Predstavte si nasledujúcu scenár: Vo vašej firme všetko beží ako obvykle, keď si zrazu niekto čírou náhodou vo vašej sieti všimne známok škodlivej aktivity. Bezpečnostné zariadenia, ktoré ste nasadili vo svojej infraštruktúre, nehlásia žiadne hrozby a nemáte potuchy, ako zistiť, čo sa vlastne deje. Vzhľadom k tomu, že vaše bezpečnostné zariadenia nevedia dešifrovať SSL prevádzku, nedokážu odhaliť skryté hrozby a nikdy nenájdu skutočný zdroj problému.
V okamihu, keď si to uvedomíte, je neskoro: Šifrovaný malware sa dostal do vašej infraštruktúry a už to nie je otázka prevencie, ale zisťovanie a zmierňovanie škôd.
Táto hypotetická situácia je pre niektoré organizácie celkom bežná. Obvykle ale existuje skôr kombinácia niekoľkých problémov ako jeden konkrétny vinník.
Rozoberme preto bližšie niekoľko problémov, ktoré prispievajú k neschopnosti spoločností účinne kontrolovať prevádzku a pozrieme sa aj na riešenie týchto výziev.
Problém č. 1: Šifrovaný svet
Šifrovanie je dnes takmer všadeprítomné: Podľa Google Transparency Reportu je už viac ako 90 % internetovej prevádzky šifrované.
Hoci je vyššia úroveň šifrovania z hľadiska ochrany osobných údajov dobrou správou, vytvára tiež „hluché“ miesto, ktoré riešenie pre ochranu siete nedokážu ochrániť. Bohužiaľ, hackeri nestrácali čas, a naučili sa túto „medzeru“ využívať pre doručovanie malwaru a iného škodlivého obsahu.
Veľa spoločností sa spolieha na existujúce bezpečnostné riešenia a pokúša sa využiť vstavané funkcie dešifrovania. To však prináša mnoho nevýhod: tieto typy nástrojov bežne používajú iba softvérové dešifrovanie, čo má za následok výrazné zníženie výkonu.
Testy od NSS Labs ukázali, ako moc výkon pri zapnutí dešifrovanie trpí:
- Priemerná priepustnosť klesla na 60 %
- Rýchlosť zostavovaní spojenia klesla o 92 %
- Doba odozvy aplikácií/latencia sa zvýšila o 672 %
To napríklad znamená, že inšpekčná priepustnosť bezpečnostného riešenia sa po zapnutí dešifrovania znížila z deklarovaných 10 gigabitov na 2-3 gigabity. To je 70% -80% pokles výkonu.
Bližšie sme sa tejto téme venovali v článku Prečo Next Generation Firewally nechráni úplne pred malwarom.
Aby zabránili tak extrémnemu zhoršeniu výkonu, nasadzujú niektoré organizácie špecializované dešifrovacie riešenie. Aj keď sú tieto technológie dobrým liekom na všetky dešifrovacie komplikácie, môžu byť pre zmenu zložité na administratívu a nasadenie. Práve na jednoduchosť implementácie a správy by sa podniky mali okrem samotného výkonu pri výbere zamerať.
Problém č. 2: Stratégia SSL inšpekcie, ktorá škáluje s rastom organizácie
Vďaka dedikovanému kryptografickému zariadeniu môže aj menšia spoločnosť ľahko získať plnú viditeľnosť do sieťovej prevádzky, a lepšie sa tak brániť všetkým druhom útokov. Toto riešenie je však účinné len v prípade, že je nasadené na rovnakom mieste ako celý bezpečnostný stack.
S rastom organizácie a otváraním ďalších pobočiek a kancelárií porastie aj potreba dešifrovania a vhľadu do prevádzky, čo skôr alebo neskôr vytvorí ďalší problém. Bez centralizovanej viditeľnosti nezískajú organizácie dostatočne široké chápanie toho, čo sa v sieti deje. V jeden okamih môžu sledovať iba jednu pobočku a ťažko dohliadnu na to, čo v celku spôsobuje komplikácie.
Napríklad veľká organizácia má svoje IT oddelenie zvyčajne v centrále. IT tím však potrebuje podrobnejšie sledovať všetku prevádzku vrátane toho, čo tečie cez rôzne pobočky, prípadne úrady po celej krajine alebo medzi štátmi.
Pre riešenie tohto problému potrebuje organizácia centralizované riešenie pre správu a dohľad. To by malo byť doplnené intuitívnymi dashboardami a operačnou analytikou, ktorá môže riadiť a kontrolovať všetky pobočky bez ohľadu na ich geografickú polohu.
