Hlavní překážky pro dosažení účinné kontroly a blokování škodlivého provozu a jak je odstranit

Představte si následující scénář: Ve vaší firmě vše běží jako obvykle, když si najednou někdo čirou náhodou všimne ve vaší síti známek škodlivé aktivity. Bezpečnostní zařízení, která jste nasadili ve své infrastruktuře, ale nehlásí žádné hrozby a nemáte ponětí, jak zjistit, co se vlastně děje. Vzhledem k tomu, že vaše bezpečnostní zařízení neumí dešifrovat SSL provoz, nedokážou odhalit skryté hrozby a nikdy nenaleznou skutečný zdroj problému.

V okamžiku, kdy si to uvědomíte, je pozdě: Šifrovaný malware se dostal do vaší infrastruktury a už to není otázka prevence, ale zjišťování a zmírňování škod.

Tato hypotetická situace je pro některé organizace celkem běžná. Obvykle ale existuje spíše kombinace několika problémů než jeden konkrétní viník.

Rozeberme proto blíže několik problémů, které přispívají k neschopnosti společností účinně kontrolovat provoz a podíváme se i na řešení těchto výzev.

Problém č. 1: Šifrovaný svět

Šifrování je dnes téměř všudypřítomné: Podle Google Transparency Reportu je již více než 90 % internetového provozu šifrováno.

Přestože je vyšší úroveň šifrování z hlediska ochrany osobních údajů dobrou zprávou, vytváří také „hluché“ místo, které řešení pro ochranu sítě nedokážou ochránit. Bohužel, hackeři neztráceli čas, a naučili se tuto „mezeru“ využívat pro doručování malwaru a jiného závadného obsahu.

Řada společností se spoléhá na existující bezpečnostní řešení a pokouší se využít vestavěné funkce dešifrování. To však přináší řadu nevýhod: tyto typy nástrojů běžně používají pouze softwarové dešifrování, což má za následek výrazné snížení výkonu.

Testy od NSS Labs ukázaly, jak moc výkon při zapnutí dešifrování trpí:

  • Průměrná propustnost klesla na 60 %
  • Rychlost sestavování spojení klesla o 92 %
  • Doba odezvy aplikací/latence se zvýšila o 672 %

To například znamená, že inspekční propustnost bezpečnostního řešení se po zapnutí dešifrování snížila z deklarovaných 10 gigabitů na 2-3 gigabity. To je 70%-80% pokles výkonu.

Blíže jsme se tomuto tématu věnovali v článku Proč Next Generation Firewally nechrání zcela před malwarem.

Aby zabránily tak extrémnímu zhoršení výkonu, nasazují některé organizace specializovaná dešifrovací řešení. I když jsou tyto technologie dobrým lékem na všechny dešifrovací komplikace, můžou být pro změnu složité na správu a nasazení. Právě na snadnost implementace a správy by se podniky měly kromě samotného výkonu při výběru zaměřit.

Problém č. 2: Strategie SSL inspekce, které škáluje s růstem organizace

Díky dedikovanému dešifrovacímu zařízení může i menší společnost snadno získat plnou viditelnost v síťovém provozu, a lépe se tak bránit všem druhům útoků. Toto řešení je však účinné pouze v případě, že je nasazeno na stejném místě jako celý bezpečnostní stack.

S růstem organizace a otevíráním dalších poboček a kanceláří poroste i potřeba dešifrování a vhledu do provozu, což dříve nebo později vytvoří další problém. Bez centralizované viditelnosti nezískají organizace dostatečně široké chápaní toho, co se v síti děje. V jeden okamžik mohou sledovat pouze jednu pobočku a těžko dohlédnou na to, co v celku způsobuje komplikace.

Například velká organizace má své IT oddělení obvykle v centrále. IT tým však potřebuje podrobněji sledovat veškerý provoz včetně toho, co teče přes různé pobočky, případně úřady po celé zemi nebo mezi státy.

Pro řešení tohoto problému potřebuje organizace centralizované řešení pro správu a dohled. To by mělo být doplněné intuitivními dashboardy a akceschopnou analytikou, která může řídit a kontrolovat všechny pobočky bez ohledu na jejich geografickou polohu.

