Prečo Next Generation Firewally úplne nechránia pred malwarom

Written by

Posted on

Ako sa chrániť pred škodlivou šifrovanou prevádzkou?

V snahe ukradnúť citlivé dáta skrývajú kyberzločinci a insideri svoje útoky do šifrovanej prevádzky. Reálne sa predpokladá, že v roku 2019 využije šifrovanie pre zakrytie svojho priebehu až 70 % kybernetických útokov.

Súčasne rýchlo rastie nasadzovanie šifrovania všeobecne. Najnovšie dáta ukazujú, že vyše 90 % internetovej prevádzky je už šifrované, čo vytvára miesto, ktoré je možné zneužiť.

Asi predpokladáte, že vás next-generation firewall (NGFW) pred týmito skrytými útokmi ochráni, ale takmer 2/3 organizácií nedokážu svoju SSL/TLS prevádzku dešifrovať, a tým pádom ani kontrolovať. Svet sa stále viac spolieha na šifrovanú prevádzku, lenže ponechanie jej priechodu firewallom bez kontroly môže vystaviť vaše podnikanie, zákazníkov a partnerov nebezpečenstvu.

Kedy next generation firewally nechráni pred next generation hrozbami

NGFW často kontrolujú prevádzku skrze analýzu aplikačnej vrstvy. Väčšinou sa pri tom spoliehajú na hĺbkovú kontrolu paketov (DPI), ktorá však spôsobuje preťaženie zariadenia, pretože je náročná na výpočtový výkon.

Rozšírenejšie používanie dlhších kľúčov a zložitejších šifier spôsobuje, že pre bežná CPU je podstatne ťažšie držať krok s vyššími požiadavkami na výkon. Výsledkom je kvantifikovateľná degradácia výkonu. Podľa NSS strácajú NGFW, ktoré sa pokúšajú o dešifrovanie a opätovné šifrovanie SSL/TLS prevádzky, v priemere 60 % výkonu, v niektorých prípadoch až 95 %. To je celkom významný vplyv na výkon vašej bezpečnostnej infraštruktúry!

Image by Gerd Altmann from Pixabay

Okrem toho NGFW často nemôžu odovzdať rozšifrovanie prevádzky ďalším zariadeniam. To je problém v okamihu, keď dodržiavate stratégiu Defense In Depth alebo používate firewally od rôznych výrobcov. Môže to viesť k situácii, kedy opakovane dešifrujete a znovu šifrujete prevádzku prechádzajúcu vaším bezpečnostným prostredím, čo má pochopiteľne negatívny vplyv na výkon. Sťažnosti používateľov potom môžu viesť k vypnutiu inšpekcie – nešťastne tým vymeníte spokojnosť užívateľov za ich zlé zabezpečenie.

Odhaľte svoje hluché miesta, nie svoj obsah

Riešením je agnostický bezpečnostný nástroj, ktorý vám umožní kontrolovať nezašifrovanú (clear-text) prevádzku a zároveň zvýši výkon existujúcej bezpečnostnej infraštruktúry, čím tiež predĺži jej životnosť.

Ako to dosiahnuť? Najlepšou obranou vašej organizácie pred škodlivou šifrovanou prevádzkou je dedikovaná platforma pre kontrolu SSL/TLS prevádzky. Mala by pritom spĺňať nasledujúce kritériá.

Image by skylarvision from Pixabay

Šesť kritérií pre výber dedikovanej platformy pre kontrolu SSL/TLS prevádzky

Pri výbere systému je dôležité dbať na to, aby spĺňal všetky tieto požiadavky súčasne, inak ponechá dvere otvorené niektorým hrozbám.

  1. Spĺňa vaše požiadavky na SSL/TLS výkon
  2. Pomáha zabezpečiť zhodu s predpismi (napr. GDPR, HIPAA atď.)
  3. Podporuje vaše ďalšie bezpečnostné zariadenia – napr. firewally, next-gen firewally, webové brány, pokročilú ochranu pred hrozbami (ATP), forenzné a bezpečnostné systémy, systémy prevencie straty dát (DLP) atď.
  4. Maximalizuje dostupnosť a kapacitu vašej bezpečnostnej infraštruktúry
  5. Bezpečne spravuje vaše SSL/TLS certifikáty a kľúče
  6. Obsahuje bohaté analytické funkcie

Inovatívne dešifrovacie/šifrovacie riešenie od A10 Networks

Thunder SSLi od A10 Networks je účelové dešifrovacie riešenie, ktoré eliminuje hluché miesta SSL/TLS a poskytuje plnú viditeľnosť do zašifrovanej prevádzky. Tým, že preberá z existujúcich bezpečnostných riešení SSL/TLS operácie náročné na procesor, zvyšuje efektivitu a výkon bezpečnostnej infraštruktúry.

Thunder SSLi umí dešifrovat provoz pro další bezpečnostní produkty včetně inline, non-inline (passive/TAP) a ICAP zařízení.

Thunder SSLi vie dešifrovať prevádzku pre ďalšie bezpečnostné produkty vrátane inline, non-inline (passive /TAP) a ICAP zariadení. SSLi dešifruje prevádzku a odovzdáva ju jednému alebo viacerým bezpečnostným zariadením, čo im umožňuje pracovať so špičkovým výkonom, a súčasne tým výrazne obmedzuje latenciu. Druhou možnosťou nasadenia je zrkadlenie dešifrovanej prevádzky na IDS/DLP systémy, ktoré prípadné hrozby identifikujú, ale konkrétne akcie ponechajú na útvare bezpečnosti.

Dedikované čipy pre akceleráciu SSL poskytujú zariadeniu vysoký výkon. Thunder SSLi pracuje s 2048bitovými a 4096bitovými kľúčmi a zároveň podporuje viac šifrovacích sád vrátane kryptografie založené na eliptických krivkách (ECC) pre Perfect Forward Secrecy (PFS).

SSLi tiež pomáha zaistiť zhodu bezpečnostnej infraštruktúry sa stále sa vyvíjajúcimi štandardmi, pravidlami a predpismi pre ochranu dát a súkromia, ako sú GDPR v EÚ alebo HIPAA pre zdravotníctvo.

Pre nasadenie vo väčšom počte lokalít je k dispozícii nástroj A10 Harmony Controller, ktorý poskytuje centralizovanú analytiku prevádzky, konzolu pre správu a monitoring stavu dešifrovaného prevádzky a správaní užívateľov v ľahko použiteľnom formáte.

Centralizovaný management a analytika poskytují plný vhled SSL provozu

Autor: Parth Jagirdar, Product Marketing Manager pro Enterprise Security, A10 Networks
Preklad a úpravy: Jan Mazal, VPGC
Zdroj: A10 Networks – Next Generation Firewalls May Not Stop Malware