Dešifrovanie SSL prevádzky: Odporúčané postupy zabezpečenie, súlad s predpismi aj produktivitu

Dnes sa šifruje v podstate všetko – Google uvádza, že k 18. 8. 2019 je šifrovaných 94 percent prevádzky naprieč jeho produktmi a službami. Nejde však o jedinú spoločnosť, ktorá oznamuje nárast použitia šifrovania, všetky bežne používané prehliadače vrátane Safari a Mozilly pozorujú rovnaký trend. Čo teda táto rastúca vlna šifrovania znamená pre organizácie, a čo s tým môžu robiť?

Ďalej sa dozviete:

  • Ako môže šifrovanie organizácie ohroziť.
  • Prečo je dešifrovanie SSL/TLS (Secure Sockets Layer/Transport Layer Security) zásadné.
  • Čo by spoločnosti mali chcieť po dedikovaných riešeniach pre dešifrovanie SSL.
  • Ako môže šifrovanie ohroziť organizáciu
  • Najväčším prínosom šifrovania prevádzky je samozrejme súkromie. Koniec koncov, ak nakupujete v e-shopoch alebo používate online bankovníctvo, nechcete, aby vaše číslo kreditnej karty alebo akékoľvek iné informácie umožňujúce identifikáciu osôb (PII) získal ktokoľvek iný.

Preto boli po celom svete zavedené rôzne zákony, ako je Všeobecné nariadenie o ochrane osobných údajov (GDPR) a Kalifornský zákon o ochrane súkromia spotrebiteľov (CCPA), aby sa zabezpečilo zachovanie súkromia internetových užívateľov.

Šifrovanie vytvára slepé miesta

Šifrovanie možno však ľahko zneužiť na krytie závadnej činnosti. V organizáciách môže vytvoriť veľké slepé miesto, ktoré sťažuje alebo znemožňuje identifikáciu útokov.

Ak je napríklad šifrovaných 80 percent prevádzky organizácie, ktorá nemá vhodné dešifrovacie riešenie, bude môcť sledovať a analyzovať len 20 percent svojej prevádzky. To ponecháva obrovskú medzeru, ktorú môžu útočníci voľne využiť na infiltráciu siete bez ohľadu na akékoľvek firewally alebo inú ochranu.

Tu je zoznam niektorých spôsobov, ako môžu útočníci využiť šifrovanie vo svoj prospech:

  • Drive-by downloady (nechcené stiahnutie závadného súboru)
  • Vírusy a trójske kone zabudované do bežných dokumentov
  • Podvrhnuté weby určené k infikovaniu návštevníkov malwarom
  • Phishingové útoky, či už personalizované (spear-phishing), alebo všeobecné
  • Ransomwarové útoky pomocou šifrovaných pripojení slúžiacich pre doručenie malwaru

Akonáhle dôjde k zneužitiu systému organizácie, je možné jej citlivé dáta rýchlo prepašovať von k útočníkovi.

Alebo v prípade ransomwaru môže útočník dáta zašifrovať a držať ako rukojemníkov na získanie výkupného. Môže ísť o informácie o kreditných kartách, mená, adresy a ďalšie. Jednoducho povedané, organizácie sa nemôžu reálne zabezpečiť, ak nemajú úplnú viditeľnosť do svojej (šifrovanej) prevádzky.

Ako môže šifrovanie ovplyvniť dodržiavanie predpisov a produktivitu

Okrem bezpečnostných problémov môže mať šifrovanie vážne dôsledky na dodržiavanie predpisov i produktivitu. Pokiaľ ide o zaistenie zhody s predpismi, je zrejmé, že s nedávnym zavedením GDPR sú organizácie povinné šifrovať prevádzku. Ak tak neurobí, môžu čeliť vysokým pokutám.

Ako sa však uvádza vyššie, šifrovanie môže predstavovať množstvo výziev. V tomto prípade, ak dôjde k úniku šifrovaných dát, ponesie organizácia zodpovednosť a bude opäť vystavená veľkým pokutám.

Na druhú stranu štandardy, ako je HIPAA (Health Insurance Portability and Accountability Act z roku 1996), vyžadujú, aby organizácia nedešifrovala údaje o zdravotnej starostlivosti a udržala úplné súkromie užívateľov.

Šifrovanie môže mať tiež vážne dôsledky na produktivitu. S nárastom šifrovania môžeme sledovať tiež nárast jeho zneužívania ako mechanizmu doručovania malwaru a ransomwaru, ktoré môžu takto ľahko splynúť s legitímnou šifrovanou prevádzkou. Akonáhle je malware alebo ransomware doručený a nainštalovaný, môže v sieti spôsobiť zmätky, šíriť sa naprieč počítačmi a nakaziť všetko, čo mu príde do cesty.

Príkladom môže byť mesto Baltimore v Marylande, ktoré bolo v máji 2019 zasiahnuté ransomwarom, v dôsledku čoho sa ocitli hlavné komponenty komunálnych počítačových systémov mimo prevádzky. Išlo o hlasové správy, e-maily, databázu pokút a platobný systém.

Útočníci použili variantu ransomwaru nazvanú RobbinHood – typ trójskeho koňa. Systémy zasiahnuté útokom boli ochromené. Úradníci neboli schopní overiť 14 000 poplatkov za kanalizáciu, došlo k oneskoreniu predaja nehnuteľností a politik Bernard „Jack“ Young odhadol, že celkové náklady útoku dosiahli 18 miliónov dolárov.

