Medzery v zabezpečení prostredníctvom dešifrovania SSLTLS

ssltls
Spoločnosť Vectra Networks poukazuje na riziká dešifrovania SSL/TLS a hĺbkovej kontroly paketov konvenčnými bezpečnostnými riešeniami IT. Napríklad spoločnosť US-Cert (US Computer Emergency Readiness Team) vydala varovanie, že bežná metóda zachytávania HTTPS (HTTPS Interception) oslabuje zabezpečenie transportnej vrstvy (TLS).

Vďaka tomu, že sa šifrovanie čoraz viac používa na ochranu súkromia - vrátane zločincov - bezpečnostný priemysel reagoval zachytením a dešifrovaním relácií SSL (Secure Socket Layer), aby vykonali hĺbkovú kontrolu paketov (DPI).

Zabezpečené webové brány, brány firewall, systémy detekcie a prevencie narušenia, ako aj riešenia na prevenciu straty údajov (DLP) majú jednu spoločnú vec: Zachytávajú šifrovaný prenos údajov SSL alebo TLS a dešifrujú ho za účelom vykonania DPI a týmto spôsobom identifikovať hrozby. To však zvyšuje riziko zraniteľnosti v inherentne zabezpečenej architektúre.

„Používatelia o tom často nevedia a majú falošný pocit bezpečia. Prehliadač klienta môže overiť iba bezpečnú komunikáciu s ďalším počítačom, s ktorým komunikuje. Väčšina zariadení predpokladá, že nasledujúci počítač je hlavným cieľom, ale mohlo by ísť iba o sieťové zariadenie, ktoré kontroluje prenos SSL, “uviedol Gérard Bauer, viceprezident pre oblasť Vectra Networks pre oblasť EMEA. „Prehliadač iba potvrdzuje, že komunikuje so systémom, ktorý poskytuje certifikát, nie však tým, čím tento systém v skutočnosti je.“

Príslušný počítač skontroluje, či komunikuje s určeným príjemcom, a to preskúmaním sprievodného osvedčenia a systému, ktorý ho vydal. Existuje však riziko, že by útočník mohol takýto certifikát vytvoriť alebo použiť ukradnutý certifikát. Niektoré prehľadávače, napríklad Microsoft Internet Explorer, neumožňujú ani zobrazenie certifikátu pred jeho prijatím. Preto je aj pre bezpečnostný tím ťažké určiť, či je spojenie skutočne bezpečné.

Okrem potenciálnych bezpečnostných chýb má zachytávanie a kontrola prenosu SSL (SSL Inception & SSL Inspection) významný vplyv na výkon, ako to testujú laboratóriá NSS. V priemere sedem firewallov novej generácie testovaných laboratóriami NSS zaznamenalo stratu výkonu asi 74 percent pri 512-bitových a 1 024-bitových a asi 81-percentných stratách pri 2 048-bitových. Čím lepšie šifrovanie, tým vyšší trest za výkon.

Zachytávanie a kontrola prenosu SSL konvenčnými bezpečnostnými produktmi IT sa nehodia do nášho dnešného sveta IT, v ktorom je dátový prenos čoraz viac šifrovaný v prospech ochrany súkromia a bezpečnosti. Moderný prístup k bezpečnosti na druhej strane nevyžaduje dešifrovanie prenosu SSL, aby ste mohli identifikovať hrozby alebo útoky.

Tradičná metóda DPI funguje tak, že sa dátové pakety otvárajú na identifikáciu určitého obsahu, napríklad údajov špecifických pre DLP alebo malvér. To sa deje na okraji siete, kde prichádza a odchádza prevádzka medzi používateľmi a cieľovými internetovými adresami.

„Lepším prístupom je monitorovanie sieťovej premávky neobvyklými činnosťami a správaním kybernetických útočníkov namiesto aktívneho skúmania prenosu malvéru,“ hovorí Gerard Bauer. „Moderné bezpečnostné riešenia identifikujú prebiehajúce kybernetické útoky bez dešifrovania prenosu SSL alebo TLS. Umelá inteligencia (AI) vo forme algoritmov strojového učenia monitoruje sieťový prenos s cieľom detekovať a analyzovať drobné výkyvy v protokoloch, ako sú HTTPS, HTTP a DNS. Ak sú v ňom skryté ďalšie vrstvy príkazovej a riadiacej komunikácie, je to označené. “

Táto detekcia funguje vo všetkých fázach útočného cyklu vrátane prieskumu, bočného pohybu v sieti a exfiltrácie údajov. Moderný prístup k odhaľovaniu kybernetických útokov ponúka nielen náhľad na správanie útočníka v šifrovanej komunikácii. Tímy zabezpečenia tiež profitujú z vyššej pravdepodobnosti detekcie počas celého cyklu útoku.

Bezpečnostné modely založené na detekcii perimetra sa obmedzujú na identifikáciu počiatočného vniknutia do siete a akejkoľvek možnej odchádzajúcej komunikácie príkazu a riadenia. Väčšina kybernetických útokov sa však odohráva vo vnútri obvodu siete, to znamená v medziach siete. Monitorovaním správania útočníkov na všetkých hostiteľoch v sieti môže Vectra sledovať priebeh útoku.

„V prípade klasického prístupu DPI po obvode musia byť útočníci úspešní iba raz, zatiaľ čo obrancovia musia byť úspešní zakaždým,“ uzatvára Gerard Bauer. „Ak sa naopak na identifikáciu správania útočníkov použije umelá inteligencia, a to aj v šifrovanom prenose, obrancovia by museli rozpoznať iba časť útoku a môžu útok zastaviť.“