Cisco Romania Blog
Share

Dilema traficului criptat: cel bun, cel rău, cel… sigur?


21/01/2020


Peste 80% din traficul HTTP/HTTPS este în prezent criptat.

Ceea ce, în principiu, este un lucru bun pentru securitatea și confidențialitatea datelor. În practică, însă, lucrurile nu stau chiar așa pentru că și „partea întunecată“ a Web-ului folosește tot mai intens criptarea pentru a-și disimula atacurile malware. Lucru care îi reușește într-atât de bine, încât la momentul actual numeroase organizații se află în situația critică de a nu putea deosebi traficul legitim de cel generat de hackeri.

Aproape două treimi din incidentele de securitate depistate de soluția noastră Stealthwatch sunt ascunse în traficul criptat. De la comunicații cu serverele de comandă și control (C2), la scurgeri de date, hackerii folosesc pe scară largă criptarea traficului pentru a nu fi depistați de sistemele tradiționale de securitate.

Iată câteva exemple devenite deja „clasice“:

Botnets – rețelele botnet alcătuite din calculatoare compromise conectate la Internet sunt folosite, în mod uzual, pentru lansarea atacurilor de tip Denial of Service (Dos) și/sau Distributed Denial of Service (DDoS), pentru campanii spam și pentru răspândirea amenințărilor. În marea majoritate a cazurilor, amenințările de tip botnet utilizează traficul criptat pentru a comunica cu serverele C2.

RATs – acronimul este împrumutat de la Remote Administration Tool și desemnează o categorie malware folosită de hackeri pentru a monitoriza și controla de la distanță un sistem informatic. După ce trec de barierele de securitate și se auto-implantează în sistemele vulnerabile, RATs au nevoie de instrucțiuni pentru a-și desfășura activitatea, pe care le primesc, sub formă de trafic criptat, de la serverele C2. Criptarea este folosită însă și pentru a a transmite în exterior datele subtilizate (parole, capturi de ecran etc.).

Cryptojacking – minarea după monedele virtuale este o activitate legală, mai puțin în cazul resursele de procesare utilizate fără acordul proprietarilor. Sau, mai precis, fără ca aceștia să aibă habar că hackerii le-au pus la treabă calculatoarele. Este o strategie al cărei succes depinde, în mod critic, de criptare, care este utilizată pentru a masca conexiunea de date dintre serverul de comandă și „minerii“ exploatați.

Troienii bancari – pentru a opera, un troian bancar utilizează traficul criptat în combinație cu servere proxy malițioase pentru a-și ascunde urmele. Cum este de exemplu, Gustuff, un troian ce se propagă prin intermediul SMS-urilor pe sistemele care rulează Android și care este specializat în extragerea de informații confidențiale din aplicații de online banking, portofele de criptomonede, servicii de plată electronică, site-uri de e-commerce etc.

Ransomware – pentru acest tip de amenințări, criptarea este esența menirii sale. Într-o definiție succintă, un ransomware este o aplicație rău intenționată, care criptează fișierele de pe un sistem informatic blocând complet accesul la el până când se plătește răscumpărarea cerută de hackeri. Amenințările de tip ransomware folosesc însă și criptarea traficului pentru a comunica în rețea și/sau pentru distribuirea cheilor de decriptare.

Soluțiile tradiționale de depistare a unor astfel de amenințări presupun interceptarea traficului, decriptarea acestuia, verificarea lui și apoi recriptarea. Toate aceste operațiuni necesită echipamente dedicate, deci investiții suplimentare, pentru că riscul de scădere a performanței este direct proporțional cu volumul traficului criptat. În plus, toate aceste manevre cresc și nivelul de expunere a datelor inspectate.

O altă metodă utilizată este așa-numită tehnică de „Traffic fingerprinting“. Amprentarea se realizează prin monitorizarea traiectoriei pachetelor criptate în rețeaua unei organizații pentru a se depista comportamentele care pot semnala un potențial risc. Metoda nu asigură însă o acoperire 100%, pentru că hackerii pot introduce în trafic pachete aleatorii de date („dummy packets“) care au rolul de a le masca urmele.

Soluția noastră în fața amenințărilor ascunse în traficul criptat este Stealthwatch, cu ajutorul căreia colectăm informații despre traficul din rețea, le analizăm și, pe baza rezultatelor obținute, creăm modele dinamice ale traficului normal. Apoi, folosind aceste tipare, detectăm automat orice anomalie care reprezintă o potențială amenințare. În plus, Stealthwatch integrează și tehnologia Cisco Encrypted Traffic Analytics, care identifică amenințările ascunse fără a mai decripta traficul. Prin urmare, nu mai aveți nevoie de echipamente suplimentare, nu mai aveți scăderi ale performanței rețelei și nici nu mai trebuie să vă faceți griji legate de confidențialitatea datelor.

Complementar, Cisco Umbrella blochează accesul la domeniile compromise și malware, înainte ca acestea să poată stabili o conexiune criptată, în timp ce AMP for Endpoints asigură protecția utilizatorilor mobili împotriva unei game extinse de amenințări.

Pentru mai multe detalii despre soluțiile Cisco prezentate, vă invit să citiți și aceste articole: Puteți bloca atacurile greu de detectat? (Stealthwatch), Securitate sporită la nivel de DNS, indiferent de locație, cu Cisco Umbrella și Cum prevenim atacurile fără fișiere atașate? (AMP for Endpoints). Iar dacă doriți să le testați, vă rugăm să ne contactați la solutiicisco@cisco.com

Tags:
Lăsați un comentariu