Анализ на SSL връзки

Как да решим корпоративни SSL проблеми

С приложения като SharePoint, Exchange, WebEx, Salesforce.com и Google Apps обемът на SSL (криптиран) трафик в предприятието бързо нараства. Освен това повечето имейл приложения (като Gmail, Yahoo и Zimbra) осигуряват връзки чрез SSL.

Шифрованият трафик защитава данните на крайния потребител, но в същото време създава слепи зони за сигурност. Инфраструктурата за корпоративна сигурност не „вижда“ SSL трафика и следователно някои заплахи могат да останат незабелязани. В допълнение към защитата на информацията, SSL криптирането предоставя отличен инструмент за атакуващите да прикрият своите атаки, както се вижда от новините за някои скорошни атаки.

В допълнение към външните заплахи, които използват SSL канали за заобикаляне на механизмите за сигурност, изходящият трафик също се превръща в проблем. Анализът на изходящия трафик се превръща в болезнена точка за много системи за сигурност, фокусирани върху предотвратяването на загуба на данни, законното прихващане на информация и одита на спазването на сигурността. За такива системи SSL трафикът просто остава „в сянка“.

Този документ се опитва да разбере причините за увеличаването на SSL трафика и по какви методи може да се използва за решаване на проблемите, съпътстващи използването на SSL в предприятието.

Кога е необходим SSL

Предприятията най-често използват SSL за криптиране на изходящия трафик, за да защитят информацията, предавана през отворена мрежа. Но дори вътре в предприятието, SSL се оказва полезен: например за криптиране на поверителна информация, когато се прехвърля между отделите, или за запазване на информацията за дейностите на предприятието в тайна. Предприятията също са изправени пред необходимостта от криптиране на връзките на мобилни потребители, които се свързват дистанционно с корпоративната мрежа и поради тази причина, базирана на SSL VPN технология бързо се развива.

Нарастване на SSL трафика

Докато SSL решава много проблеми със сигурността чрез криптография, някои заплахи за криптиране могат да останат незабелязани от механизмите за сигурност. Усложнява нещата факта, че криптираният трафик съставлява значителна и нарастваща част от трафика в цялото предприятие. Проучванията показват, че средно 25-35% от корпоративния трафик е криптиран, а в някои случаи цифрата може да достигне 70%.

анализ

Фигура 1. Използване на SSL

Какви проблеми могат да бъдат причинени от използването на SSL

Очевидно има законни причини за криптиране на входящия/изходящия трафик на предприятие. Но криптираният трафик е изпълнен и с рискове за сигурността, тъй като SSL може да скрие техните дейности и злонамерен софтуер. Както повечето ИТ мениджъри знаят, всички предимства на SSL лесно се превъзхождат от потенциалните опасности от криптиран трафик. Докато SSL гарантира поверителността на потребителската и корпоративната информация, като защитава данните от прихващане, едновременно криптирането може да затрудни или дори невъзможно спазването на корпоративните политики за сигурност. Освен това SSL затруднява ИТ администраторите да защитават крайните потребители от заплахи като спам и злонамерен софтуер. Без възможността да анализират съдържанието на криптиран канал, мрежовите оператори са по-трудни за предотвратяване на изтичане на информация или кражба. SSL също прави почти невъзможно спазването на всички изисквания, продиктувани от регулаторни документи, като например откриване на случайно или умишлено изтичане на информация.

SSL методи за контрол на трафика

За да защитят бизнеса си, мрежовите оператори вече са внедрили редица мрежови устройства и системи за сигурност, за да наблюдават спазването на корпоративните политики за сигурност и правителствените разпоредби. Устройствата могат да изпълняват широк спектър от функции: откриване на злонамерен софтуер, контрол на сърфирането в мрежата, филтриране на трафика, VPN функционалност, системи за откриване и предотвратяване на проникване, унифицирани системи за управление на заплахи, контрол на спама, спазване на нормативните изисквания и т.н. По правило работата на устройствата се основава на подробен анализ на трафика и пакетите, по-специално търсене на известни подписи за атаки, блокиране и поддържане на статистика за атаките. За съжаление, много системи за сигурност и мрежови устройства анализират само некриптиран трафик и следователно с нарастващото използване на SSL повечето решения стават все по-малко ефективни.