S ohľadom na to je jasné, ako môžu počítačové útoky zneužívajúce šifrovanie spôsobiť pokles produktivity. Mnoho podnikov navyše presúva väčšinu svojho softvéru pre produktivitu, ako je Microsoft Office 365, do cloudu. U tradičných inštalácií sa dáta prenášala medzi užívateľmi a on-premise aplikáciami (east-west traffic).

Teraz sa u SaaS aplikácií prevádzka pohybuje medzi užívateľmi a cloudom (north-south). To znamená, že všetka prevádzka musí prejsť vaším bezpečnostným stackom von zo siete, aby sa dostala na internet.

Sady bezpečnostných riešení v organizáciách neboli často na takú záťaž navrhnuté, a môžu tak v sieti vytvárať úzke hrdlá, pridávať latenciu a zhoršovať užívateľskú skúsenosť. Dokážete si predstaviť, ako tieto problémy narastú u podnikov, ktoré majú viac globálnych pobočiek.

Pre zmiernenie týchto problémov poskytovatelia SaaS, ako je Microsoft, odporúčajú organizáciám nastaviť výnimky za účelom zlepšenia výkonu. Funguje to tak, že na úrovni pobočky oddelíte prevádzku SaaS a presmerujete ju priamo do cloudu. To zlepší výkon, ale vytvára ďalší problém: nedostatok viditeľnosti do prevádzky SaaS.

Prečo je úplná viditeľnosť do prevádzky zásadná

Plná viditeľnosť je nevyhnutná pre zvýšenie zabezpečenia, udržanie produktivity a vyvarovanie sa problémov, ako je nesúlad s predpismi. Preto organizácie potrebujú dešifrovať svoju prevádzku, aby:

  • mali šifrovanie pod kontrolou: je dôležité určiť, kde a aké typy prevádzky by sa v podnikovej sieti mali či nemali šifrovať.
  • umožnili plnú inšpekciu: v rámci siete musí byť miesto, kde je možné skontrolovať všetku prevádzku.

Implementáciou efektívneho dešifrovania môžu spoločnosti zabrániť strate produktivity a predísť vysokým pokutám spojeným s narušením dát.

Dôležitosť dedikovaného dešifrovania SSL

Je nevyhnutné, aby spoločnosti nasadili dešifrovanie SSL na okraji svojej podnikovej siete. A to preto, že sa ich bezpečnostný stack obvykle skladá z viacerých riešení a zariadení, ktoré často nie sú bez dešifrovania prevádzky účinné.

Multi-device a multi-vendor prostredí vyžadujú dešifrovanie prevádzky, ktorá sa nebude priebežne narušovať. Inými slovami, spoločnosti by mali hľadať riešenia, ktoré podporujú a rozširujú ich existujúcu bezpečnostnú infraštruktúru.

V ideálnom prípade by tieto riešenia mali byť dedikované. Hoci mnoho next generation firewallov (NGFW) dokáže dešifrovať, nemajú dostatočný výkon na to, aby boli rovnako účinné ako vyhradený dešifrovací produkt.

Pre predstavu výskum NSS z roku 2018 zistil, že NGFW so zapnutým dešifrovaním SSL/TSL spôsobil:

  • Priemernú degradáciu rýchlosti pripojenia o 92 percent
  • Priemernú degradáciu priepustnosti o 60 percent, s maximálnou degradáciou u niektorých výrobcov presahujúcu 90 percent
  • Priemerné zvýšenie latencie o 672 percent

Je zrejmé, že pre organizácie nie je finančne realizovateľné, aby kupovali stále drahšie NGFW, alebo sa vyrovnali s výrazným poklesom výkonu a zlou užívateľskou skúsenosťou. Namiesto toho by sa mali poobzerať po špecializovaných dešifrovacích riešeniach.

Potreba plnej viditeľnosti z jedného miesta

S rastom organizácie a expanziou do ďalších lokalít, je navyše ťažké sledovať bezpečnostné politiky aplikované na rôzne dešifrovacie zariadenia. Za účelom udržania spoľahlivej ochrany a uplatňovanie jednotných zásad naprieč všetkými lokalitami je nevyhnutné riešenie centralizovanej správy.

Niektoré nariadenia o spracovaní údajov sa však vzťahujú len na určité regióny, zatiaľ čo iné sa zas vzťahujú len na niektoré typy údajov. Preto musí byť riešenie centralizovanej správy dostatočne flexibilné, aby bolo možné vytvoriť rôzne politiky pre rôzne regióny a inštalácie.

Centralizovaný management by mal byť spojený s riešením centrálnej viditeľnosti, aby všetky zariadenia rozmiestnené po viacerých lokalitách mohli byť monitorované z jedného miesta.

To posilní zabezpečenie, pretože akékoľvek udalosti alebo anomálie v prevádzke, ktoré sa vyskytnú na rôznych miestach, môžu byť okamžite detekované a ošetrené. Plná viditeľnosť do prevádzky naprieč všetkými pobočkami a cloudom umožňuje tiež vidieť, či niekde nedochádza k bypassu zabezpečenia (napr. pre SaaS).

Tento článok vychádza z informácií diskutovaných na webinári „Decrypting SSL Traffic: Best Practices for Security, Compliance, and Productivity“. Tu ho môžete po registrácii bezplatne vidieť.

O riešeniach A10 Thunder SSLi sa dozviete viac na webe A10 Networks alebo u distribútora VPGC a v českom A10 FAQ.

Autor: Babur Khan, A10 Networks
Preklad a úpravy: Jan Mazal, VPGC
Zdroj: A10 Networks – Decrypting SSL Traffic: Best Practices for Security, Compliance, and Productivity