Biztonsági hiányosságok az SSLTLS visszafejtéssel

ssltls
A Vectra Networks rámutat az SSL/TLS visszafejtés és a mély informatikai ellenőrzés hagyományos IT biztonsági megoldásokkal járó kockázataira. Például az US-Cert (U.S. Computer Emergency Readiness Team) figyelmeztetést adott ki, hogy a HTTPS (HTTPS Interception) elfogásának általános módszere gyengíti a szállítási réteg (TLS) biztonságát.

Mivel a titkosítást egyre jobban használják a magánélet védelme érdekében - beleértve a bűnözőket is -, a biztonsági ipar válaszolt az SSL (Secure Socket Layer) munkamenetek elfogásával és visszafejtésével mély csomagellenőrzés (DPI) elvégzésére.

A biztonságos web-átjáróknak, tűzfalaknak, behatolás-észlelő és -megelőző rendszereknek, valamint az adatvesztés-megelőzési (DLP) megoldásoknak egy közös vonásuk van: elfogják az SSL vagy TLS által titkosított adatforgalmat, és visszafejtik azt a DPI végrehajtása érdekében, ily módon azonosítani a fenyegetéseket. Ez azonban növeli a sérülékenység kockázatát egy eredendően biztonságos architektúrában.

„A felhasználók gyakran nincsenek tisztában ezzel, és hamis biztonságérzetük van. Az ügyfélböngésző csak a következő számítógéppel tudja ellenőrizni a biztonságos kommunikációt, amellyel kommunikál. A legtöbb eszköz feltételezi, hogy a következő számítógép a végső cél, de ez csak egy hálózati eszköz lehet, amely ellenőrzi az SSL forgalmat ”- mondta Gérard Bauer, a Vectra Networks EMEA-alelnöke. "A böngésző csak azt erősíti meg, hogy tanúsítványt nyújtó rendszerrel kommunikál, de azt nem, hogy ez a rendszer valójában mi."

A megfelelő számítógép ellenőrzi, hogy kommunikál-e a tervezett címzettel, megvizsgálva a kísérő tanúsítványt és az azt kiállító rendszert. Fennáll azonban a veszélye annak, hogy a támadó létrehozhat ilyen tanúsítványt, vagy ellopott tanúsítványt használ. Egyes böngészők, például a Microsoft Internet Explorer, még a tanúsítvány megtekintését sem engedélyezik, mielőtt elfogadnák. Ezért még a biztonsági csapat számára is nehéz megállapítani, hogy a kapcsolat valóban biztonságos-e.

Az esetleges biztonsági hibák mellett az SSL (SSL Inception & SSL Inspection) forgalom lehallgatása és ellenőrzése jelentős teljesítménybeli hatással bír az NSS Labs tesztje szerint. Az NSS Labs által tesztelt hét következő generációs tűzfal átlagosan körülbelül 74 százalékos teljesítményvesztést tapasztalt 512 bites és 1024 bites, valamint körülbelül 81 százalékos veszteséget 2048 bites sebességnél. Minél jobb a titkosítás, annál nagyobb a teljesítménybüntetés.

Az SSL-forgalom elfogása és ellenőrzése a hagyományos informatikai biztonsági termékekkel nem illik ma az informatikai világunkba, amelyben az adatforgalmat egyre inkább titkosítják a magánélet és a biztonság érdekében. A biztonság modern megközelítése viszont nem követeli meg az SSL forgalom visszafejtését a fenyegetések vagy támadások azonosítása érdekében.

A DPI hagyományos módszere az adatcsomagok megnyitásával működik bizonyos tartalmak, például a DLP-re jellemző adatok vagy a rosszindulatú programok azonosítására. Ez azon a hálózati kerületen történik, ahol a felhasználók és az internetes célcímek közötti forgalom bejön és kialszik.

"Jobb megközelítés, ha figyelemmel kísérjük a hálózati forgalmat a kibertámadók szokatlan cselekedetei és viselkedése szempontjából, ahelyett, hogy aktívan megvizsgálnánk a forgalmat rosszindulatú programok ellen" - mondja Gerard Bauer. „A modern biztonsági megoldások az SSL- vagy a TLS-forgalom visszafejtése nélkül azonosítják a folyamatban lévő kibertámadásokat. A mesterséges intelligencia (AI) gépi tanulási algoritmusok formájában figyeli a hálózati forgalmat annak érdekében, hogy észlelje és elemezze a protokollok (például HTTPS, HTTP és DNS) apró ingadozásait. Ha további parancs- és vezérlőkommunikációs rétegek vannak elrejtve benne, ezt jelzi. "

Ez az észlelés a támadási ciklus minden szakaszában működik, beleértve a felderítést, az oldalirányú mozgást a hálózatban és az adatok kiszűrését. A kibertámadások észlelésének modern megközelítése nemcsak betekintést nyújt a támadó viselkedésébe a titkosított forgalomban. A biztonsági csapatoknak is előnyük származik az észlelés nagyobb valószínűségéből a teljes támadási ciklus alatt.

A kerületi észlelésen alapuló biztonsági modellek a hálózatba történő kezdeti behatolás és az esetleges kimenő parancs-vezérlő kommunikáció azonosítására korlátozódnak. A legtöbb kibertámadás azonban a hálózat kerületén belül, vagyis a hálózat határain belül történik. Figyelemmel kísérve a támadók viselkedését a hálózat összes állomásán, a Vectra láthatja a támadás előrehaladását.

"A peremnél a klasszikus DPI-megközelítés esetében a támadóknak csak egyszer kell eredményesnek lenniük, míg a védőknek minden alkalommal sikeresnek kell lenniük" - összegzi Gerard Bauer. "Ha viszont mesterséges intelligenciát használnak a támadók viselkedésének azonosítására, még a titkosított forgalomban is, a védőknek csak a támadás egy részét kellene felismerniük, és megállíthatják a támadást."