Novinky
18. apríla 2019

Bezpečnejší internet môže byť nebezpečný. Na vine je šifrovanie

STANISLAV SMOLÁR

S bežne používanými nástrojmi pre ochranu počítačových sietí organizácie do šifrovanej komunikácie buď nevidia vôbec, alebo dosahujú potrebnú viditeľnosť príliš komplikovane a s neúmernými nákladmi. Lepšia cesta je rozšíriť nevyhnutné bezpečnostné technológie o nové prvky.

Šifrovanie dát je dnes neoddeliteľnou súčasťou internetovej komunikácie, vďaka ktorej môžeme bez obáv na webe nakupovať, alebo robiť bankové transakcie. Keďže bez šifrovania by mohol ktokoľvek nazerať do prenášaných dát a dostať sa tak poľahky napríklad k heslám alebo k osobným údajom, začínajú postupne využívať bezpečnostné certifikáty takmer všetci prevádzkovatelia webov.

 

Merania systémom Soitron Security Sensor ukazujú, že minimálny podiel komunikácie chránenej šifrovaním dnes býva v organizáciách 60 %.
Typicky sa však pohybuje okolo hranice 80 %, čo zodpovedá celosvetovým odhadom o podiele šifrovanej komunikácie na celkovej internetovej premávke pre rok 2019. Pre porovnanie, ešte pred dvomi rokmi bola zašifrovaná menej ako polovica internetu.

 

Oslepení administrátori

Okrem toho, že čoraz viac webových stránok a služieb je zašifrovaných, menia sa aj samotné šifry a pribúdajú nové, vylepšené protokoly na ochranu sieťovej komunikácie (CAA, DANE, TLS 1.3, eSNI, DoT…).

Tie novšie a modernejšie sú navrhnuté tak, aby chránili dáta pred akoukoľvek kontrolou, čiže aj vtedy, ak sú za ňou dobré úmysly. Ak k tomu prirátame výrazný nárast kapacity sietí, a tým aj objemu prenášaných dát, zistíme, že firmy aj verejné organizácie dnes čelia tsunami silne kryptovanej komunikácie.

Často je tiež dôsledkom inšpekcie výrazný pokles kvality šifrovania, napr. v rámci štúdie „The Security Impact of HTTPS Interception“ iba jedno zariadenie z 12tich dostalo uspokojivé hodnotenie.

Čo to znamená pre IT oddelenia?

Stručne povedané – nové problémy pri administrácii a zabezpečovaní IT pred kybernetickými rizikami. Staršie bezpečnostné nástroje, ktoré nerátali s inšpekciou šifrovanej komunikácie, neposkytujú administrátorom potrebnú viditeľnosť do prevádzky a hackerom tým pádom otvárajú nové možnosti pre rozširovanie škodlivých kódov či posielanie inštrukcií pre už infiltrovaný malvér.

Niektoré aplikácie, obzvlášť mobilné, navyše legitímnu inšpekciu bezpečnostných certifikátov v organizáciách odmietajú.Útočníci už dnes úspešne využívajú oslabenú schopnosť nevyspelých bezpečnostných riešení vidieť do šifrovanej komunikácie.

 

Podľa poskytovateľa cloudových služieb Zscaler vlani narástol počet phishingových útokov ukrytých v zašifrovanej komunikácii medziročne o 400 % a celkovo býva kryptovaná premávka zneužívaná pre rozširovanie malvéru zhruba v polovici kybernetických útokov. Nie je najmenší dôvod očakávať, že by sa tento podiel v budúcnosti zmenšoval.

 

Inšpekcia bez prečítania

Dobrá správa je, že existujú spôsoby, ako aspoň sčasti spriehľadniť aj zdanlivo neviditeľnú, dobre zašifrovanú komunikáciu. Viacerí dodávatelia bezpečnostných technológií už prišli s riešeniami postavenými na takzvanej ETA (Encrypted Traffic Analytics), ktoré s veľkou presnosťou a bez vplyvu na komfort používateľov dokážu identifikovať prípadné nebezpečenstvá ukryté v šifrovaných dátach.

Nesnažia sa rozlúsknuť šifry a „čítať“ kompletný obsah komunikácie – také niečo sa dá technicky iba ťažko urobiť a nie je to prijateľné ani z hľadiska ochrany súkromia. Cieľom technológií pre získanie viditeľnosti v zašifrovanom prostredí je rozpoznať neštandardné správanie napríklad na základe tzv. behaviorálnych analýz, teda analýzy správania, napr. sieťovej komunikácie a upozorniť tak na akúkoľvek podozrivú komunikáciu. Výhodou je, že tento prístup pomáha identifikovať aj nepoznané hrozby, ktoré zatiaľ nie sú popísané, neexistujú na ne žiadne signatúry a nič o nich nevieme.

Popri tom, ako sa bude podiel zašifrovanej internetovej premávky najbližšie roky nezadržateľne blížiť k hranici 100 %, trhliny v doterajších bezpečnostných architektúrach iba porastú. Pre IT oddelenia to neznamená, že musia súčasné prostriedky vyhodiť a nahradiť, ale skôr či neskôr ich potrebujú doplniť o nové nástroje schopné identifikovať riziká v prenosoch dát, do ktorým tak povediac voľným okom nevidno. Čím skôr tak urobia, o to menším rizikám sa vystavia.

Stanislav Smolár

Security Business Unit Manager

stanislav.smolar@soitron.com