LiveAction rozwiązało problem problem martwych punktów w szyfrowaniu sieci

ThreatEye NV łączy analizę zachowań i uczenie maszynowe w celu ujawnienia złośliwego oprogramowania w zaszyfrowanym ruchu sieciowym

LiveAction rozwiązało problem problem martwych punktów w szyfrowaniu sieci

Matejmo/ Getty Images

Szyfrowanie może uniemożliwić złym aktorom podglądanie krytycznych danych, ale może też pozwolić im ukryć złośliwą aktywność przed obrońcami sieci. Dlatego LiveAction, firma zajmująca się widocznością sieci, uruchomiła ThreatEye NV - platformę, która daje zespołom SecOps potężne narzędzia do wyszukiwania zagrożeń i anomalii w zaszyfrowanym ruchu. „W 2014 r. około 30% ruchu było szyfrowane. Teraz jest to od 80% do 90%. Do końca 2025 roku będzie to prawie cały ruch”- mówi dyrektor ds. marketingu produktów w firmie LiveAction, Thomas Pore. „Dla obrońcy sieci stanowi to problem. Jeśli nie jesteś w stanie uzyskać wglądu w te zaszyfrowane tunele i połączenia, jak możesz zidentyfikować zagrożenia?”.

Z kolei Ed Cabrera, główny specjalista ds. cyberbezpieczeństwa w firmie Trend Micro, dodaje: „Ruch szyfrowany daje cyberprzestępcom więcej możliwości podrabiania lub tworzenia legalnych certyfikatów SSL/TLS dla swoich stron wyłudzających dane uwierzytelniające, dostarczania złośliwego oprogramowania przy użyciu szyfrowanych serwerów C2 oraz eksfiltracji skradzionych danych przy użyciu szyfrowania asymetrycznego i symetrycznego”.

Zobacz również:

  • Czy komputery kwantowe zrewolucjonizują kryptografię?
  • Jakie niesie za sobą zagrożenia ransomware BBBW, jak się chronić?
  • Zero Trust od Dell Technologies

ThreatEye może analizować ponad 150 cech i zachowań pakietów

LiveAction wyjaśnia w komunikacie prasowym, że ThreatEye wykorzystuje głęboką analizę pakietów, aby wyeliminować potrzebę odszyfrowywania ruchu sieciowego i sprawdzania go pod kątem złośliwych ładunków. Platforma może analizować ponad 150 cech i zachowań pakietów w środowiskach sieciowych wielu producentów, wielu domen i wielu chmur. Pomaga to przyspieszyć wykrywanie zagrożeń w czasie rzeczywistym, eliminuje ślepotę na szyfrowanie, sprawdza zgodność szyfrowania i pozwala zespołom lepiej zabezpieczać całą sieć oraz koordynować reakcje z innymi narzędziami bezpieczeństwa, takimi jak SIEM i SOAR - dodaje firma.

Inne zalety platformy to m.in:

• Wykrywanie zagrożeń i anomalii w czasie rzeczywistym

• Eliminacja ślepoty szyfrowania bez konieczności deszyfrowania lub obniżania wydajności

• Proste wdrożenie w modelu SaaS z czujnikami programowymi, które można wdrożyć wszędzie tam, gdzie potrzebna jest widoczność

• Wsparcie SOC, w tym pulpity nawigacyjne zwiększające skuteczność reakcji.

• Wykorzystanie modeli uczenia maszynowego opracowanych specjalnie dla określonych przypadków użycia w zakresie bezpieczeństwa i widoczności.

91,5% wykrytego i zablokowanego złośliwego oprogramowania pochodziło z ruchu zaszyfrowanego

„Szyfrowanie stron internetowych i szyfrowanie w ogóle to dobre rzeczy. Służą ogromnemu celowi biznesowemu, na którym nam wszystkim zależy" - mówi Corey Nachreiner, dyrektor generalny Watchguard, firmy zajmującej się bezpieczeństwem sieciowym z Seattle w stanie Waszyngton. „Niestety, oferują one nowe i łatwe sposoby ukrywania się podmiotów stanowiących zagrożenie przed tradycyjnymi i starszymi mechanizmami kontroli bezpieczeństwa”. Wewnątrz urządzenia ruch jest odszyfrowywany, sprawdzany, ponownie szyfrowany i wysyłany w dalszą drogę. Wydaje się jednak, że to podejście nie jest zbyt popularne. Nachreiner przyznaje, że tylko około 20% klientów firmy Watchguard korzysta z tej funkcji, ponieważ konfigurowanie jej wymaga pewnego wysiłku ze strony administratora.

Jednak wysiłek włożony w konfigurację tego procesu ma pewne istotne zalety. Nachreiner zauważa, że w organizacjach stosujących deszyfrowanie 91,5% wykrytego i zablokowanego złośliwego oprogramowania pochodziło z ruchu zaszyfrowanego.

Analiza ruchu szyfrowanego przyszłością w umacnianiu pozycji bezpieczeństwa

„Analitycy bezpieczeństwa nie mogą polegać wyłącznie na komunikatach syslog w celu identyfikacji wyzwań. Musimy wykorzystać uczenie maszynowe i zidentyfikować ruch sieciowy oraz wzorce dla tych zaawansowanych ataków”- mówi Pore i dodaje, że szyfrowanie będzie nadal udoskonalane, co sprawi, że rozwiązanie problemu ślepoty na szyfrowanie będzie trudniejsze i droższe dla rozwiązań, które polegają na odszyfrowywaniu i ponownym szyfrowaniu danych. „W przyszłych wersjach szyfrowania widoczność będzie zerowa” - uważa. „Będzie to ogromny problem dla obrońców. Dlatego właśnie analiza ruchu szyfrowanego będzie przyszłościowym narzędziem wzmacniania zabezpieczeń organizacji”.

Źródło: CSO

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200