мережі, де трафік між користувачами та адресами призначення в Інтернеті надходить і згасає.

"Кращий підхід - відстежувати мережевий трафік на предмет незвичних дій та поведінки кібератаків, замість того, щоб активно перевіряти трафік на наявність шкідливих програм", - говорить Жерар Бауер. «Сучасні рішення безпеки визначають поточні кібератаки без дешифрування трафіку SSL або TLS. Штучний інтелект (ШІ) у формі алгоритмів машинного навчання відстежує мережевий трафік з метою виявлення та аналізу хвилинних коливань таких протоколів, як HTTPS, HTTP та DNS. Якщо в ньому приховані додаткові рівні командно-адміністративного зв'язку, це вказується ".

Це виявлення працює на всіх етапах циклу атаки, включаючи розвідку, бічне переміщення в мережі та вилучення даних. Сучасний підхід до виявлення кібератак не лише дає уявлення про поведінку зловмисника в зашифрованому трафіку. Команди безпеки також виграють від більш високої ймовірності виявлення протягом усього циклу атаки.

Моделі безпеки, що базуються на виявленні периметра, обмежуються ідентифікацією первинного вторгнення в мережу та будь-якого можливого вихідного командно-адміністративного зв'язку. Однак більшість кібератак відбувається всередині периметра мережі, тобто в межах мережі. Відстежуючи поведінку зловмисників на всіх хостах мережі, Vectra може бачити хід атаки.

"У випадку класичного підходу DPI по периметру, зловмисники повинні бути успішними лише один раз, тоді як захисники повинні бути успішними кожного разу", - підсумовує Жерар Бауер. "Якщо, навпаки, штучний інтелект використовується для ідентифікації поведінки зловмисників, навіть у зашифрованому трафіку, захисникам доведеться лише розпізнати частину атаки і можуть зупинити атаку".