Centralizovaná správa politik navíc pomůže zajistit konzistenci zásad zabezpečení ve všech lokacích. Konzistentní politiky mohou zase pomoci organizacím zůstat v souladu s řadou standardů a předpisů pro ochranu soukromí a dat.

Problém č. 3: Moderní aplikace vytvářejí nové problémy

Rychlá adopce SaaS a přesun tradičních nástrojů produktivity do cloudu vedla k tomu, že si dnes spousta organizací nedokáže představit běžný chod bez Office 365, G Suite nebo Dropboxu.

Stále větší využití SaaS však znamená, že aplikace, které byly dříve hostovány na serveru, jsou nyní dostupné v cloudu, což zvýšilo objem provozu „north-south“ mezi podnikem a internetem. Bez ohledu na směr toku dat však stále očekáváte, že se uživatelská zkušenost nezmění.

Vzhledem k tomu, že starší bezpečnostní řešení nebyla navržena tak, aby zvládla tak vysoké objemy provozu na perimetru, potýkají se s poklesem výkonu a vytvářejí úzká hrdla. Ačkoliv by zpomalení sítě mohlo být v některých případech přijatelné, v případě SaaS může způsobit velké komplikace.

Aby se předešlo těmto problémům a udržela se spokojenost uživatelů, mnoho poskytovatelů SaaS služeb doporučuje společnostem, aby umožnily aplikacím obcházet bezpečnostní produkty a přímo se připojit k důvěryhodné cloudové službě, například k Microsoft Office 365. Tím však vzniká obrovská propast v celkové viditelnosti provozu, protože v něm jednoduše nejsou SaaS aplikace zahrnuté.

Efektivní inspekce webového SSL provozu

Ponaučením je, že nepropojená a lokalizovaná viditelnost sítě sama o sobě nestačí, zejména v době SaaS. Organizace musí být schopny vidět do svého cloudového provozu. Dosáhnout toho lze pomocí lokalizovaného, specializovaného dešifrovacího řešení, které pracuje ruku v ruce s centralizovaným řešením správy a viditelnosti, které je schopno zaznamenávat provoz jak v síti, tak v cloudu.

Poskytování inteligentních řešení pro lokální dešifrování a globální viditelnost

Abychom to zrekapitulovali – východiskem je inteligentní bezpečnostní řešení, které doplní vaše stávající bezpečnostní produkty a pomůže vám překonat výzvy ve škálovatelnosti výkonu a viditelnosti:

  1. Dedikovaný dešifrovací nástroj, který je snadné nasadit, je uživatelsky přívětivý a podporuje celou dosavadní bezpečnostní infrastrukturu v podnikové síti. Jeden nástroj tak dokáže obsloužit celý bezpečnostní stack a snižuje celkové náklady na vlastnictví (TCO).
  2. Centralizovaná správa politik, která umožní organizaci sjednotit bezpečnostní pravidla napříč všemi lokalitami.
  3. Akceschopná analytika a centralizovaná aplikační viditelnost a kontrola, která poskytne organizaci viditelnost na úrovni aplikací pro vlastní síť i cloudový provoz.
  4. Centralizovaný management a viditelnost, která umožní organizaci zachytit jakékoliv anomálie v provozu, jež by jinak zapadly kvůli izolaci analytik na jednotlivých lokacích.

Stále vyšší podíl šifrovaného provozu, různé geograficky oddělené lokality a popularita SaaS aplikací vedou k tomu, že je obtížné udržet konzistentní viditelnost a schopnost řídit celou infrastrukturu.

Dedikované dešifrování, které je spojeno s centralizovaným managementem a akceschopnou analytikou, může organizacím zjednodušit proces správy, aplikovat jednotné zásady zabezpečení a efektivně dešifrovat a kontrolovat veškerý provoz.

Autor: Babur Khan, A10 Networks
Překlad a úpravy: Jan Mazal, VPGC
Zdroj: A10 Networks – The Major Hurdles You Face In Effectively Inspecting and Blocking Malicious Traffic