Dešifrování SSL provozu: Doporučené postupy pro zabezpečení, soulad s předpisy i produktivitu

Dnes se šifruje v podstatě všechno – Google uvádí, že k 18. 8. 2019 je šifrováno 94 procent provozu napříč jeho produkty a službami. Nejde však o jedinou společnost, která oznamuje nárůst použití šifrování, všechny běžně používané prohlížeče včetně Safari a Mozilly pozorují stejný trend. Co tedy tato rostoucí vlna šifrování znamená pro organizace, a co s tím mohou dělat?

Dále se dozvíte:

  • Jak může šifrování organizace ohrozit.
  • Proč je dešifrování SSL/TLS (Secure Sockets Layer/Transport Layer Security) zásadní.
  • Co by společnosti měly chtít po dedikovaných řešeních pro dešifrování SSL.

Jak může šifrování ohrozit organizaci

Největším přínosem šifrování provozu je samozřejmě soukromí. Koneckonců, pokud nakupujete v e-shopech nebo používáte online bankovnictví, nechcete, aby vaše číslo kreditní karty nebo jakékoli jiné informace umožňující identifikaci osob (PII) získal kdokoli jiný.

Proto byly po celém světě zavedeny různé zákony, jako je Obecné nařízení o ochraně údajů (GDPR) a Kalifornský zákon o ochraně soukromí spotřebitelů (CCPA), aby se zajistilo zachování soukromí internetových uživatelů.

Šifrování vytváří slepá místa

Šifrování lze však snadno zneužít ke krytí závadné činnosti. V organizacích může vytvořit velké slepé místo, které ztěžuje nebo znemožňuje identifikaci útoků.

Pokud je například šifrováno 80 procent provozu organizace, která nemá vhodné dešifrovací řešení, bude moci sledovat a analyzovat pouze 20 procent svého provozu. To ponechává obrovskou mezeru, kterou mohou útočníci volně využít k infiltraci sítě bez ohledu na jakékoli firewally nebo jinou ochranu.

Zde je výčet některých způsobů, jak mohou útočníci využít šifrování ve svůj prospěch:

  • Drive-by downloady (nechtěné stažení závadného souboru)
  • Viry a trojské koně zabudované do běžných dokumentů
  • Podvržené weby určené k infikování návštěvníků malwarem
  • Phishingové útoky, ať už personalizované (spear-phishing), nebo obecné
  • Ransomwarové útoky pomocí šifrovaných připojení sloužících pro doručení malwaru

Jakmile dojde ke kompromitaci systému organizace, je možné její citlivá data rychle propašovat ven k útočníkovi.

Nebo v případě ransomwaru může útočník data zašifrovat a držet jako rukojmí pro získání výkupného. Může jít o informace o kreditních kartách, jména, adresy a další. Jednoduše řečeno, organizace se nemohou reálně zabezpečit, pokud nemají úplnou viditelnost do svého (šifrovaného) provozu.

Jak může šifrování ovlivnit dodržování předpisů a produktivitu

Kromě bezpečnostních problémů může mít šifrování vážné dopady na dodržování předpisů i produktivitu. Pokud jde o zajištění shody s předpisy, je zřejmé, že s nedávným zavedením GDPR jsou organizace povinny šifrovat provoz. Pokud tak neučiní, mohou čelit vysokým pokutám.

Jak je však uvedeno výše, šifrování může představovat řadu výzev. V tomto případě, pokud dojde k úniku šifrovaných dat, ponesou organizace odpovědnost a budou opět vystaveny velkým pokutám.

Na druhou stranu standardy, jako je HIPAA (Health Insurance Portability and Accountability Act z roku 1996), vyžadují, aby organizace nedešifrovaly údaje o zdravotní péči a udržely úplné soukromí uživatelů.

Šifrování může mít také závažné dopady na produktivitu. S nárůstem šifrování můžeme sledovat také nárůst jeho zneužívání jako mechanismu doručování malwaru a ransomwaru, které mohou takto snadno splynout s legitimním šifrovaným provozem. Jakmile je malware nebo ransomware doručen a nainstalován, může v síti způsobit zmatky, šířit se napříč počítači a nakazit vše, co mu přijde do cesty.

Příkladem může být město Baltimore v Marylandu, které bylo v květnu 2019 zasaženo ransomwarem, v důsledku čehož se ocitly hlavní komponenty komunálních počítačových systémů mimo provoz. Šlo o hlasové zprávy, e-maily, databázi pokut a platební systém.

Útočníci použili variantu ransomwaru nazvanou RobbinHood – typ trojského koně. Systémy zasažené útokem byly  ochromeny. Úředníci nebyli schopni ověřit 14 000 poplatků za kanalizaci, došlo ke zpoždění prodeje nemovitostí a politik Bernard „Jack“ Young odhadl, že celkové náklady útoku dosáhly 18 milionů dolarů.

