La moitié des logiciels malveillants du monde sont désormais cryptés

Ce que vous ne pouvez pas voir pourrait nuire à votre organisation, et le cryptage est un angle mort majeur. Selon F5 Labs , plus de 80 % du trafic Internet mondial est crypté, et le manque de visibilité sur le trafic crypté présente une menace de sécurité substantielle. Selon un rapport récent des chercheurs en sécurité de Sophos , près de la moitié (46 %) de tous les malwares en 2020 étaient cachés dans un package chiffré. Les organisations qui ne disposent pas des ressources nécessaires pour décrypter les paquets de trafic risquent donc de laisser des quantités massives de logiciels malveillants pénétrer dans leurs réseaux. Sans visibilité sur le trafic chiffré, les actifs de votre organisation peuvent être vulnérables aux attaques malveillantes telles que les communications de commande et de contrôle (et les attaques qui en résultent) ou l'exfiltration de données.

Pourquoi tant de logiciels malveillants sont-ils cryptés aujourd’hui ?

Dans le rapport, les chercheurs ont identifié deux raisons principales pour l’augmentation des logiciels malveillants cryptés. Premièrement, ils ont découvert que de plus en plus de logiciels malveillants sont hébergés sur des solutions de stockage cloud légitimes, telles que GitHub et Google Workspace, qui sont cryptées avec TLS. Les pirates informatiques se sont donc appuyés sur des certificats existants provenant d’organisations de confiance pour attaquer les entreprises. Deuxièmement, les chercheurs ont suggéré que la large disponibilité d’extraits de code compatibles TLS permettait aux mauvais acteurs d’utiliser le chiffrement facilement et fréquemment. Et avec le volume croissant de trafic légitime stimulé par le travail à distance pendant la pandémie de coronavirus, il est encore plus impératif pour les organisations de répondre à la forte demande tout en équilibrant la sécurité organisationnelle.

Cependant, le chiffrement n’est certainement pas « le méchant ». En fait, le cryptage est essentiel pour protéger la confidentialité des données. Lors de la manipulation de données sensibles en ligne, de l'accès aux dossiers bancaires à la saisie d'un mot de passe, en passant par la vérification des dossiers médicaux, le cadenas omniprésent dans les barres de notre navigateur offre aux utilisateurs un sentiment de confiance lorsqu'ils naviguent sur le Web. Les dossiers médicaux et financiers peuvent rester sécurisés, et le vol et l’utilisation abusive des données sont considérablement réduits. Et surtout, les hébergeurs d’applications peuvent rester conformes aux réglementations destinées à protéger la confidentialité des utilisateurs, telles que le Règlement général sur la protection des données (RGPD) de l’Union européenne, qui recommande, mais n’exige pas, le cryptage, et le California Consumer Privacy Act (CCPA), et agir en bons intendants des données de leurs utilisateurs.

Mais les mauvais acteurs peuvent également obtenir des certificats TLS. Le chiffrement, bien qu’utile pour protéger la confidentialité des données des utilisateurs, peut créer un risque sérieux pour votre entreprise s’il n’est pas déchiffré et inspecté pour détecter les charges utiles malveillantes entrant dans votre environnement, l’exfiltration de données sensibles ou les communications de commande et de contrôle sur le trafic sortant. Bien que les certificats TLS gratuits et facilement disponibles permettent aux hôtes d’applications de protéger à moindre coût la confidentialité des données de leurs utilisateurs, les acteurs malveillants peuvent également cacher des logiciels malveillants derrière un certificat. Et cela devient de plus en plus facile pour eux de le faire.

Des solutions de décryptage inefficaces peuvent conduire à de multiples points de défaillance de sécurité

Au sein de votre organisation, vous faites peut-être déjà face à la menace du trafic chiffré en utilisant des dispositifs dans vos piles de sécurité, tels que des logiciels de prévention de la perte de données (DLP), des pare-feu de nouvelle génération (NGFW) ou un système de prévention des intrusions (IPS), entre autres, pour déchiffrer, inspecter le package à la recherche de logiciels malveillants et rechiffrer le trafic traversant votre réseau. Et même si ces solutions de sécurité peuvent être utilisées pour décrypter les paquets, elles ne font pas le travail très bien ni très efficacement.

Ces solutions ont été conçues pour répondre aux problèmes de sécurité, et non pour effectuer une tâche de décryptage du trafic nécessitant de nombreuses ressources informatiques. Le fait de détourner une énergie et des cycles précieux de leur tâche principale de sécurité peut entraîner une surcharge des appareils et un contournement involontaire du trafic, ce qui peut conduire à des exploits et à des attaques. Les dispositifs de sécurité reliés entre eux dans une configuration en « guirlande » peuvent entraîner de multiples points de défaillance, comme une série de lumières sur une guirlande. Si un fusible saute alors que le courant circule dans le fil, toutes les lumières après le fusible cassé dans la guirlande s'éteindront également et ne seront plus fonctionnelles. Chaque composant est un point de défaillance possible. Un élément tombe en panne et l’ensemble du système (ou de la pile de sécurité) est impacté.

La connexion en chaîne de dispositifs de sécurité, comme une guirlande lumineuse, n'est pas non plus rentable ni efficace. En plus de créer de multiples points de défaillance, ce modèle augmente le coût total de possession (TCO) de la sécurité en exigeant des abonnements (ou en encourageant la sur-abonnement) à une variété de services, entraîne une latence élevée pour l'utilisateur final et crée une complexité importante. Cela signifie que de nombreuses organisations traitent les menaces chiffrées d’une manière à la fois peu pratique et insuffisante, et elles peuvent même créer une frustration supplémentaire pour les utilisateurs finaux liée à la lenteur de l’accès aux applications. Heureusement, F5 SSL Orchestrator est spécialement conçu pour inspecter le trafic crypté.

Orchestrer la sécurité des infrastructures résilientes

F5 SSL Orchestrator offre une visibilité et une orchestration rentables de tout le trafic SSL/TLS entrant et sortant. Au lieu de chaîner les services de sécurité dans une série délicate, F5 SSL Orchestrator utilise un modèle de chaîne de services dynamique qui gère intelligemment le décryptage du trafic sur une chaîne de sécurité avec un moteur de classification contextuelle utilisant une direction du trafic basée sur des politiques. Ce système est résilient et non linéaire, de sorte que lorsqu’un service de sécurité tombe en panne, le système peut toujours protéger les actifs de votre organisation. SSL Orchestrator permet également une insertion facile des solutions de sécurité existantes pour une disponibilité optimale, le regroupement des services, des capacités de surveillance avancées, la mise à l'échelle et l'équilibrage de la charge des solutions de sécurité.

Pour découvrir comment F5 SSL Orchestrator peut vous aider à renforcer la sécurité de votre entreprise, veuillez contacter Sales@f5.com .