Как расшифровка сетевого трафика может повысить безопасность

Надежное шифрование критически важно для защиты конфиденциальных деловых и личных данных. По оценкам компании Google, 95% ее интернет-трафика использует зашифрованный протокол HTTPS, и большинство отраслевых аналитических компаний приходят к выводу, что сегодня зашифровано от 80 до 90 процентов сетевого трафика. Это значительный шаг вперед в обеспечении целостности данных и конфиденциальности потребителей, пишет издание Threatpost.

Однако не только организации, приверженные обеспечению конфиденциальности данных, видят ценность в сокрытии своего цифрового следа в зашифрованном трафике. Киберпреступники быстро превратили шифрование в оружие как средство сокрытия своей злонамеренной деятельности в трафике, который в остальном неопасен.

Gartner сообщил, что 70 процентов вредоносных кампаний в 2020 году использовали тот или иной тип шифрования. В этом году Zscaler блокирует 733 миллиона зашифрованных атак в месяц, что на 260 процентов больше, чем в 2019 году.

Согласно Совместному консультативному заключению по кибербезопасности, выпущенному ФБР, CISA, Национальным центром кибербезопасности Великобритании и Австралийским центром кибербезопасности, зашифрованные протоколы применяют для маскировки бокового движения и других сложных тактик в 60% атак с использованием 30 наиболее популярных сетевых уязвимостей. Иными словами, организации не видят 60% наиболее часто используемых уязвимостей CISA.

Исследователи безопасности также обнаружили изощренные новые методы атак с расшифровкой на скорости линии наиболее часто используемых протоколов Microsoft, таких как SMBv3, Active Directory Kerberos, Microsoft Remote Procedure Call (MS-RPC), NTLM, LDAP, WINRM, в дополнение к TLS. 1.3.

Все это вызвало потребность в новом подходе к обнаружению угроз в зашифрованном трафике, а именно в расшифровке. Расшифровка может обнаруживать действия после компрометации, которые не учитываются при анализе зашифрованного трафика (ETA), включая кампании программ-вымогателей, использующие уязвимость PrintNightmare.

Сегодня практически невозможно отличить хорошее от плохого без возможности надежного дешифрования трафика. Возможность оставаться невидимыми дала преимущество кибератакам. Зашифрованный трафик использовался в некоторых из крупнейших кибератак и методов эксплуатации за последний год, от Sunburst и Kaseya до PrintNightmare и ProxyLogon. Такие методы атак, как «жить с земли» и «Золотой билет Active Directory», успешны только потому, что злоумышленники могут использовать зашифрованный трафик организаций. В настоящее время предприятия-вымогатели также находятся в центре внимания, но многие из них страдают от того, что не могут видеть, что происходит сбоку в транспортном коридоре восток-запад.

Организации с осторожностью относятся к дешифрованию из-за опасений по поводу соответствия требованиям, конфиденциальности и безопасности, а также из-за влияния на производительность и высоких затрат на вычисления. Но есть способы расшифровать трафик без ущерба для соответствия требованиям безопасности, конфиденциальности или производительности. Давайте развенчаем некоторые из распространенных мифов и заблуждений.

Миф 1: дешифрование снижает безопасность

На самом деле: существует два основных типа дешифрования: внеполосное и оперативное. Внеполосное дешифрование отправляет обезличенные и токенизированные данные в облако для машинного обучения. Это означает, что данные в открытом виде не отправляются никогда, поэтому нет дополнительных проблем с безопасностью.

Встраиваемое дешифрование, также известное как перехват SSL или «человек посередине» (MitM), является более старым подходом, который может привести к тому, что организации будут испытывать дополнительные сложности с управлением сертификатами, а злоумышленники могут выполнять атаки на более раннюю версию, при которых сообщения повторно шифруются с использованием более слабых комплектов шифров.

Миф 2: дешифрование нарушает законы о конфиденциальности и стандарты соответствия

Правда: Расшифровка корпоративного сетевого трафика не нарушает правила или законы о конфиденциальности. Однако некоторые возможности дешифрования не могут быть настроены в чувствительных подсетях, чтобы избежать нарушения структур соответствия, таких как GDPR, PCI DSS и HIPAA. Организации должны проактивно избегать записи данных, относящихся к структурам соответствия, и иметь средства управления доступом пользователей, чтобы гарантировать, что только авторизованные пользователи имеют доступ к данным на уровне пакетов.

Миф 3: злоумышленники не могут получить доступ к зашифрованному трафику

Правда: устаревшие протоколы шифрования, такие как SSL и TLS 1.0 и 1.1, могут сделать трафик уязвимым для перехвата и дешифрования со стороны изощренных злоумышленников.

Миф 4: зашифрованный трафик не приносит пользы злоумышленникам

Правда: в то время как большинство компаний используют шифрование для обеспечения конфиденциальности своих данных, киберпреступники также научились использовать ту же технологию, чтобы скрыть свои следы.

У расшифровки сетевого трафика много преимуществ. Во-первых, дешифрование позволяет обнаруживать атаки на более раннем этапе кампании атаки, поскольку вредоносные полезные данные больше не скрываются. Во-вторых, дешифрование сокращает среднее время ответа, поскольку оно предоставляет ценный контекст для обеспечения быстрого обнаружения, определения объема, расследования и устранения угроз. И, наконец, расшифровка позволяет получить полную криминалистическую запись для расследований после взлома.

Автор: Jeff Costlow