Cisco Romania Blog

Encrypted Traffic Analytics sau cum poți detecta atacurile chiar și în traficul criptat, fără decriptare

2 min read



Trăim într-o lume conectată, în care organizațiile încearcă să găsească un echilibru între respectarea confidențialității și asigurarea securității, atât la nivel de utilizator, cât și la nivel de companie. Traficul de rețea este criptat din ce în ce mai mult, deoarece oamenii și companiile vor să păstreze confidențialitatea datelor care circulă în rețea. Acest lucru creează, însă, o problemă pentru echipele de securitate, din cauză că tot mai mulți infractori cibernetici introduc programe malware în traficul criptat. Astfel, echipele de securitate trebuie fie să respingă traficul criptat pentru a efectua investigații suplimentare, încetinind procesele de afaceri, fie să îl permită, crescând riscul unei breșe de securitate.

Dacă înainte această problemă nu avea rezolvare, acum ea poate fi soluționată. Cisco a lansat recent ETA (Encrypted Traffic Analytics), soluția prin intermediul căreia administratorii de rețea și echipele de securitate pot analiza traficul criptat pentru a vedea dacă conține malware, fără decriptare – datele rămân criptate.

ETA se bazează pe o înțelegere extinsă a protocolului TLS/SSL, astfel încât poate face o copie a librăriilor TLS, verifică certificatele, analizează lungimile și ora de sosire a mesajelor criptate, suprapunând această analiză cu informațiile cunoscute despre serverele de Internet rău intenționate și cu activitate suspectă.

După cum poate știți, traficul de rețea este tot mai mult criptat prin intermediul unor protocoale precum HTTPS. Aceasta este o veste bună pentru securitatea aplicațiilor, deoarece TLS criptează și autentifică datele aplicației, împiedicând interceptarea și manipularea frauduloasă. În ultimul an, volumul de trafic prin TLS a crescut semnificativ. Conform estimărilor Cisco Visual Networking Index, între 50 și 70% din trafic va fi criptat până la sfârșitul acestui an.

Din păcate, programele rău intenționate  pot profita de aceste avantaje de securitate și pot folosi HTTPS ca pe o modalitate de sustragere de la monitorizarea rețelei. Metodele tradiționale de monitorizare HTTP au de asemenea deficiențe în ceea ce privește traficul criptat. Gateway-urile de securitate web, de exemplu, nu pot fi aplicate în HTTPS. O modalitate ar fi ca punctul de inspecție să decripteze sesiunile HTTPS. Un gateway de securitate web sau un sistem de protecție împotriva intruziunilor (IPS) poate acționa ca un MITM (Man-In-The-Middle) de încredere, care întrerupe, inspectează și apoi reinițiază sesiunea SSL/TLS.

Deși abordarea MITM este potrivită pentru anumite scenarii și este folosită de mai multe companii, în unele cazuri, aceasta poate fi problematică. Dacă traficul de aplicații conține, de exemplu, informații personale, atunci este expus la MITM. Din cauza acestui conflict legat de confidențialitate, abordarea este ineficientă în anumite medii reglementate. Un gateway de securitate web poate fi configurat, astfel încât decriptarea MITM să nu fie aplicată traficului selectat, aceasta fiind o modalitate de a ocoli datele sensibile. Cu toate acestea, în multe cazuri, lista albă a traficului este mare, dinamică și în continuă creștere.

ETA a fost concepută să detecteze amenințările la nivelul rețelelor enterprise, nu să urmărească activitatea utilizatorilor. Cercetări anterioare au arătat că analiza pasivă a traficului criptat poate dezvălui informații despre activitatea utilizatorilor, ca de exemplu ce film urmărește o persoană pe Netflix sau câteva propoziții spuse într-o sesiune criptată Voice over IP. ETA efectuează, la rândul ei, o analiză pasivă a traficului criptat, dar cu un obiectiv diferit, și anume de a detecta și a înțelege activitatea malware, folosind clasificatori antrenați la nivelul rețelei Cisco și bibliotecii de malware ThreatGRID.

Toată activitatea noastră trece prin rețea, de aceea vizibilitatea rețelei este atât de importantă. Aplicarea ETA în rețea devine astfel un element de securitate foarte puternic. Agenții de monitorizare a gazdei finale au vizibilitate în detaliu asupra dispozitivelor pe care sunt instalați, în timp ce rețeaua oferă o vizibilitate mult mai largă, acoperind dispozitive pentru care nu există monitorizare.

ETA reprezintă un progres imens pentru Cisco, al cărui obiectiv este de a utiliza rețeaua pentru a oferi organizațiilor securitate completă.

Lăsați un comentariu