Пропуски в сигурността чрез SSLTLS дешифриране
Тъй като криптирането се използва все повече и повече за защита на неприкосновеността на личния живот - включително от престъпници, индустрията за сигурност реагира чрез прихващане и декриптиране на SSL (Secure Socket Layer) сесии, за да извърши задълбочена проверка на пакети (DPI).
Сигурните уеб шлюзове, защитните стени, системите за откриване и предотвратяване на проникване, както и решенията за предотвратяване на загуба на данни (DLP) имат едно общо нещо: те прихващат SSL или TLS криптиран трафик на данни и го дешифрират, за да извършат DPI и по този начин за идентифициране на заплахи. Това обаче увеличава риска от уязвимост в една по същество сигурна архитектура.
„Потребителите често не са наясно с това и имат фалшиво чувство за сигурност. Клиентският браузър може да провери защитената комуникация само със следващия компютър, с който комуникира. Повечето устройства приемат, че следващият компютър е крайната дестинация, но това може да бъде просто мрежово устройство, което проверява SSL трафика “, каза Жерар Бауер, вицепрезидент EMEA във Vectra Networks. „Браузърът само потвърждава, че комуникира със система, която предоставя сертификат, но не и каква е всъщност тази система.“
Съответният компютър проверява дали комуникира с желания получател, като изследва придружаващия сертификат и системата, която го е издала. Съществува риск обаче нападателят да създаде такъв сертификат или да използва откраднат сертификат. Някои браузъри, като Microsoft Internet Explorer, дори не позволяват преглед на сертификат, преди да го приемат. Следователно е трудно дори за екипа по сигурността да определи дали връзката е наистина сигурна.
В допълнение към потенциалните недостатъци в сигурността, прихващането и проверката на SSL (SSL Inception & SSL Inspection) трафик има значително въздействие върху производителността, както е тествано от NSS Labs. Средно седемте защитни стени от следващо поколение, тествани от NSS Labs, са претърпели загуба на производителност от около 74% при 512-битова и 1024-битова и около 81% загуба при 2048-битова. Колкото по-добро е криптирането, толкова по-голяма е санкцията за производителност.
Прихващането и проверката на SSL трафика от конвенционални продукти за ИТ сигурност не се вписва в нашия ИТ свят днес, в който трафикът на данни все повече се криптира в полза на поверителността и сигурността. Съвременният подход към сигурността, от друга страна, не изисква от вас да дешифрирате SSL трафик, за да идентифицирате заплахи или атаки.
Традиционният метод на DPI работи чрез отваряне на пакетите с данни за идентифициране на определено съдържание, като данни, специфични за DLP или злонамерен софтуер. Това се прави в периметъра на мрежата, където трафикът между потребителите и адресите на интернет дестинация влиза и излиза.
„По-добрият подход е да се наблюдава мрежовият трафик за необичайни действия и поведение от кибератаки, вместо активно да се изследва трафикът за злонамерен софтуер“, казва Жерар Бауер. „Съвременните решения за сигурност идентифицират продължаващите кибератаки, без да дешифрират SSL или TLS трафик. Изкуственият интелект (AI) под формата на алгоритми за машинно обучение наблюдава мрежовия трафик, за да открива и анализира малки колебания в протоколи като HTTPS, HTTP и DNS. Ако в него са скрити допълнителни слоеве за командване и управление, това се показва.
Това откриване работи за всички етапи от цикъла на атака, включително разузнаване, странично движение в мрежата и екфилтрация на данни. Съвременният подход за откриване на кибер атаки предлага не само представа за поведението на нападателя в криптиран трафик. Екипите за сигурност също се възползват от по-голяма вероятност за откриване през целия цикъл на атака.
Моделите за сигурност, базирани на откриване на периметъра, са ограничени до идентифициране на първоначалното проникване в мрежата и всяка възможна изходяща комуникация за командване и управление. Повечето кибер атаки обаче се извършват вътре в периметъра на мрежата, т.е.в границите на мрежата. Чрез наблюдение на поведението на нападателите на всички хостове в мрежата, Vectra може да види напредъка на атаката.
"В случая на класическия подход на DPI по периметъра, нападателите трябва да бъдат успешни само веднъж, докато защитниците трябва да бъдат успешни всеки път", заключава Жерар Бауер. "Ако, от друга страна, изкуствен интелект се използва за идентифициране на поведението на нападателите, дори в криптиран трафик, защитниците ще трябва да разпознаят само част от атаката и могат да спрат атаката."