Monitorowanie danych zaszyfrowanych

Szyfrowanie danych stało się synonimem i fundamentem bezpieczeństwa w świecie IT. Zresztą słusznie, gdyż pozwala zminimalizować ryzyko odczytania danych oraz przechwycenia komunikatów. Nie dziwi też fakt, że szyfrowanie danych jest używane coraz częściej, a same metody są nieustannie rozwijane. Ogólnie przyjętym standardem stało się szyfrowanie komunikacji zarówno w sieciach wewnętrznych jak i zewnętrznych.

Według analiz Gartnera 80% ruchu internetowego będzie ruchem szyfrowanym do końca 2019 roku.

Człowiek jednak łatwo się nie zmienia i każdą nową technologię w pewnym momencie zaczyna używać jak broni. Szyfrowanie danych istotnie maskuje ruch sieciowy przed kradzieżą i odczytaniem, ale niestety nie każdy ruch sieciowy jest bezpieczny. Hakerzy o złych zamiarach zaczynają to wykorzystywać, szyfrując swoje włamy i możemy spodziewać się intensyfikacji takiego działania.

Konwencjonalne rozwiązania pomiaru sieci oparte na analizie pakietów nie są w stanie interpretować zaszyfrowanych pakietów sieciowych. Do tej pory stosuje się analizę takich pakietów poprzez zastosowanie serwera proxy SSL, który pomiędzy komunikacją najpierw odbiera pakiety, potem rozszyfrowuje i analizuje, a na koniec ponownie szyfruje i przesyła. Już po samym opisie powyżej widać, że nie jest to najbardziej efektywny sposób analizy zaszyfrowanych danych.

Flowmon Networks postawił krok dalej i dzięki modułowi ETA (Encrypted Traffic Analysis) jest w stanie w czasie rzeczywistym analizować dane zaszyfrowane. Te nowoczesne narzędzie jest zgodne ze wcześniejszą zasadą działania urządzeń Flowmon, które filtrują i analizują ruch sieciowy, skutecznie wykrywając zagrożenia.

50%

wszystkich znanych cyberataków korzysta z szyfrowania, aby uniknąć wykrycia.
W 2013 r. Liczba była poniżej 5%

2/3

organizacji nie jest w stanie wykryć szyfrowanego SSL ataku.

Stoimy więc przed kwestią pozostania przy tradycyjnym rozwiązaniu bazującym na użyciu serwera proxy SSL, czy użyć analizatora ruchu sieciowego.

Odszyfrowanie SSL/TLS via proxy Encrypted Traffic Analysis (ETA)
Odszyfrowanie pakieu narusza prywatność Praca na metadanych pakietu nie narusza prywatności
Pośredniczący serwer proxy jest potencjalnym źródłem awarii Nieinwazyjne monitorowanie
Wpływa negatywnie na opóźnienie Nie ma wpływu na przepływ pakietów
Wymaga zwiększonej przepustowości , co zwiększa koszty Rośnie tylko z siecią
Wymaga zarządzania kluczami/certyfikatami
Use case: blokowanie Use case: monitorowanie w czasie rzeczywistym

Należy też pamiętać, że podejście monitorowania sieci zewnętrznych znacząco się różni od monitorowania sieci wewnętrznych. Monitorowanie sieci wewnętrznych jest stosunkowo łatwe, gdyż certyfikaty w obiegu są nam znane. Przeciwnie jest w sieci zewnętrznej, gdzie certyfikaty są nieznane ale również wydane przez niepewne źródła. Moduł ETA jest w stanie monitorować zaszyfrowany i rozpoznawać niebezpieczny ruch w każdej z tych sieci.

Jak to działa?

Z jednej strony ETA jest w stanie rozpoznania i scharakteryzowania cech komunikacji różnych usług, takich jak Windows Update, SSH, Firefox lub Chrome. Dzięki temu jest w stanie wskazać nietypową lub nieoczekiwaną komunikację usługi. Znajomość parametrów aplikacji, które są opisane jako zestaw parametrów SSL pozwala na monitorowanie i śledzenie aplikacji w sieci pod kątem m.in. złośliwego oprogramowania. Zestawy takich parametrów określa się jako fingerprint JA3, czyli sieciowej sygnatury zaszyfrowanego ruchu aplikacji.

Korzyści z ETA

Compliance:

  • Monitorowanie wygasłych i niezgodnych certyfikatów SSL
  • Sprawdzanie siła szyfrowania (długość klucza, …)
  • Niepożądane wersje TLS, które zawierają luki
  • Niezgodni klienci z politykami wewnętrznymi

Cyberbezpieczeństwo:

  • Identyfikacja zainfekowanych stacji
  • Identyfikacja komunikacji C&C (command and control)
  • Odkrywanie ataków man-in-the-middle
  • Monitorowanie wycieku danych