W 2018 roku zaszyfrowany ruch stanowił aż 72% całkowitego ruchu internetowego [1] – to niemal 20% więcej niż rok wcześniej. Z jednej strony jest to bardzo pozytywne zjawisko, dzięki któremu zainicjowane transakcje, procesy i dane można z łatwością i bezpiecznie przesyłać tam, gdzie są potrzebne. Z drugiej, tworzy ono wyzwania przy wykrywaniu zagrożeń, utrudniając monitorowanie i głęboką inspekcję ruchu sieciowego.

Organizacje wykorzystują coraz więcej urządzeń mobilnych oraz funkcjonują w środowiskach wielochmurowych. Dane, które dawniej były dobrze zabezpieczone i niedostępne, teraz są częścią ruchu internetowego. Aby je chronić, wykorzystywane jest szyfrowanie ruchu, przede wszystkim w formie protokołów SSL i TLS.

Szyfrowanie może ukryć także ruch szkodliwy, dlatego cyberprzestępcy coraz częściej wykorzystują tę metodę do własnych celów. Dzięki temu unikają wykrycia przy wykradaniu danych lub przemycaniu złośliwego oprogramowania. Wzrost popularności szyfrowanego ruchu może więc zwiększyć szansę na to, że cyberprzestępcy pozostaną w cieniu” – wyjaśnia Robert Dąbrowski, szef polskiego zespołu inżynierów Fortinet.

Tradycyjne zabezpieczenia pozostają w tyle

Tradycyjne urządzenia zabezpieczające i firewalle nie są w stanie sprostać wymaganiom skanowania ruchu SSL/TLS. Jego deszyfrowanie i analiza wiąże się z ogromnym obciążeniem procesorów. Według
niedawnego badania NSS Labs w przypadku głębokiej inspekcji pakietów dla ruchu szyfrowanego wpływ na wydajność wynosi średnio 60%, ilość obsługiwanych połączeń na sekundę spada o 92%, a czas
odpowiedzi zwiększa się drastycznie, aż o 672%.

Dodatkowo niepokoi fakt, że nie wszystkie produkty zabezpieczające rozpoznają nawet 30 najpopularniejszych algorytmów szyfrowania – w niektórych przypadkach część ruchu jest po prostu ignorowana. Tworzy to idealny mechanizm dla przestępców, dzięki któremu mogą rozpowszechniać złośliwe oprogramowanie i wykradać dane. To wszystko prowadzi do sytuacji, w której producenci
rozwiązań bezpieczeństwa nie publikują swoich wyników inspekcji SSL/TLS, a sprzedawcy unikają tego tematu.

Jak sprostać wyzwaniom?

Ruch szyfrowany wymaga stałej i profesjonalnej inspekcji i nic nie wskazuje na to, żeby w przyszłości miało się to zmienić. Oto kilka sugestii od ekspertów Fortinet, jak organizacje mogą przygotować się na związane z tym zjawiskiem zagrożenia:

1. Higiena bezpieczeństwa. Większość problemów sieciowych, z którymi zmagają się organizacje,
jest wynikiem korzystania ze starych lub niezaktualizowanych urządzeń podatnych na ataki.
2. Testowanie urządzeń. Potencjalne problemy z wydajnością zabezpieczeń najlepiej wykrywać
odpowiednio wcześniej. Warto testować urządzenia pod tym kątem przy inspekcji wysokiego
natężenia ruchu SSL/TLS. Należy też sprawdzać, czy wspierają one wszystkie popularne
algorytmy szyfrowania.
3. Kontrolowanie sieci. Wprowadzenie kontroli dostępu do sieci (NAC) pozwoli identyfikować
urządzenia, automatycznie filtrować ruch oraz wykorzystywać analizę zachowań informującą o
podejrzanej aktywności.
4. Deszyfrowanie wewnętrzne. Warto rozważyć wprowadzenie rozwiązania przeznaczonego
wyłącznie do celów deszyfrowania i ponownego szyfrowania danych.
5. Dobór właściwych rozwiązań ochronnych. W pełni zintegrowane rozwiązania mogą być dobrym
wyborem dla niektórych firm, zwłaszcza tych o ograniczonych zasobach. Problem z inspekcją
SSL/TLS ma pod kontrolą względnie mała grupa producentów, dlatego dobrze jest uprzednio
sprawdzić, czy dany producent jest w stanie zastąpić aktualne nienadążające rozwiązania. Warto
przyjrzeć się testom niezależnych laboratoriów, takich jak NSS Labs.

[1] https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/threat-report-q3-2018.pdf