Por que inspecionar o tráfego criptografado é fundamental
This post is also available in:
Inglês
Francês
Alemão
Italiano
Espanhol
Russo
O que você não vê pode prejudicá-lo
Conforme saímos do isolamento devido à COVID-19, vemos uma onda de ataques mal-intencionados de ransomware tentando fechar muitos setores da economia – Colonial Pipeline, J.B.S, C.N.A Financial – com fins lucrativos. Por quê? Porque o crime compensa. Ainda mais ameaçadores são aqueles sobre os quais não ouvimos falar – aqueles dos usuários de dentro da organização.
O mesmo mecanismo de criptografia que usa uma chave pública para proteger nossa comunicação – o transport level security (TLS), também chamado de Secure Sockets Layer (SSL), pode ser usado por usuários ou programas mal-intencionados para acessar informações confidenciais.
Inicialmente, botnets foram usados para ataques DDoS. Agora, alguns desses malwares de comando e controle usam os recursos das máquinas infectadas para resgate e lucro [ransomware e crypto-mining (mineração de criptomoeda)], afetando significativamente o desempenho de uma empresa e aumentando os custos operacionais, além do desgaste das máquinas invadidas. Esses ataques também podem ser um canal para entrega futura de malware adicional.
A maioria dos malwares ameaça a disponibilidade, a integridade e a segurança de uma rede.
Como vimos recentemente, os ataques de ransomware muitas vezes podem resultar em roubo e sequestro de informações, além de interromper as operações essenciais de uma organização.
Quando o malware é ativado, ele pode abrir uma sessão criptografada para um servidor externo. A única informação que o malware precisa para proteger a comunicação com o servidor externo é a chave pública do servidor externo. Como a organização que envia (do usuário ou programa de malware) não tem a chave privada para esta comunicação criptografada, ela não pode decifrar esta sessão e, portanto, é cega para qualquer informação que esteja sendo enviada para fora.
Conforme o uso de tráfego criptografado vai aumentando, esse desafio se tornará ainda mais difundido. Já estamos começando a ver esses ataques cibernéticos em muitas organizações para ganho financeiro e acesso a valiosos dados confidenciais.
Muitas soluções de inspeção de tráfego, como prevenção de vazamento de dados (data leakage prevention, DLP), sistemas de prevenção de intrusão (intrusion prevention systems, IPS) e firewalls podem não ter a capacidade de descriptografar o tráfego criptografado de saída e, portanto, são cegas às ameaças cibernéticas iniciadas de dentro da organização para servidores externos. Além disso, mesmo quando elas podem descriptografar, a capacidade vem com um grande impacto de custo-desempenho e despesas, tornando esses sistemas menos escaláveis e, portanto, inviáveis.
Inspeção e visibilidade – o desinfetante necessário
A chave para se proteger contra esses ataques é inspecionar o tráfego SSL. Então, como funciona a inspeção de tráfego SSL?
Os sistemas de inspeção SSL tiram proveito do fato de que a segurança está entre dois terminais e não de ponta a ponta. Às vezes chamado de man-in-the-middle (MiTM) legítimo, a solução de inspeção SSL intercepta e descriptografa sessões SSL destinadas à empresa e dela provenientes. Essas soluções de inspeção SSL aparecem como o servidor externo pretendido para usuários internos ou programas que iniciam a comunicação segura com servidores externos. Para os servidores destinatários, o sistema de inspeção SSL aparece como o usuário inicial ou programa de malware.
Para facilitar a implementação, as soluções de inspeção SSL podem fornecer inspeção transparente sem a necessidade de reengenharia da rede, ou como proxy explícito que exige que todos os usuários passem por um proxy SSL predefinido configurado no navegador de um usuário.
Em seguida, o tráfego descriptografado é direcionado para qualquer solução de inspeção de conteúdo, como firewalls, antimalware ou sistemas de proteção contra vazamento de dados já implementados na empresa para verificar as políticas de segurança de uma organização. As sessões que passam na inspeção de segurança são criptografadas novamente pela solução de inspeção SSL e encaminhadas ao servidor de destino.
Para mais eficiência, parte do tráfego pode permanecer inalterada se um determinado site for confiável para a empresa ou se estiver relacionado à privacidade do funcionário (banco on-line, assistência médica). Por motivos de produtividade, outro tráfego pode ser bloqueado, normalmente jogos on-line ou servidores de malware conhecidos.
Como a descriptografia e a nova criptografia SSL são operações de uso intensivo do computador e podem afetar a latência, use as práticas recomendadas, a aceleração de hardware, por exemplo, se tiver muitos usuários e tráfego criptografado. Seja seletivo com a descriptografia usando filtragem e listas de permissão para ignorar a descriptografia de sites nos quais você confia e escolha soluções que reduzam o número de dispositivos necessários para escalar e que sejam econômicas.
Descriptografar, inspecionar e obter visibilidade do tráfego de rede usando a solução de inspeção SSL ajuda a identificar sinais de alerta que podem indicar malware. Além disso, adotar as práticas recomendadas: acesso com privilégios mínimos, autenticação multifatorial ao interromper as injeções de malware da web usando firewalls de aplicativos da web e proteger o perímetro da rede contra negação de serviço enquanto educa a força de trabalho sobre as práticas de cibersegurança, ajuda a reduzir a exposição de uma empresa a essas ameaças de malware.
[Você também pode se interessar por: Como responder a uma nota de resgate de DDoS]