Sul sito web di cybersecurity ThirdCertainty.com, Byron Acohido espone alcuni punti molto importanti sull'uso della crittografia da parte degli hacker per evitare gli strumenti di rilevamento e sulla necessità di rilevare questi attacchi. Si tratta di una discussione che si svolge presso la sede centrale di Vectra. Il traffico criptato è un nascondiglio facile per gli aggressori e difficile da gestire per le organizzazioni.
Tuttavia, cercare di monitorare questo traffico decriptando prima, eseguendo un'ispezione profonda dei pacchetti e poi criptando di nuovo a velocità di linea è problematico, anche con la decodifica SSL dedicata, soprattutto a lungo termine. Ci sono diversi fattori in gioco.
Con il crescente desiderio globale di privacy, sempre più traffico viene crittografato per impostazione predefinita. Sta diventando uno standard per le applicazioni cloud . Il Sandvine Internet Phenomena Report afferma che la crittografia è raddoppiata lo scorso anno in Nord America.
Si tratta in realtà di un'ottima notizia, soprattutto per la privacy dei consumatori. Le aziende hanno una strategia per criptare tutto. Con questa crittografia, tuttavia, i tentativi di decrittazione SSL comportano la necessità di elaborare grandi volumi di dati crittografati.
La crittografia compromette l'ispezione del traffico
La crescita del traffico criptato nelle reti aziendali sta avendo un forte impatto sulle tecnologie di sicurezza che si basano sulla deep packet inspection (DPI), la cui efficacia si riduce notevolmente con l'aumento del traffico criptato.
Ancor peggio, le tradizionali risposte di sicurezza alla gestione del traffico crittografato, come la decodifica e l'ispezione man-in-the-middle, diventeranno impossibili, dato che si assisterà a un aumento del pinning dei certificati e delle chiavi pubbliche.
Le prestazioni delle soluzioni di prevenzione delle fughe di dati (DLP), che si basano sul DPI, potrebbero essere degradate fino al 95%, mentre gli IDS e gli IPS tradizionali basati sulle firme subiscono una perdita di funzionalità fino all'80%. Questo non significa che la sicurezza debba essere la ragione per non criptare, perché non criptare il traffico non impedisce agli aggressori di farlo comunque.
L'analisi del comportamento dell'attaccante funziona sul traffico crittografato
La risposta sta nel comportamento del traffico di rete. Senza nemmeno guardare cosa c'è all'interno di un pacchetto, il traffico crittografato ha molte caratteristiche e modelli osservabili che rivelano i comportamenti degli aggressori.
Osservando la durata, la tempistica, la frequenza e le dimensioni caratteristiche dei pacchetti, è possibile capire molto su cosa stanno facendo gli utenti e i dispositivi host. I modelli di scienza dei dati applicati al traffico rivelano questi comportamenti degli aggressori. Mostrano quale parte ha il controllo di una conversazione e dicono, tra le altre cose, se è umana o automatizzata.
I modelli distintivi del traffico dannoso rivelano botnet, Trojan di accesso remoto, aggiornamenti di malware , comportamenti di ricognizione interna, furto di credenziali, autenticazione sospetta e altre azioni che gli aggressori devono eseguire per portare a termine un crimine informatico. Soprattutto, identificano i tunnel nascosti nel traffico crittografato che gli aggressori utilizzano per esfiltrare i dati.
In combinazione con le intestazioni in chiaro, concentrarsi senza sosta sul comportamento di tutto il traffico di rete, e non solo su istantanee e campioni casuali, è estremamente efficace per rilevare i comportamenti degli aggressori informatici.