Celkově rychle obecné nasazování šifrování. Nejnovější data ukazují, že přes 90 % internetového provozu je již šifrovaného, což vytváří prostor, který mohou útočníci zneužít.
Asi předpokládáte, že next-generation firewall (NGFW) dokáže před těmito skrytými útoky ochránit. Jenže téměř 2/3 organizací nedokážou svůj SSL/TLS provoz dešifrovat, a tím pádem ani kontrolovat. Svět se stále více spoléhá na šifrovaný provoz, ale ponechání jeho průchodu firewallem bez kontroly může vystavit chod firmy, její zákazníky a partnery nebezpečí.
Kdy next generation firewally nechrání před next generation hrozbami
NGFW často kontrolují provoz skrze analýzu aplikační vrstvy. Většinou se při tom spoléhají na hloubkovou kontrolu paketů (DPI), která však způsobuje přetížení zařízení, jelikož je náročná na výpočetní výkon.
Rozšířenější používání delších klíčů a složitějších šifer způsobuje, že běžná CPU těžko drží krok s vyššími požadavky na výkon. Výsledkem je kvantifikovatelná degradace výkonu. Podle NSS ztrácejí NGFW, které se pokoušejí o dešifrování a opětovné šifrování SSL/TLS provozu, v průměru 60 % výkonu, v některých případech až 95 %. To je docela významný dopad na výkon bezpečnostní infrastruktury!
Kromě toho NGFW často nemohou předat rozšifrovaný provoz dalším zařízením. To je problém v okamžiku, kdy dodržujete strategii Defense In Depth nebo používáte firewally od různých výrobců. Může to vést k situaci, kdy opakovaně dešifrujete a znovu šifrujete provoz procházející vašim bezpečnostním prostředím, což má pochopitelně negativní dopad na výkon. Stížnosti uživatelů pak mohou v konečném důsledku vést k vypnutí inspekce.
Odhalte hluchá místa, ne obsah
Řešením je agnostický bezpečnostní nástroj, který umožní kontrolovat nešifrovaný (clear-text) provoz a zároveň zvýší výkon stávající bezpečnostní infrastruktury, čímž také prodlouží její životnost.
Jak toho dosáhnout? Nejlepší obranou organizace před škodlivým šifrovaným provozem je dedikovaná platforma pro kontrolu SSL/TLS provozu. Měla by přitom splňovat následující kritéria.
Šest kritérií pro výběr dedikované platformy pro kontrolu SSL/TLS provozu
Při výběru systému je důležité dbát na to, aby splňoval všechny tyto požadavky současně, jinak ponechá dveře otevřené některým hrozbám.
- Splňuje požadavky na SSL/TLS výkon
- Pomáhá zajistit shodu s předpisy (např. GDPR, HIPAA atd.)
- Podporuje další bezpečnostní zařízení v síti – např. firewally, next-gen firewally, webové brány, pokročilou ochranu před hrozbami (ATP), forenzní a bezpečnostní systémy, systémy prevence ztráty dat (DLP) atd.
- Maximalizuje dostupnost a kapacitu bezpečnostní infrastruktury
- Bezpečně spravuje SSL/TLS certifikáty a klíče
- Obsahuje bohaté analytické funkce
Dešifrovací/šifrovací řešení od A10 Networks
A10 Thunder SSLi je účelové dešifrovací řešení, které eliminuje hluchá místa SSL/TLS a poskytuje plnou viditelnost do zašifrovaného provozu. Tím, že přebírá z existujících bezpečnostních řešení SSL/TLS operace náročné na procesor, zvyšuje efektivitu a výkon bezpečnostní infrastruktury.
SSLi dešifruje provoz a předává jej jednomu nebo více bezpečnostním zařízením, což jim umožňuje pracovat se špičkovým výkonem, a současně tím výrazně omezuje latenci. Druhou možností nasazení je zrcadlení dešifrovaného provozu na IDS/DLP systémy, které případné hrozby identifikují, ale konkrétní akci ponechají na útvaru bezpečnosti.
Dedikované čipy pro akceleraci SSL poskytují zařízení vysoký výkon. Thunder SSLi pracuje s 2048bitovými a 4096bitovými klíči a zároveň podporuje více šifrovacích sad včetně kryptografie založené na eliptických křivkách (ECC) pro Perfect Forward Secrecy (PFS).
SSLi také pomáhá zajistit shodu bezpečnostní infrastruktury se stále se vyvíjejícími standardy, pravidly a předpisy pro ochranu dat a soukromí, jako jsou GDPR v EU nebo HIPAA pro zdravotnictví.
Pro nasazení ve větším počtu lokalit je k dispozici nástroj A10 Harmony Controller, který poskytuje centralizovanou analytiku provozu, konzoli pro správu a monitoring stavu dešifrovaného provozu a chování uživatelů ve snadno použitelném formátu.
Autor: Parth Jagirdar, Product Marketing Manager pro Enterprise Security, A10 Networks
Překlad a úpravy: Jan Mazal, VPGC
Zdroj: A10 Networks – Next Generation Firewalls May Not Stop Malware