W 2018 roku zaszyfrowany ruch stanowił aż 72% całkowitego ruchu internetowego. To niemal 20% więcej niż rok wcześniej. Z jednej strony jest to bardzo pozytywne zjawisko, dzięki któremu zainicjowane transakcje, procesy i dane można z łatwością i bezpiecznie przesyłać tam, gdzie są potrzebne. Z drugiej, tworzy ono wyzwania przy wykrywaniu zagrożeń, utrudniając monitorowanie i głęboką inspekcję ruchu sieciowego.
Organizacje wykorzystują coraz więcej urządzeń mobilnych oraz funkcjonują w środowiskach wielochmurowych. Dane, które dawniej były dobrze zabezpieczone i niedostępne, teraz są częścią ruchu internetowego. Aby je chronić, wykorzystywane jest szyfrowanie ruchu, przede wszystkim w formie protokołów SSL i TLS.
Szyfrowanie może ukryć także ruch szkodliwy, dlatego cyberprzestępcy coraz częściej wykorzystują tę metodę do własnych celów. Dzięki temu unikają wykrycia przy wykradaniu danych lub przemycaniu złośliwego oprogramowania. Wzrost popularności szyfrowanego ruchu może więc zwiększyć szansę na to, że cyberprzestępcy pozostaną w cieniu.
– wyjaśnia Robert Dąbrowski, szef polskiego zespołu inżynierów Fortinet.
Tradycyjne urządzenia zabezpieczające i firewalle nie są w stanie sprostać wymaganiom skanowania ruchu SSL/TLS. Jego deszyfrowanie i analiza wiąże się z ogromnym obciążeniem procesorów. Według niedawnego badania NSS Labs w przypadku głębokiej inspekcji pakietów dla ruchu szyfrowanego wpływ na wydajność wynosi średnio 60%, ilość obsługiwanych połączeń na sekundę spada o 92%, a czas odpowiedzi zwiększa się drastycznie, aż o 672%.
Dodatkowo niepokoi fakt, że nie wszystkie produkty zabezpieczające rozpoznają nawet 30 najpopularniejszych algorytmów szyfrowania – w niektórych przypadkach część ruchu jest po prostu ignorowana. Tworzy to idealny mechanizm dla przestępców, dzięki któremu mogą rozpowszechniać złośliwe oprogramowanie i wykradać dane. To wszystko prowadzi do sytuacji, w której producenci rozwiązań bezpieczeństwa nie publikują swoich wyników inspekcji SSL/TLS, a sprzedawcy unikają tego tematu.
Ruch szyfrowany wymaga stałej i profesjonalnej inspekcji i nic nie wskazuje na to, żeby w przyszłości miało się to zmienić. Oto kilka sugestii od ekspertów Fortinet, jak organizacje mogą przygotować się na związane z tym zjawiskiem zagrożenia:
- Większość problemów sieciowych, z którymi zmagają się organizacje, jest wynikiem korzystania ze starych lub niezaktualizowanych urządzeń podatnych na ataki.
- Potencjalne problemy z wydajnością zabezpieczeń najlepiej wykrywać odpowiednio wcześniej. Warto testować urządzenia pod tym kątem przy inspekcji wysokiego natężenia ruchu SSL/TLS. Należy też sprawdzać, czy wspierają one wszystkie popularne algorytmy szyfrowania.
- Wprowadzenie kontroli dostępu do sieci (NAC) pozwoli identyfikować urządzenia, automatycznie filtrować ruch oraz wykorzystywać analizę zachowań informującą o podejrzanej aktywności.
- Warto rozważyć wprowadzenie rozwiązania przeznaczonego wyłącznie do celów deszyfrowania i ponownego szyfrowania danych.
- W pełni zintegrowane rozwiązania mogą być dobrym wyborem dla niektórych firm, zwłaszcza tych o ograniczonych zasobach. Problem z inspekcją SSL/TLS ma pod kontrolą względnie mała grupa producentów, dlatego dobrze jest uprzednio sprawdzić, czy dany producent jest w stanie zastąpić aktualne nienadążające rozwiązania. Warto przyjrzeć się testom niezależnych laboratoriów, takich jak NSS Labs.
