Szyfrowanie może uniemożliwić złym aktorom podglądanie krytycznych danych, ale może też pozwolić im ukryć złośliwą aktywność przed obrońcami sieci. Dlatego LiveAction, firma zajmująca się widocznością sieci, uruchomiła ThreatEye NV - platformę, która daje zespołom SecOps potężne narzędzia do wyszukiwania zagrożeń i anomalii w zaszyfrowanym ruchu. „W 2014 r. około 30% ruchu było szyfrowane. Teraz jest to od 80% do 90%. Do końca 2025 roku będzie to prawie cały ruch”- mówi dyrektor ds. marketingu produktów w firmie LiveAction, Thomas Pore. „Dla obrońcy sieci stanowi to problem. Jeśli nie jesteś w stanie uzyskać wglądu w te zaszyfrowane tunele i połączenia, jak możesz zidentyfikować zagrożenia?”.

Z kolei Ed Cabrera, główny specjalista ds. cyberbezpieczeństwa w firmie Trend Micro, dodaje: „Ruch szyfrowany daje cyberprzestępcom więcej możliwości podrabiania lub tworzenia legalnych certyfikatów SSL/TLS dla swoich stron wyłudzających dane uwierzytelniające, dostarczania złośliwego oprogramowania przy użyciu szyfrowanych serwerów C2 oraz eksfiltracji skradzionych danych przy użyciu szyfrowania asymetrycznego i symetrycznego”.

Zobacz również:

• Indywidualna kryptografia na dobre uniemożliwi współdzielenie kont na Netflixie?
• Messenger będzie wreszcie szyfrować wiadomości w trybie E2EE
• Bezpieczeństwo w chmurze publicznej nadal priorytetowe

ThreatEye może analizować ponad 150 cech i zachowań pakietów

LiveAction wyjaśnia w komunikacie prasowym, że ThreatEye wykorzystuje głęboką analizę pakietów, aby wyeliminować potrzebę odszyfrowywania ruchu sieciowego i sprawdzania go pod kątem złośliwych ładunków. Platforma może analizować ponad 150 cech i zachowań pakietów w środowiskach sieciowych wielu producentów, wielu domen i wielu chmur. Pomaga to przyspieszyć wykrywanie zagrożeń w czasie rzeczywistym, eliminuje ślepotę na szyfrowanie, sprawdza zgodność szyfrowania i pozwala zespołom lepiej zabezpieczać całą sieć oraz koordynować reakcje z innymi narzędziami bezpieczeństwa, takimi jak SIEM i SOAR - dodaje firma.

Inne zalety platformy to m.in:

• Wykrywanie zagrożeń i anomalii w czasie rzeczywistym

• Eliminacja ślepoty szyfrowania bez konieczności deszyfrowania lub obniżania wydajności

• Proste wdrożenie w modelu SaaS z czujnikami programowymi, które można wdrożyć wszędzie tam, gdzie potrzebna jest widoczność

• Wsparcie SOC, w tym pulpity nawigacyjne zwiększające skuteczność reakcji.

• Wykorzystanie modeli uczenia maszynowego opracowanych specjalnie dla określonych przypadków użycia w zakresie bezpieczeństwa i widoczności.

91,5% wykrytego i zablokowanego złośliwego oprogramowania pochodziło z ruchu zaszyfrowanego

„Szyfrowanie stron internetowych i szyfrowanie w ogóle to dobre rzeczy. Służą ogromnemu celowi biznesowemu, na którym nam wszystkim zależy" - mówi Corey Nachreiner, dyrektor generalny Watchguard, firmy zajmującej się bezpieczeństwem sieciowym z Seattle w stanie Waszyngton. „Niestety, oferują one nowe i łatwe sposoby ukrywania się podmiotów stanowiących zagrożenie przed tradycyjnymi i starszymi mechanizmami kontroli bezpieczeństwa”. Wewnątrz urządzenia ruch jest odszyfrowywany, sprawdzany, ponownie szyfrowany i wysyłany w dalszą drogę. Wydaje się jednak, że to podejście nie jest zbyt popularne. Nachreiner przyznaje, że tylko około 20% klientów firmy Watchguard korzysta z tej funkcji, ponieważ konfigurowanie jej wymaga pewnego wysiłku ze strony administratora.

Jednak wysiłek włożony w konfigurację tego procesu ma pewne istotne zalety. Nachreiner zauważa, że w organizacjach stosujących deszyfrowanie 91,5% wykrytego i zablokowanego złośliwego oprogramowania pochodziło z ruchu zaszyfrowanego.

Analiza ruchu szyfrowanego przyszłością w umacnianiu pozycji bezpieczeństwa

„Analitycy bezpieczeństwa nie mogą polegać wyłącznie na komunikatach syslog w celu identyfikacji wyzwań. Musimy wykorzystać uczenie maszynowe i zidentyfikować ruch sieciowy oraz wzorce dla tych zaawansowanych ataków”- mówi Pore i dodaje, że szyfrowanie będzie nadal udoskonalane, co sprawi, że rozwiązanie problemu ślepoty na szyfrowanie będzie trudniejsze i droższe dla rozwiązań, które polegają na odszyfrowywaniu i ponownym szyfrowaniu danych. „W przyszłych wersjach szyfrowania widoczność będzie zerowa” - uważa. „Będzie to ogromny problem dla obrońców. Dlatego właśnie analiza ruchu szyfrowanego będzie przyszłościowym narzędziem wzmacniania zabezpieczeń organizacji”.

Źródło: CSO