Centralizovaná správa politík navyše pomôže zabezpečiť konzistenciu zásad zabezpečenia vo všetkých lokalitách. Konzistentné politiky môžu zase pomôcť organizáciám zostať v súlade s množstvom štandardov a predpisov na ochranu súkromia a dát.
Problém č. 3: Moderné aplikácie vytvárajú nové problémy
Rýchla adopcia SaaS a presun tradičných nástrojov produktivity do cloudu viedla k tomu, že si dnes veľa organizácií nedokáže predstaviť bežný chod bez Office 365, G Suite alebo Dropboxu.
Stále väčšie využitie SaaS však znamená, že aplikácie, ktoré boli predtým hosťované na serveri, sú teraz dostupné v cloude, čo zvýšilo objem „north-south“ prevádzky medzi podnikom a internetom. Bez ohľadu na smer toku dát však stále očakávate, že sa užívateľská skúsenosť nezmení.
Vzhľadom k tomu, že starší bezpečnostné riešenia neboli navrhnuté tak, aby zvládli tak vysoké objemy prevádzky na perimetri, stretávajú sa s poklesom výkonu a vytvárajú úzke hrdlá. Hoci by spomalenie siete mohlo byť v niektorých prípadoch prijateľné, v prípade SaaS môže spôsobiť veľké komplikácie.
Aby sa predišlo týmto problémom a udržala sa spokojnosť užívateľov, mnoho poskytovateľov SaaS služieb odporúča spoločnostiam, aby umožnili aplikáciám obchádzať bezpečnostné produkty a priamo sa pripojiť k dôveryhodné cloudovej službe, napríklad k Microsoft Office 365. Tým však vzniká obrovská priepasť v celkovej viditeľnosti v prevádzke, pretože v nej jednoducho nie sú SaaS aplikácie zahrnuté.

Ponaučením je, že neprepojená a lokalizovaná viditeľnosť siete sama o sebe nestačí, najmä v čase SaaS. Organizácie musia byť schopné vidieť do svojej cloudovej prevádzky. Dosiahnuť to je možno pomocou lokalizovaného, špecializovaného kryptografického riešenia, ktoré pracuje ruku v ruke s centralizovaným riešením správy a viditeľnosti, ktoré je schopné zaznamenávať prevádzku ako v sieti, tak v cloude.
Poskytovanie inteligentných riešení pre lokálne dešifrovanie a globálnu viditeľnosť
Aby sme to zrekapitulovali – východiskom je inteligentné bezpečnostné riešenie, ktoré doplní vaše súčasné bezpečnostné produkty a pomôže vám prekonať výzvy vo škálovateľnosti, výkonu a viditeľnosti:
- Dedikovaný dešifrovací nástroj, ktorý je ľahké nasadiť, je užívateľsky prívetivý a podporuje celú doterajšiu bezpečnostnú infraštruktúru v podnikovej sieti. Jeden nástroj tak dokáže obslúžiť celý bezpečnostný stack a znižuje celkové náklady na vlastníctvo (TCO).
- Centralizovaná správa politík, ktorá umožní organizácii zjednotiť bezpečnostné pravidlá naprieč všetkými lokalitami.
- Akcieschopná analytika a centralizovaná aplikačná viditeľnosť a kontrola, ktorá poskytne organizácii viditeľnosť na úrovni aplikácií pre vlastnú sieť i cloudovú prevádzku.
- Centralizovaný management a viditeľnosť, ktorá umožní organizácii zachytiť akékoľvek anomálie v prevádzke, ktoré by inak zapadli kvôli izolácii analytik na jednotlivých lokáciách.
Stále vyšší podiel šifrovanej prevádzky, rôzne geograficky oddelené lokality a popularita SaaS aplikácií vedú k tomu, že je ťažké udržať konzistentnú viditeľnosť a schopnosť riadiť celú infraštruktúru.
Dedikované dešifrovanie, ktoré je spojené s centralizovaným manažmentom a operačnou analytikou, môže organizáciám zjednodušiť proces správy, aplikovať jednotné zásady zabezpečenie a efektívne dešifrovať a kontrolovať všetku prevádzku.
Autor: Babur Khan, A10 Networks
Preklad a úpravy: Jan Mazal, VPGC
Zdroj: A10 Networks – The Major Hurdles You Face In Effectively Inspecting and Blocking Malicious Traffic