Почему нужно проверять зашифрованный трафик


This post is also available in: Английский Французский Немецкий Итальянский Португальский, Бразилия Испанский

Невидимая угроза

После локдауна из-за COVID-19 пошла волна атак с использованием программ-вымогателей. Они были направлены на компании из самых различных секторов экономики, таких как нефтегазовая отрасль, пищевая промышленность, финансовые структуры и сфера страхования. В чем смысл таких атак? В том, что преступления приносят деньги. Еще большую угрозу таят в себе те из них, о которых нам неизвестно. Их совершают пользователи внутри организации.

Механизмы шифрования с открытым ключом, которые защищают наши подключения, — протокол TLS (для защиты транспортного уровня) и его предшественник SSL (для уровня защищенных сокетов) — могут также использоваться злоумышленниками и вредоносными программами для доступа к конфиденциальной информации.

Изначально ботнеты предназначались для DDoS-атак. Сейчас некоторые из таких вредоносных программ контроля и управления используют зараженные ПК, чтобы требовать выкуп и получать прибыль (программы-вымогатели и ПО для майнинга). Это существенно нарушает производительность рабочих процессов компании, повышает операционные расходы и скорость износа зараженного оборудования. Такие атаки также могут готовить почву для заражения вредоносным ПО в будущем. 

Большая часть вредоносных программ угрожает доступности, целостности и безопасности сети.

Как показали недавние события, зачастую атаки программ-вымогателей помимо вмешательства в критически важные рабочие процессы компании приводят к краже сведений и перехвату трафика.

Вредоносное ПО может создавать зашифрованные сеансы подключения к внешнему серверу. Единственное, что для этого нужно такой программе, — его открытый ключ. Так как у организации (пользователя или вредоносной программы) нет закрытого ключа к этому зашифрованному процессу, она не может дешифровать сеанс и не знает, какие данные отправляются за ее пределы.

С ростом использования зашифрованного трафика проблема будет становиться еще более масштабной. Многие компании уже стали жертвами таких кибератак, нацеленных на получение финансовой прибыли и доступа к ценным конфиденциальным данным.

Многие решения для проверки трафика, например технология предотвращения утечек данных (DLP), системы предотвращения вторжений (IPS) и брандмауэры, не поддерживают дешифрование исходящего зашифрованного трафика. Поэтому они не могут защитить от кибератак, начатых внутри компании путем подключения к внешнему серверу. Если такие системы все же обладают функционалом дешифрования, как правило, это дорогостоящие, плохо масштабируемые, а значит, нерентабельные решения.

Une image contenant texte, extérieur

Description générée automatiquement

Проверка и прозрачность — рецепт защиты от атак

Чтобы защититься от таких атак, самое главное — проверять трафик SSL. Как же работает проверка трафика SSL?

Системы проверки SSL опираются на то, что безопасность обеспечивается между двумя точками, а не по сквозному принципу. Решение для проверки трафика SSL получает и дешифрует входящие и исходящие сессии SSL, связывающие организацию и внешний мир. Его иногда называют законным вариантом посредника (man-in-the-middle). Это решение выступает специальным внешним сервером для внутренних пользователей и программ и обеспечивает безопасность подключения к реальному внешнему серверу. Принимающие серверы считают решение исходным пользователем или вредоносной программой.

Для легкого развертывания решение предлагает оба варианта проверки SSL: прозрачную проверку без перестройки сети, а также может выступать явным прокси-сервером, который пропускает всех пользователей через заданный SSL-прокси, настроенный в браузере пользователей.

Затем дешифрованный трафик направляется в любое уже развернутое решение для проверки контента, например брандмауэр, антивирус или систему защиты от утечек данных, где он проверяется на соответствие политикам компании. Сессии, прошедшие проверку безопасности, затем заново шифруются решением для проверки SSL и направляются на целевой сервер.

[Понравилась статья? Подпишитесь, чтобы каждую неделю получать на почту свежие статьи Radware, а также иметь доступ к премиум-содержимому Radware. ]

Для эффективной работы некоторый трафик может исключаться из проверки, например если сайт есть в списке доверенных ресурсов или имеет отношение к конфиденциальности данных сотрудника (сайт онлайн-банка или медицинского учреждения). В целях повышения производительности определенный трафик может быть заблокирован, часто это трафик игровых платформ или известных вредоносных серверов.

Так как дешифрование и повторное шифрование требуют больших вычислительных мощностей, что может приводить к задержкам, используйте передовые практики, например аппаратное ускорение, если у вас много пользователей или большой объем зашифрованного трафика. Применяйте шифрование избирательно. Используйте фильтры и белые списки, чтобы не дешифровать трафик надежных сайтов. Выбирайте экономически эффективные решения, которые позволяют использовать минимум устройств для масштабирования.

Дешифрование, проверка и наглядное представление сетевого трафика, которые предлагает решение для проверки SSL, помогают находить признаки вредоносного ПО. Чтобы снизить уровень рисков для компании, используйте передовые практики: ограничение полномочий и многофакторную аутентификацию в сочетании с брандмауэром веб-приложений для блокировки вредоносных веб-программ и защитой сети по периметру от атак типа «отказ в обслуживании», а также объясните сотрудникам меры кибербезопасности.

[Возможно, вам будет интересно: Как действовать в случае получения требования о выкупе в результате DDoS-атаки]

Prakash Sinha

Prakash Sinha is a technology executive and evangelist for Radware and brings over 29 years of experience in strategy, product management, product marketing and engineering. Prakash has been a part of executive teams of four software and network infrastructure startups, all of which were acquired. Before Radware, Prakash led product management for Citrix NetScaler and was instrumental in introducing multi-tenant and virtualized NetScaler product lines to market. Prior to Citrix, Prakash held leadership positions in architecture, engineering, and product management at leading technology companies such as Cisco, Informatica, and Tandem Computers. Prakash holds a Bachelor in Electrical Engineering from BIT, Mesra and an MBA from Haas School of Business at UC Berkeley.

Contact Radware Sales

Our experts will answer your questions, assess your needs, and help you understand which products are best for your business.

Already a Customer?

We’re ready to help, whether you need support, additional services, or answers to your questions about our products and solutions.

Locations
Get Answers Now from KnowledgeBase
Get Free Online Product Training
Engage with Radware Technical Support
Join the Radware Customer Program

CyberPedia

An Online Encyclopedia Of Cyberattack and Cybersecurity Terms

CyberPedia
What is WAF?
What is DDoS?
Bot Detection
ARP Spoofing

Get Social

Connect with experts and join the conversation about Radware technologies.

Blog
Security Research Center