fb
IT Systems 1/2020 IT Security 3. 3. 2020 8:48

Dokážete odhalit hrozby v šifrované komunikaci?

Flowmon NetworksAni skutečnost, že drtivá většina internetového provozu je dnes šifrována, nepředstavuje pro útočníky překážku. Naopak se snaží tuto situaci plně využít. Nutnost nahlédnout do provozu a dešifrovat komunikaci ale přináší nečekané komplikace. Často odkryje slabá místa spojená s výkonem a v případě plně odhalené komunikace také možné problémy s ochranou osobních údajů a dodržováním předpisů. Potřeba nahlédnout do šifrovaného provozu a zároveň zabránit degradaci výkonu se stává kritickou.

Pokud nedokážete prozkoumat šifrovaný provoz, nemůžete odhalit případné skryté funkce pro ovládání botnetů a malwaru nebo řadu dalších problémů. Vezměte si například pracovní stanici, která začala náhle komunikovat pomocí zastaralého šifrovacího algoritmu. To je velmi reálné znamení kompromitace. A co třeba uživatel komunikující se servery s nedůvěryhodnými certifikáty. Schopnost analyzovat šifrovanou komunikaci podobnou této, je každým dnem stále důležitější pro efektivní vymáhání bezpečnostních politik.

Zatímco v roce 2017 byla šifrovaná pouze polovina internetového provozu, dnes je to i více než 80 %. Doba plně šifrovaného internetu je už za dveřmi a profesionálové zodpovědní za bezpečnost a řízení rizik ve firmách tomuto tématu přirozeně věnují velkou pozornost. Šifrování totiž komplikuje nebo zcela znemožňuje využití tradičních bezpečnostních technologií. Pokud totiž nevíte, co se v provozu skrývá, nedokážete před malwarem ochránit firemní síť ani jednotlivé stanice.

Každá zodpovědná firma by dnes měla mít analýzu šifrované komunikace ve svém portfoliu pro monitoring a bezpečnost sítí. Zejména s přihlédnutím k tomu, že některá bezpečnostní řešení umožňují analyzovat informace ze záhlaví šifrované komunikace zcela bez degradace výkonu. Přesto dokáží zobrazit takové detaily komunikace, které umožní odhalit i skrytý malware.

Přímo do obsahu šifrované komunikace ale nelze bez dešifrování nahlédnout. Proto je důležité, co lze zjistit v okamžiku, kdy ještě není komunikace šifrovaná. Jako například při vytváření spojení, kdy dochází k výměně šifrovacích klíčů a detailů k certifikátům.

Příkladem může být SSL/TLS handshake, tedy navázání šifrované komunikace, během které jsou dostupné a viditelné různé parametry TLS. Konkrétně například verze TLS protokolu, kterou používá server, šifrovací sada, indikace názvu serveru (SNI), vydavatele certifikátů, veřejný klíč, platnost certifikátu, otisk JA3 a další. Všechna tato data lze potom podrobit analýze, případně je různým způsobem využít v řízení bezpečnosti organizace. Na jejich základě můžete dostávat upozornění na změny a události, nebo je lze využít pro automatické výstrahy, na které jsou navázány další akce (odeslání e-mailu, spuštění uživatelského skriptu, odeslání syslogu nebo asynchronního oznámení v podobě SNMP trap a dalších).

Detekce malwaru a audit bezpečnostních politik

Jedním z nejjednodušších způsobů, jak lze odhalit malware nebo jiné hrozby je využití tzv. JA3 otisku. To je unikátní identifikátor aplikace založený na datech z SSL/TLS. Díky přesnosti takového otisku můžeme efektivně a spolehlivě identifikovat hrozby, přičemž nezáleží na tom, zda malware použije DGA (Domain Generation Algorithms) nebo mění IP adresy pro každého ze svých C2 (Command & Control) hostitelů, ani když pro ovládání využije třeba Twitter.

Jelikož JA3 detekuje přímo klientskou aplikaci, lze škodlivý software odhalit již na základě toho, jak komunikuje, namísto toho, co využívá pro komunikaci. Díky tomu mohou speciální nástroje ve spolupráci s veřejně dostupnou databází JA3 otisků odhalit případné hrozby již na základě specifických otisků JA3 v šifrované komunikaci.

Řada firem s ohledem na zabezpečení své komunikace spoléhá na HTTPS a certifikáty vydané certifikační autoritou pro dané časové období. Pomocí analýzy šifrovaného provozu lze pohlídat platnost takového certifikátu nebo odhalit již zastaralý protokol, respektive slabé šifrování a následně s předstihem přijmout všechna nápravná opatření.

Aby bylo možné zajistit spolehlivou ochranu před hrozbami, budou firmy nuceny začlenit bezpečnostní nástroje založené na analýze chování, využití umělé inteligence a analýze šifrované komunikace. Tyto nástroje slibují detekci malwaru v šifrovaném provozu v reálném čase, a to bez snížení propustnosti sítě nebo degradace výkonu. Změny ve stávajících bezpečnostních strategiích budou nutné i z důvodu schopnosti včasného zastavení hrozeb typu man-in-the-middle nebo pokusů o krádež firemních dat.

Artur Kane Artur Kane
Autor článku je Technology Evangelist ve společnosti Flowmon Networks.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 1-2 IT Systems 12 IT Systems 11 IT Systems 10
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1