Croc

Как расшифровка сетевого трафика может повысить безопасность

Как расшифровка сетевого трафика может повысить безопасность Как расшифровка сетевого трафика может повысить безопасность Как расшифровка сетевого трафика может повысить безопасность
06.12.2021

Надежное шифрование критически важно для защиты конфиденциальных деловых и личных данных. По оценкам компании Google, 95% ее интернет-трафика использует зашифрованный протокол HTTPS, и большинство отраслевых аналитических компаний приходят к выводу, что сегодня зашифровано от 80 до 90 процентов сетевого трафика. Это значительный шаг вперед в обеспечении целостности данных и конфиденциальности потребителей, пишет издание Threatpost.

Однако не только организации, приверженные обеспечению конфиденциальности данных, видят ценность в сокрытии своего цифрового следа в зашифрованном трафике. Киберпреступники быстро превратили шифрование в оружие как средство сокрытия своей злонамеренной деятельности в трафике, который в остальном неопасен.

Gartner сообщил, что 70 процентов вредоносных кампаний в 2020 году использовали тот или иной тип шифрования. В этом году Zscaler блокирует 733 миллиона зашифрованных атак в месяц, что на 260 процентов больше, чем в 2019 году.

Согласно Совместному консультативному заключению по кибербезопасности, выпущенному ФБР, CISA, Национальным центром кибербезопасности Великобритании и Австралийским центром кибербезопасности, зашифрованные протоколы применяют для маскировки бокового движения и других сложных тактик в 60% атак с использованием 30 наиболее популярных сетевых уязвимостей. Иными словами, организации не видят 60% наиболее часто используемых уязвимостей CISA.

Исследователи безопасности также обнаружили изощренные новые методы атак с расшифровкой на скорости линии наиболее часто используемых протоколов Microsoft, таких как SMBv3, Active Directory Kerberos, Microsoft Remote Procedure Call (MS-RPC), NTLM, LDAP, WINRM, в дополнение к TLS. 1.3.

Все это вызвало потребность в новом подходе к обнаружению угроз в зашифрованном трафике, а именно в расшифровке. Расшифровка может обнаруживать действия после компрометации, которые не учитываются при анализе зашифрованного трафика (ETA), включая кампании программ-вымогателей, использующие уязвимость PrintNightmare.

Сегодня практически невозможно отличить хорошее от плохого без возможности надежного дешифрования трафика. Возможность оставаться невидимыми дала преимущество кибератакам. Зашифрованный трафик использовался в некоторых из крупнейших кибератак и методов эксплуатации за последний год, от Sunburst и Kaseya до PrintNightmare и ProxyLogon. Такие методы атак, как «жить с земли» и «Золотой билет Active Directory», успешны только потому, что злоумышленники могут использовать зашифрованный трафик организаций. В настоящее время предприятия-вымогатели также находятся в центре внимания, но многие из них страдают от того, что не могут видеть, что происходит сбоку в транспортном коридоре восток-запад.

Организации с осторожностью относятся к дешифрованию из-за опасений по поводу соответствия требованиям, конфиденциальности и безопасности, а также из-за влияния на производительность и высоких затрат на вычисления. Но есть способы расшифровать трафик без ущерба для соответствия требованиям безопасности, конфиденциальности или производительности. Давайте развенчаем некоторые из распространенных мифов и заблуждений.

Миф 1: дешифрование снижает безопасность

На самом деле: существует два основных типа дешифрования: внеполосное и оперативное. Внеполосное дешифрование отправляет обезличенные и токенизированные данные в облако для машинного обучения. Это означает, что данные в открытом виде не отправляются никогда, поэтому нет дополнительных проблем с безопасностью.

Встраиваемое дешифрование, также известное как перехват SSL или «человек посередине» (MitM), является более старым подходом, который может привести к тому, что организации будут испытывать дополнительные сложности с управлением сертификатами, а злоумышленники могут выполнять атаки на более раннюю версию, при которых сообщения повторно шифруются с использованием более слабых комплектов шифров.

Миф 2: дешифрование нарушает законы о конфиденциальности и стандарты соответствия

Правда: Расшифровка корпоративного сетевого трафика не нарушает правила или законы о конфиденциальности. Однако некоторые возможности дешифрования не могут быть настроены в чувствительных подсетях, чтобы избежать нарушения структур соответствия, таких как GDPR, PCI DSS и HIPAA. Организации должны проактивно избегать записи данных, относящихся к структурам соответствия, и иметь средства управления доступом пользователей, чтобы гарантировать, что только авторизованные пользователи имеют доступ к данным на уровне пакетов.

Миф 3: злоумышленники не могут получить доступ к зашифрованному трафику

Правда: устаревшие протоколы шифрования, такие как SSL и TLS 1.0 и 1.1, могут сделать трафик уязвимым для перехвата и дешифрования со стороны изощренных злоумышленников.

Миф 4: зашифрованный трафик не приносит пользы злоумышленникам

Правда: в то время как большинство компаний используют шифрование для обеспечения конфиденциальности своих данных, киберпреступники также научились использовать ту же технологию, чтобы скрыть свои следы.

У расшифровки сетевого трафика много преимуществ. Во-первых, дешифрование позволяет обнаруживать атаки на более раннем этапе кампании атаки, поскольку вредоносные полезные данные больше не скрываются. Во-вторых, дешифрование сокращает среднее время ответа, поскольку оно предоставляет ценный контекст для обеспечения быстрого обнаружения, определения объема, расследования и устранения угроз. И, наконец, расшифровка позволяет получить полную криминалистическую запись для расследований после взлома.

Автор: Jeff Costlow


Комментарии 0