Безбедносни празнини преку дешифрирање на SSLTLS
Бидејќи енкрипцијата се користи се повеќе и повеќе за заштита на приватноста - вклучително и од криминалци - безбедносната индустрија одговори со пресретнување и дешифрирање на сесии на SSL (Secure Socket Layer) со цел да изврши длабока инспекција на пакети (DPI).
Безбедни веб-порти, заштитени allидови, системи за откривање и спречување на упади, како и решенија за спречување на загуба на податоци (DLP) имаат едно нешто заедничко: Тие го пресретнуваат шифрираниот сообраќај на податоци SSL или TLS и го дешифрираат со цел да ги извршат DPI и на овој начин да се идентификуваат заканите. Сепак, ова го зголемува ризикот од ранливост во инхерентно безбедната архитектура.
„Корисниците честопати не се свесни за ова и имаат лажно чувство на безбедност. Прелистувачот на клиентот може да потврди безбедна комуникација само со следниот компјутер со кој комуницира. Повеќето уреди претпоставуваат дека следниот компјутер е крајната дестинација, но тој може да биде само мрежен уред што проверува сообраќај на SSL “, рече éерард Бауер, потпретседател ЕМЕА во мрежите Вектра. „Прелистувачот само потврдува дека комуницира со систем што обезбедува сертификат, но не и каков е тој систем.
Соодветниот компјутер проверува дали комуницира со наменетиот примач со испитување на придружниот сертификат и системот што го издал. Сепак, постои ризик напаѓачот да создаде таков сертификат или да користи украден сертификат. Некои прелистувачи, како што е Microsoft Internet Explorer, дури и не дозволуваат преглед на сертификат пред да го прифатите. Затоа, дури и за безбедносниот тим е тешко да утврди дали врската е навистина безбедна.
Покрај потенцијалните безбедносни дупки, пресретнувањето и проверката на сообраќајот SSL (SSL Inception & SSL Inspection) има значително влијание врз перформансите, како што е тестирано од страна на лабораториите на NSS. Во просек, седумте заштитени идови од следната генерација тестирани од НСС лаборатории доживеале загуба на перформанси од околу 74 проценти на 512-битни и 1.024-битни и околу 81% загуби на 2.048-битни. Колку е подобра енкрипцијата, толку е поголема казната за изведба.
Следењето и проверката на SSL сообраќајот од страна на конвенционалните производи за ИТ безбедност не се вклопува во денешниот ИТ свет, во кој сообраќајот на податоци се повеќе се криптира во корист на приватноста и безбедноста. Современиот пристап кон безбедноста, од друга страна, не бара да го дешифрирате SSL сообраќајот со цел да идентификувате закани или напади.
Традиционалниот метод на DPI работи со отворање на пакетите со податоци за идентификување на одредена содржина, како што се податоци специфични за DLP или малициозен софтвер. Ова се прави на периметарот на мрежата каде што влегува и згаснува сообраќајот помеѓу корисниците и адресите на Интернет-дестинациите.
„Подобар пристап е да се следи мрежниот сообраќај за невообичаени активности и однесување од страна на сајбер напаѓачите, наместо активно да се испитува сообраќајот за малициозен софтвер“, вели eraерард Бауер. „Современите безбедносни решенија ги идентификуваат тековните сајбер напади без дешифрирање на сообраќајот SSL или TLS. Вештачката интелигенција (AI) во форма на алгоритми за машинско учење го следи мрежниот сообраќај со цел да се детектираат и анализираат минутните флуктуации во протоколите како што се HTTPS, HTTP и DNS. Ако во неа се скриени дополнителни слоеви на командна и контролна комуникација, ова е означено. "
Ова откривање работи за сите фази на циклусот на напад, вклучително и извидување, странично движење во мрежата и ексфилтрација на податоци. Современиот пристап кон откривање на сајбер напади не само што нуди увид во однесувањето на напаѓачот во шифрираниот сообраќај. Безбедносните тимови исто така имаат корист од поголема веројатност за откривање во текот на целиот нападен циклус.
Безбедносните модели засновани на откривање на периметарот се ограничени на идентификување на првичниот упад во мрежата и каква било можна излезна командна и контролна комуникација. Сепак, повеќето сајбер напади се случуваат во мрежниот периметар, т.е. во мрежните граници. Со следење на однесувањето на напаѓачите на сите домаќини на мрежата, Вектра може да го види напредокот на нападот.
„Во случај на класичен пристап на ДПИ на периметар, напаѓачите треба да бидат успешни само еднаш, додека бранителите треба да бидат успешни секој пат“, заклучува eraерард Бауер. „Ако, пак, се користи вештачка интелигенција за идентификување на однесувањето на напаѓачите, дури и во шифриран сообраќај, бранителите треба да препознаат само дел од нападот и можат да го запрат нападот.