Když organizace používají běžné nástroje na ochranu počítačových sítí, do šifrované komunikace buď vůbec nevidí, nebo dosahují potřebné viditelnosti příliš komplikovaně a s neúměrnými náklady. Lepší cesta je rozšířit nezbytné bezpečnostní technologie o nové prvky.
Šifrování dat je dnes nedílnou součástí internetové komunikace. Díky němu můžeme bez obav nakupovat na webu nebo provádět bankovní transakce. Bez šifrování by měl k přenášeným datům přístup prakticky kdokoli – mohl by se snadno dostat třeba k heslům nebo k osobním údajům. Proto začínají skoro všichni provozovatelé webů postupně používat bezpečnostní certifikáty.
Měření systémem Soitron Security Sensor ukazují, že minimální podíl komunikace chráněné šifrováním dnes v organizacích dosahuje 60 %.
Typicky se ale pohybuje okolo hranice 80 %, což odpovídá celosvětovým odhadům podílu šifrované komunikace na celkovém internetovém provozu za rok 2019. Pro srovnání: ještě před dvěma lety nebyla zašifrovaná ani polovina internetu.
Vedle toho, že je čím dál tím víc webových stránek a služeb zašifrovaných, mění se i samotné šifry a přibývají nové, vylepšené protokoly na ochranu síťové komunikace (CAA, DANE, TLS 1.3, eSNI, DoT atd.).
Novější a modernější z nich jsou navržené tak, aby chránily data před jakoukoli kontrolou, i kdyby měla probíhat z dobrých důvodů. Když přičteme výrazný nárůst kapacity sítí a tím i objemu přenášených dat, zjistíme, že firmy a veřejné instituce dnes čelí doslova záplavě silně kryptované komunikace.
Důsledkem inspekce bývá také výrazný pokles kvality šifrování, např. v rámci studie „The Security Impact of HTTPS Interception“ dosáhlo uspokojivého hodnocení jenom jedno z 12 zařízení.
.
Stručně řečeno – nové problémy při administraci a zabezpečování IT před kybernetickými riziky. Starší, které nepočítaly inspekci, neposkytují bezpečnostní bezpečnostní šifrovaný bezpečnostním nástrojem dostatečné viditelnosti do provozu a tím hackerům otevírají nové možnosti pro rozšiřování škodlivých kódů či posílání instrukcí pro již infiltraci malware.
Některé aplikace, obzvlášť mobilní, navíc legitimní inspekci bezpečnostních certifikátů organizací odmítají. Útočníci již dnes úspěšně využívají oslabenou schopnost nevyspělých bezpečnostních řešení vidět do šifrované komunikace.
Podle poskytovatele cloudových služeb Zscaler počet phishingových útoků ukrytých v zašifrované komunikaci loni meziročne narostl o 400 % a celkově se kryptovaný provoz zneužívá k šíření malwaru zhruba při polovině kybernetických útoků. Není žádný důvod očekávat, že by se tenhle podíl měl v budoucnu snižovat.
Dobrá zpráva je, že existují způsoby, jak aspoň částečně zpřehlednit i zdánlivě neviditelnou, dobře zašifrovanou komunikaci. Různí dodavatelé bezpečnostních technologií už přišli s řešeními založenými na takzvané ETA (Encrypted Traffic Analytics – Analytika šifrovaného provozu). Ta umí s velkou přesností a bez ovlivnění uživatelského komfortu odhalit případná nebezpečí skrytá v šifrovaných datech.
Jde o řešení, která se nesnaží rozklíčovat šifry a číst kompletní obsah komunikace. Něco takového se dá technicky provést jenom těžko a není to přijatelné ani z hlediska ochrany soukromí. Cílem technologie na získání viditelnosti v zašifrovaném prostředí je rozpoznat nestandardní chování například na základě tzv. behaviorálních analýz, což jsou analýzy chování např. síťové komunikace. Technologie tak dokáže upozornit na jakoukoli podezřelou komunikaci. Výhodou takového přístupu je, že pomáhá identifikovat i neznámé hrozby, které nejsou ještě popsané, neexistují na ně žádné signatury a nic o nich nevíme.
Jak se podíl zašifrovaného internetového provozu bude v nejbližších letech nezadržitelně blížit k hodnotě 100 %, budou se i trhliny v dosavadních bezpečnostních architekturách jenom zvětšovat. Pro IT oddělení to neznamená, že je nutné zbavit se současných prostředků a nahradit je novými, ale dřív nebo později bude potřeba doplnit je novými nástroji schopnými rozpoznat hrozby v datových přenosech, do kterých není vidět „pouhým okem“. Čím kratší dobu to potrvá, tím menším hrozbám bude potřeba čelit.
We are in the process of finalizing. If you want to be redirected to our old version of web site, please click here.
