A pesquisa de inteligência de ameaças do F5 Labs em milhões de sites descobriu que quase 90% dos carregamentos de páginas são criptografados. Isso ocorre porque a adoção do Transport Layer Security (TLS) se tornou a norma para organizações de todos os tamanhos e setores.
Vários fatores determinantes contribuíram para essa adoção generalizada: o Regulamento Geral de Proteção de Dados (GDPR) da UE, as preferências de classificação dos resultados de pesquisa do Google, os avisos do navegador para sites HTTP (texto não criptografado) e a facilidade de obter certificados baratos ou gratuitos (Let’s Encrypt), para citar apenas alguns. Embora essa evolução melhore a segurança do tráfego da web, ela tem um preço: os riscos potenciais de malware oculto no tráfego criptografado e o aumento da demanda de carga de trabalho. As organizações devem implementar uma solução que permita que sua infraestrutura possibilite velocidade e disponibilidade, ao mesmo tempo em que garante forte segurança e privacidade.
90% dos carregamentos de páginas em milhões de sites amostrados são criptografados, com base na pesquisa de inteligência de ameaças do F5 Labs.
Criptografar o tráfego é ótimo para evitar ataques do tipo "man-in-the-middle", que podem permitir que um invasor visualize ou altere dados; no entanto, a criptografia pode fazer com que dispositivos e serviços de inspeção ou análise fiquem cegos para esse tráfego. Criptografar e descriptografar tráfego consome muito poder computacional, então muitas soluções de inspeção de segurança, como um Sistema de Detecção/Prevenção de Intrusão (IDS/IPS), sandbox de malware, firewall de última geração (NGFW) e outros, não descriptografam ou sofrem uma perda de desempenho tão grande que repassam tráfego criptografado apenas para acompanhar. Seja tráfego entrando em seu aplicativo ou tráfego interno saindo para a Internet, você precisa que todos os seus investimentos em infraestrutura tenham a visibilidade necessária para atingir seu potencial.
Todo mundo sabe que malware é perigoso, mas normalmente é necessária uma defesa em camadas para identificá-lo e impedi-lo de se propagar para outros usuários e dispositivos, ou de exfiltrar dados. O malware pode ser adquirido de várias fontes diferentes, como sites maliciosos ou e-mails de phishing, por isso é crucial inspecionar o tráfego de saída da rede para garantir que o malware não consiga chamar os servidores de comando e controle e que nenhum dado confidencial esteja saindo do seu ambiente controlado. Isso se torna um desafio, pois quase todos os invasores agora usam canais criptografados para ocultar as comunicações de saída de seus malwares.
Também há dificuldades na inspeção do tráfego de entrada. Um aplicativo ou site geralmente é crucial para os negócios de uma organização — 34% dos aplicativos da web são relatados como sendo de missão crítica, de acordo com o Relatório de Proteção de Aplicativos de 2018 do F5 Labs. E quando seu aplicativo for essencial, você provavelmente terá soluções de segurança como um firewall de aplicativo da web (WAF) ou um IDS/IPS para filtrar tráfego malicioso. Além dos dispositivos de inspeção de segurança, talvez seja necessário executar o tráfego do aplicativo por meio de mecanismos de análise ou soluções de experiência do cliente. Todas essas soluções oferecem valor único, mas a descriptografia em escala provavelmente não é uma delas.
dos aplicativos da web são relatados como de missão crítica e correm risco de tráfego malicioso.
Um estudo recente do F5 Labs mostrou que 68% dos malwares usam criptografia para esconder seus rastros dos dispositivos de segurança projetados para identificá-los e neutralizá-los — e esse número provavelmente continuará crescendo. Ao implementar uma estratégia de defesa em profundidade, muitos administradores implantam soluções de segurança em uma cadeia serial para se defender contra malware. Isso é incrivelmente ineficiente e também deixa a porta aberta para que tráfego malicioso passe por uma solução de inspeção de segurança sobrecarregada. Você precisa de visibilidade e segurança, mas não pode sacrificar o desempenho.