S ohledem na to je jasné, jak mohou počítačové útoky zneužívající šifrování způsobit pokles produktivity. Mnoho podniků navíc přesouvá většinu svého softwaru pro produktivitu, jako je Microsoft Office 365, do cloudu. U tradičních instalací se data přenášela mezi uživateli a on-premise aplikacemi (east-west traffic).

Nyní se u SaaS aplikací provoz pohybuje mezi uživateli a cloudem (north-south). To znamená, že veškerý provoz musí projít vaším bezpečnostním stackem ven ze sítě, aby se dostal na internet.

Sady bezpečnostních řešení v organizacích nebyly často na takovou zátěž navrženy, a mohou tak v síti vytvářet úzká hrdla, přidávat latenci a zhoršovat uživatelskou zkušenost. Dokážete si představit, jak tyto problémy narostou u podniků, které mají více globálních poboček.

Pro zmírnění těchto problémů poskytovatelé SaaS, jako je Microsoft, doporučují organizacím nastavit výjimky za účelem zlepšení výkonu. Funguje to tak, že na úrovni pobočky oddělíte provoz SaaS a přesměrujete jej přímo do cloudu. To zlepší výkon, ale vytváří další problém: nedostatek viditelnosti do provozu SaaS.

Proč je úplná viditelnost do provozu zásadní

Plná viditelnost je nezbytná pro zvýšení zabezpečení, udržení produktivity a vyvarování se problémů, jako je nesoulad s předpisy. Proto organizace potřebují dešifrovat svůj provoz, aby:

  • měly šifrování pod kontrolou: je důležité určit, kde a jaké typy provozu by se v podnikové síti měly či neměly šifrovat.
  • umožnily plnou inspekci: v rámci sítě musí být místo, kde je možné zkontrolovat veškerý provoz.

Implementací efektivního dešifrování mohou společnosti zabránit ztrátě produktivity a předejít vysokým pokutám spojeným s narušením dat.

Důležitost dedikovaného dešifrování SSL

Je nezbytné, aby společnosti nasadily dešifrování SSL na okraji své podnikové sítě. A to proto, že se jejich bezpečnostní stack obvykle skládá z více řešení a zařízení, která často nejsou bez dešifrování provozu účinná.

Multi-device a multi-vendor prostředí vyžadují dešifrování provozu, který se nebude průběžně narušovat. Jinými slovy, společnosti by měly hledat řešení, která podporují a rozšiřují jejich stávající bezpečnostní infrastrukturu.

V ideálním případě by tato řešení měla být dedikovaná. Ačkoli mnoho next generation firewallů (NGFW) dokáže dešifrovat, nemají dostatečný výkon na to, aby byly stejně účinné jako vyhrazený dešifrovací produkt.

Pro představu výzkum NSS z roku 2018 zjistil, že NGFW se zapnutým dešifrováním SSL/TSL způsobil:

  • Průměrnou degradaci rychlosti připojení o 92 procent
  • Průměrnou degradaci propustnosti o 60 procent, s maximální degradací u některých výrobců přesahující 90 procent
  • Průměrné zvýšení latence o 672 procent

Je zřejmé, že pro organizace není finančně proveditelné, aby kupovaly stále dražší NGFW, nebo se vyrovnaly s výrazným poklesem výkonu a špatnou uživatelskou zkušeností. Místo toho by se měly poohlédnout po specializovaných dešifrovacích řešeních.

Potřeba plné viditelnosti z jednoho místa

S růstem organizace a expanzí do dalších lokalit, je navíc obtížné sledovat bezpečnostní politiky aplikované na různá dešifrovací zařízení. Za účelem udržení spolehlivé ochrany a uplatňování jednotných zásad napříč všemi lokalitami je nezbytné řešení centralizované správy.

Některá nařízení o zpracování údajů se však vztahují pouze na určité regiony, zatímco jiné se zas vztahují pouze na některé typy údajů. Proto musí být řešení centralizované správy dostatečně flexibilní, aby bylo možné vytvořit různé politiky pro různé regiony a instalace.

Centralizovaný management by měl být spojený s řešením centrální viditelnosti, aby všechna zařízení rozmístěná po více lokalitách mohla být monitorována z jednoho místa.

To posílí zabezpečení, protože jakékoli události nebo anomálie v provozu, které se vyskytnou na různých místech, mohou být okamžitě detekovány a ošetřeny. Plná viditelnost do provozu napříč všemi pobočkami a cloudem umožňuje také vidět, zda někde nedochází k bypassu zabezpečení (např. pro SaaS).

Tento článek vychází z informací diskutovaných na webináři „Decrypting SSL Traffic: Best Practices for Security, Compliance, and Productivity“. Zde jej můžete po registraci bezplatně zhlédnout.

O řešeních A10 Thunder SSLi se dozvíte více na webu A10 Networks nebo u distributora VPGC a v českém A10 FAQ.

Autor: Babur Khan, A10 Networks
Překlad a úpravy: Jan Mazal, VPGC
Zdroj:
A10 Networks – Decrypting SSL Traffic: Best Practices for Security, Compliance, and Productivity