Jak se chránit před závadným šifrovaným provozem?

Ve snaze ukrást citlivá data skrývají kyberzločinci a insideři své útoky do šifrovaného provozu. Reálně se předpokládá, že v roce 2019 využije šifrování pro zakrytí svého průběhu až 70 % kybernetických útoků.

Současně rychle roste nasazování šifrování obecně. Nejnovější data ukazují, že přes 90 % internetového provozu je již šifrovaného, což vytváří místo, které lze zneužít.

Asi předpokládáte, že vás next-generation firewall (NGFW) před těmito skrytými útoky ochrání, ale téměř 2/3 organizací nedokážou svůj SSL/TLS provoz dešifrovat, a tím pádem ani kontrolovat. Svět se stále více spoléhá na šifrovaný provoz, jenže ponechání jeho průchodu firewallem bez kontroly může vystavit vaše podnikání, zákazníky a partnery nebezpečí.

Kdy next generation firewally nechrání před next generation hrozbami

NGFW často kontrolují provoz skrze analýzu aplikační vrstvy. Většinou se při tom spoléhají na hloubkovou kontrolu paketů (DPI), která však způsobuje přetížení zařízení, jelikož je náročná na výpočetní výkon.

Rozšířenější používání delších klíčů a složitějších šifer způsobuje, že pro běžná CPU je podstatně těžší držet krok s vyššími požadavky na výkon. Výsledkem je kvantifikovatelná degradace výkonu. Podle NSS ztrácejí NGFW, které se pokoušejí o dešifrování a opětovné šifrování SSL/TLS provozu, v průměru 60 % výkonu, v některých případech až 95 %. To je docela významný dopad na výkon vaší bezpečnostní infrastruktury!

Image by Gerd Altmann from Pixabay

Kromě toho NGFW často nemohou předat rozšifrovaný provoz dalším zařízením. To je problém v okamžiku, kdy dodržujete strategii Defense In Depthnebo používáte firewally od různých výrobců. Může to vést k situaci, kdy opakovaně dešifrujete a znovu šifrujete provoz procházející vašim bezpečnostním prostředím, což má pochopitelně negativní dopad na výkon. Stížnosti uživatelů pak mohou vést k vypnutí inspekce – nešťastně tím vyměníte spokojenost uživatelů za jejich špatné zabezpečení.

Odhalte svá hluchá místa, ne svůj obsah

Řešením je agnostický bezpečnostní nástroj, který vám umožní kontrolovat nešifrovaný (clear-text) provoz a zároveň zvýší výkon stávající bezpečnostní infrastruktury, čímž také prodlouží její životnost.

Jak toho dosáhnout? Nejlepší obranou vaší organizace před škodlivým šifrovaným provozem je dedikovaná platforma pro kontrolu SSL/TLS provozu. Měla by přitom splňovat následující kritéria.

Image by skylarvision from Pixabay

Šest kritérií pro výběr dedikované platformy pro kontrolu SSL/TLS provozu

Při výběru systému je důležité dbát na to, aby splňoval všechny tyto požadavky současně, jinak ponechá dveře otevřené některým hrozbám.

  1. Splňuje vaše požadavky na SSL/TLS výkon
  2. Pomáhá zajistit shodu s předpisy (např. GDPR, HIPAA atd.)
  3. Podporuje vaše další bezpečnostní zařízení – např. firewally, next-gen firewally, webové brány, pokročilou ochranu před hrozbami (ATP), forenzní a bezpečnostní systémy, systémy prevence ztráty dat (DLP) atd.
  4. Maximalizuje dostupnost a kapacitu vaší bezpečnostní infrastruktury
  5. Bezpečně spravuje vaše SSL/TLS certifikáty a klíče
  6. Obsahuje bohaté analytické funkce

Inovativní dešifrovací/šifrovací řešení od A10 Networks

Thunder SSLi od A10 Networks je účelové dešifrovací řešení, které eliminuje hluchá místa SSL/TLS a poskytuje plnou viditelnost do zašifrovaného provozu. Tím, že přebírá z existujících bezpečnostních řešení SSL/TLS operace náročné na procesor, zvyšuje efektivitu a výkon bezpečnostní infrastruktury.

Thunder SSLi umí dešifrovat provoz pro další bezpečnostní produkty včetně inline, non-inline (passive/TAP) a ICAP zařízení.

SSLi dešifruje provoz a předává jej jednomu nebo více bezpečnostním zařízením, což jim umožňuje pracovat se špičkovým výkonem, a současně tím výrazně omezuje latenci. Druhou možností nasazení je zrcadlení dešifrovaného provozu na IDS/DLP systémy, které případné hrozby identifikují, ale konkrétní akci ponechají na útvaru bezpečnosti.

Dedikované čipy pro akceleraci SSL poskytují zařízení vysoký výkon. Thunder SSLi pracuje s 2048bitovými a 4096bitovými klíči a zároveň podporuje více šifrovacích sad včetně kryptografie založené na eliptických křivkách (ECC) pro Perfect Forward Secrecy (PFS).

SSLi také pomáhá zajistit shodu bezpečnostní infrastruktury se stále se vyvíjejícími standardy, pravidly a předpisy pro ochranu dat a soukromí, jako jsou GDPR v EU nebo HIPAA pro zdravotnictví.

Pro nasazení ve větším počtu lokalit je k dispozici nástroj A10 Harmony Controller, který poskytuje centralizovanou analytiku provozu, konzoli pro správu a monitoring stavu dešifrovaného provozu a chování uživatelů ve snadno použitelném formátu.

Centralizovaný management a analytika poskytují plný vhled SSL provozu


Autor: Parth Jagirdar, Product Marketing Manager pro Enterprise Security, A10 Networks
Překlad a úpravy: Jan Mazal, VPGC
Zdroj:
A10 Networks – Next Generation Firewalls May Not Stop Malware