Uma solução SSL/TLS para descriptografar o tráfego e enviá-lo aos dispositivos de inspeção é um bom primeiro passo para mitigar os efeitos do malware. No entanto, isso pode introduzir latência desnecessária se determinado tráfego não precisar passar por determinados dispositivos de inspeção. Por exemplo, se o tráfego de saída de um usuário estiver indo para um site conhecido como bom (ou endereço IP) e a solução de prevenção de perda de dados (DLP) não detectar nada sensível, o tráfego ainda precisa passar pelo NGFW ou pelo IDS? Talvez, mas é importante ter a capacidade de personalizar o caminho do seu tráfego de acordo com sua tolerância ao risco.
Alterar cifras antigas, uma vez que elas estão obsoletas, é mais fácil quando há um ponto de controle centralizado.
O protocolo TLS tem uma contramedida de vigilância passiva chamada proteção de sigilo de encaminhamento perfeito (PFS), que adiciona uma troca adicional ao protocolo de estabelecimento de chaves entre os dois lados da conexão criptografada. Ao gerar uma chave de sessão exclusiva para cada sessão iniciada pelo usuário, o PFS garante que um invasor não possa simplesmente recuperar uma única chave e descriptografar milhões de conversas gravadas anteriormente.
À medida que o PFS se torna o padrão de fato — especialmente porque esse é o único método permitido no TLS 1.3 — você precisará ter um plano para quaisquer soluções de inspeção passiva para tráfego de entrada. Anteriormente, com chaves RSA, você compartilhava a chave com qualquer uma dessas soluções. Entretanto, isso não é possível com o PFS gerando uma chave exclusiva para cada sessão. O F5 SSL Orchestrator pode descriptografar e encaminhar tráfego de texto simples para soluções de inspeção ou pode descriptografar e criptografar novamente usando TLS 1.2 com RSA. A segunda opção coloca o ônus de descriptografia de volta nos dispositivos de inspeção, mas as soluções não precisariam estar alinhadas com o tráfego e, portanto, não aumentariam a latência, nem haveria dados em texto simples em trânsito dentro do seu data center.
Nenhuma vulnerabilidade foi encontrada ainda com as cifras de curva elíptica, que são obrigatórias ao implementar o PFS; mas, como todos sabemos, nada que é seguro hoje em dia permanecerá assim para sempre. A pesquisa de segurança e as ferramentas de hacking continuam a avançar, assim como o poder da computação, e isso inevitavelmente ajudará a descobrir uma vulnerabilidade. Ter um ponto de controle centralizado para toda a descriptografia e criptografia facilita a alteração de cifras, pois as cifras antigas estão obsoletas.
Ter a capacidade de ver o interior dos pacotes que chegam aos seus aplicativos ou que saem da sua rede é um grande passo; mas é apenas o primeiro passo. Recorrer à configuração ou encadeamento manual para gerenciar a descriptografia/criptografia em toda a pilha de segurança é tedioso, e todos nós sabemos que qualquer política que determina que as coisas devem ser de uma determinada maneira sempre vem com uma exceção. O F5 SSL Orchestrator oferece visibilidade em grande escala, mas é a orquestração que realmente o diferencia dos demais.
A orquestração fornece direcionamento de tráfego baseado em políticas para uma cadeia de serviços com base em riscos e condições dinâmicas de rede. Por ser um proxy completo para SSL/TLS e HTTP, o SSL Orchestrator pode tomar decisões inteligentes para direcionar o tráfego de entrada e saída para cadeias de serviços dentro da pilha de segurança. E embora a maior parte do seu tráfego seja provavelmente HTTPS, o SSL Orchestrator permite que você gerencie de forma inteligente a descriptografia e a recriptografia com outros tipos de tráfego, como STARTTLS em FTP, IMAP, POP3 e ICAP. Nenhum outro produto pode fazer tudo isso, e é por isso que nenhuma outra solução SSL/TLS oferece proteção mais abrangente para seus aplicativos e sua rede.
Tem alguma pergunta de segurança, problema ou algo mais que gostaria de discutir?
Gostaríamos muito de ouvir de você!
