Aborder le principe de Peter Parker dans l'inspection TLS

« Un grand pouvoir implique de grandes responsabilités. » Rendant hommage à Voltaire et Churchill, la citation est surtout connue grâce aux bandes dessinées « Spider-Man », attribuées à l’oncle Ben de Peter Parker. Bien sûr, une partie de la prévalence culturelle de cette ligne est qu’elle peut être appliquée à un certain nombre de situations et de sujets, y compris, comme l’indique le titre, l’inspection TLS.

Récemment, l'Agence de sécurité nationale des États-Unis (NSA) a publié un avis visant à répondre aux risques possibles associés au déploiement de l'inspection de sécurité de la couche de transport (TLSI). L'avis de la NSA a également fourni des méthodes pour atténuer les éventuelles faiblesses de sécurité pour les organisations déployant et utilisant des produits TLSI.

Un bref aperçu du TLSI : TLSI, également connu sous le nom de TLS break and inspect, est un processus qui permet aux organisations de décrypter et de recrypter le trafic réseau chiffré avec TLS ou même Secure Socket Layer (SSL). TLSI est un impératif pour les organisations, étant donné que la plupart des attaques actuelles sont masquées par le trafic crypté. Par exemple, selon les dernières recherches , plus de 90 % des chargements de pages sont désormais cryptés avec SSL/TLS, et 71 % des sites Web de phishing utilisent des certificats de cryptage.

De nombreuses organisations utilisent aujourd’hui un appareil dédié, tel qu’un proxy, un pare-feu ou un système de détection d’intrusion (IDS) ou de prévention d’intrusion (IPS) pour décrypter et recrypter le trafic chiffré avec TLS. D'autres exécutent toujours le trafic chiffré TLS via une chaîne de périphériques dans leur pile de sécurité, forçant le déchiffrement et le rechiffrement via chaque périphérique de sécurité. L'ensemble du processus TLSI aide les organisations à surveiller les menaces potentielles (telles que les logiciels malveillants) dans le trafic chiffré entrant. Il permet également aux organisations de surveiller le trafic chiffré sortant pour détecter l'exfiltration de données et les communications de commande et de contrôle (C2) actives vers des serveurs malveillants, prêts à télécharger des moyens d'attaque supplémentaires.

Mais la méthode de déploiement et d’utilisation du TLSI, ainsi que la manière dont il est déployé, peuvent également introduire de graves risques pour une organisation, selon l’avis de la NSA.

La NSA, dans son avis, recommande également que le trafic TLS soit interrompu et inspecté une seule fois au sein du réseau d’une organisation. L'avis indique clairement que le décryptage, l'inspection et le recryptage du trafic TLS par un périphérique proxy de transfert, avec le trafic ensuite envoyé vers un autre périphérique proxy de transfert pour la même action, ne doivent pas être effectués. Cette action augmente la surface de risque sans offrir aucun avantage supplémentaire.

Si une organisation déploie ou utilise une offre TLSI qui ne valide pas correctement les certificats TLS, le cryptage TLS peut être affaibli, laissant une ouverture au lancement d’attaques de l’homme du milieu (MiTM).

Un périphérique proxy de transfert fonctionnant de manière incorrecte utilisé pour TLSI peut entraîner la redirection du trafic déchiffré vers un périphérique tiers non autorisé, ainsi que le vol ou l'utilisation abusive de données sensibles.

Selon l’avis de la NSA, la surveillance du flux de trafic réseau vers le proxy direct peut contribuer à atténuer tout risque d’exploitation. De plus, pour garantir que le TLSI fonctionne comme il se doit, l’avis suggère d’utiliser des analyses sur les journaux, qui peuvent détecter le trafic mal acheminé, ainsi que d’aider à détecter les abus ou les utilisations abusives, intentionnelles ou non, par les administrateurs.

De plus, les produits TLSI devront probablement enchaîner les connexions TLS, ce qui pourrait entraîner une dégradation de la protection du chiffrement et conduire à l’exploitation d’une suite de chiffrement ou d’une version TLS plus faible. Certaines offres TLSI peuvent autoriser des versions TLS et des suites de chiffrement plus faibles à titre exceptionnel uniquement.

La plupart des périphériques proxy de transfert TLSI incluent leur propre autorité de certification interne (CA) pour créer et signer de nouveaux certificats. Mais l'autorité de certification intégrée pourrait être utilisée pour signer du code malveillant, contournant les mécanismes de sécurité comme IDS et IPS, ou être utilisée pour déployer des services malveillants imitant des services réels. L'avis de la NSA recommande à une organisation de sélectionner des produits qui implémentent correctement le flux de données, TLS et CA.

Une autre surface d’attaque peut être l’endroit où le périphérique TLSI décrypte le trafic, juste avant que le trafic ne soit envoyé aux périphériques de sécurité. Le trafic est en texte clair et est vulnérable aux attaques, qui pourraient voler aux attaquants les informations d'identification des utilisateurs et d'autres données sensibles.

F5 SSL Orchestrator garantit que le trafic crypté est décrypté, inspecté par des contrôles de sécurité appropriés et recrypté, offrant ainsi une visibilité sur le trafic crypté et atténuant les risques de menaces cachées. SSL Orchestrator maximise également l'efficacité des investissements de sécurité existants, en enchaînant dynamiquement les services de sécurité et en orientant le trafic déchiffré via une politique, en appliquant une intelligence basée sur le contexte au trafic chiffré. De plus, SSL Orchestrator gère et distribue de manière centralisée les dernières technologies de cryptage sur l'ensemble de l'infrastructure de sécurité d'une organisation, centralisant les certificats et la gestion des clés tout en offrant une gestion et un contrôle robustes du chiffrement. SSL Orchestrator surveille indépendamment la santé de chaque service de sécurité. Il garantit également que les solutions de sécurité fonctionnent avec une efficacité maximale et peuvent évoluer avec une haute disponibilité grâce aux capacités d'équilibrage de charge et de mise à l'échelle de F5. En outre, il prend en charge les normes gouvernementales et industrielles les plus strictes et les plus robustes en matière de sécurité et de confidentialité.

L’objectif de l’avis de la NSA est de réaliser correctement le décryptage et l’inspection TLS, et de le faire une seule fois. Bien qu'il puisse sembler qu'une solution tout-en-un comme un pare-feu de nouvelle génération (NGFW) répondrait techniquement à ce concept, en réalité, elle est assez peu pratique lorsqu'il s'agit de répondre à tous les types de trafic crypté et d'exigences de débit. Ce qui est réellement nécessaire (et la meilleure approche pour réaliser correctement et une seule fois le déchiffrement et l’inspection TLS) est un ensemble de produits multifournisseurs étroitement surveillés et connectés de manière sécurisée, configurés dans une solution de déchiffrement/inspection/rechiffrement unique, qui s’avérera plus flexible, plus résiliente et plus pratique.

Avec F5 SSL Orchestrator, une organisation n’a pas besoin d’enchaîner les périphériques proxy. Il n’est pas nécessaire d’effectuer une surveillance indépendante du trafic, ni même une surveillance supplémentaire des appareils. La suite de chiffrement ou la méthode de cryptage la plus sécurisée est utilisée, car il s'agit d'une architecture proxy complète. En d’autres termes, SSL Orchestrator atténue tous les risques évoqués dans l’avis de la NSA, tout en aidant les organisations à s’aligner sur le lien bien établi entre responsabilité et pouvoir.