Mitigando ameaças criptografadas e garantindo criptografia segura

Quase todas as organizações no mundo estão migrando para a transformação digital. Uma transformação que é impulsionada pela necessidade de coletar e transmitir dados confidenciais — dados do usuário, dados do cliente, dados do paciente e dados corporativos. Resumindo, nossas vidas hoje giram em torno de dados. Manter a privacidade e a segurança é essencial.

Os aplicativos são as portas de entrada para os dados. Portanto, proteger aplicativos, onde quer que estejam, é essencial para a segurança de uma organização e seus negócios, independentemente do setor.

A segurança e a privacidade de dados confidenciais são tão importantes que novas regras e regulamentações governamentais estão sendo criadas para garantir a segurança e a privacidade dos dados dentro das organizações. E essas regras se aplicam independentemente de a organização ou os dados coletados estarem localizados dentro das fronteiras da entidade governamental ou não.

O Regulamento Geral de Proteção de Dados (GDPR) da União Europeia (UE) exige que as organizações que operam na UE garantam que os dados pessoais sejam coletados legalmente, com a aprovação prévia do indivíduo, e devem ser protegidos. Nos EUA, a nova Lei de Proteção ao Consumidor da Califórnia (CCPA) reflete muitas das proteções do GDPR e está sendo avaliada por outros estados como um modelo para legislação de proteção à privacidade do consumidor.

Essas regras e regulamentos são projetados para criar transparência e dar aos clientes mais controle sobre seus dados pessoais e como eles são tratados após serem coletados. Se uma organização sofrer uma violação de segurança e dados confidenciais forem perdidos, roubados, mal utilizados ou explorados, a organização violada poderá ser multada pesadamente.

A criptografia é considerada uma prática recomendada, no mínimo, para proteger informações confidenciais. Na verdade, a falha em proteger dados usando criptografia é considerada negligência.  No entanto, a criptografia tem dois lados.

Existem várias maneiras de garantir a segurança e a privacidade dos dados, mas a melhor é a criptografia.

A maior parte do tráfego hoje é criptografado. Quase todos os sites usam criptografia. O rápido crescimento e a adoção contínua de aplicativos de produtividade online, como o Microsoft Office 365 e o Google G Suite, aplicativos baseados em nuvem, aplicativos de software como serviço (SaaS) e redes sociais ajudaram a impulsionar o crescimento contínuo do tráfego criptografado.

Criptografar dados é ótimo para garantir e manter sua privacidade e integridade.

No entanto, há uma desvantagem perigosa na criptografia: os invasores perceberam que o tráfego criptografado é uma excelente maneira de entregar malware e outras cargas maliciosas para usuários desavisados e suas organizações, bem como uma ótima maneira de extrair dados roubados de usuários e organizações.

No mínimo, proteger-se contra ameaças ocultas no tráfego criptografado exige que as organizações tenham visibilidade do tráfego criptografado de entrada e saída. A visibilidade e a inspeção do tráfego de entrada criptografado reduzem os pontos cegos de segurança. Ele também atenua o risco de malware oculto no tráfego criptografado e as vulnerabilidades que levam a violações de dados confidenciais.

A visibilidade do tráfego de saída criptografado também é importante porque esse tráfego pode mascarar a exfiltração de dados roubados. Ele também pode mascarar comunicações lançadas por malware já entrincheirado em uma rede ou ambiente de nuvem para servidores de comando e controle (CnC) que podem desencadear ataques ou tentar baixar e estender software malicioso existente em um ataque multicamadas e multithread.

Os invasores também podem baixar malware adicional e se mover lateralmente dentro de uma organização ou até mesmo se estender além da organização original para atacar seus clientes ou cadeia de suprimentos, infectando mais dispositivos e servidores e roubando mais informações e dados.

Mas a visibilidade do SSL é apenas o começo. As organizações precisam de melhor controle sobre o tráfego criptografado e descriptografado, mas não às custas dos recursos de suas soluções de segurança.

Muitas organizações investem significativamente em suas soluções de segurança, selecionando recursos de alto valor para executar funções específicas, como explodir malware, sandbox e bloquear aplicativos e propriedades da web, só para citar alguns.  Embora as soluções de segurança possam incluir recursos nativos de descriptografia, a descriptografia e a criptografia não são seu objetivo ou foco principal.

Sem uma solução dedicada projetada para executar a descriptografia em escala, a visibilidade do SSL exige que o tráfego criptografado seja roteado pela maioria das empresas por meio de uma cadeia de serviços de segurança de ponta a ponta. Em essência, ele deve passar pela cadeia estática de um processo repetitivo e redundante de descriptografar/inspecionar/recriptografar em toda a pilha de segurança.

Este processo não é apenas ineficiente, mas também consome tempo e recursos preciosos. Também pode adicionar latência, impactando a experiência do usuário. Além disso, cada um dos dispositivos de segurança conectados em cadeia precisará ser dimensionado uniformemente para atender à capacidade total de tráfego criptografado, o que pode facilmente levar à assinatura excessiva. E isso significa aumento de custos para serviços de segurança.

O F5 SSL Orchestrator garante que o tráfego criptografado seja descriptografado, inspecionado pelos controles de segurança apropriados e, em seguida, criptografado novamente, proporcionando visibilidade ao tráfego criptografado e reduzindo o risco de ameaças ocultas.

Dedicado a aprimorar a infraestrutura SSL/TLS, o SSL Orchestrator também maximiza a eficácia dos investimentos em segurança existentes. Ele encadeia dinamicamente serviços de segurança e direciona o tráfego descriptografado por meio de políticas, aplicando inteligência baseada em contexto ao tráfego criptografado.

O SSL Orchestrator gerencia e distribui centralmente as mais recentes tecnologias de criptografia em toda a infraestrutura de segurança. Ele centraliza certificados e gerenciamento de chaves, ao mesmo tempo em que fornece gerenciamento e controle robustos de cifras.

Ele também oferece uma plataforma única para a inspeção unificada de protocolos de criptografia de última geração. O SSL Orchestrator garante que as soluções de segurança estejam operando com eficiência máxima e possam ser dimensionadas com alta disponibilidade por meio dos recursos de balanceamento de carga e dimensionamento do F5. E monitora de forma independente a saúde de cada serviço de segurança.

Como ponto central para tudo relacionado à criptografia, o SSL Orchestrator deve garantir que seu ambiente, seja físico ou virtual, suporte os padrões governamentais e industriais mais rigorosos e robustos para segurança e privacidade.

Uma parte fundamental do fornecimento de visibilidade SSL requer uma infraestrutura robusta de gerenciamento de chaves (PKI).  O gerenciamento e a proteção de chaves, bem como seu uso adequado, geralmente estão associados a mandatos regulatórios — por exemplo, o Federal Information Processing Standard 140.2 (FIPS 140-2), Common Criteria, padrões da International Organization for Standardization (ISO) e outras certificações regionais ou verticais específicas.

FIPS 140-2, apesar de ser um E.U.A. O padrão do Instituto Nacional de Padrões e Tecnologia (NIST) pode ser encontrado e é aplicado em muitos mercados altamente regulamentados no mundo todo e fornece orientação para o uso de criptomoedas e validação de implementação.

Existem vários níveis diferentes de FIPS 140-2 que correspondem a regulamentações, riscos e sensibilidade de dados. Em implantações de visibilidade SSL, o FIPS 140-2 Nível 3 geralmente é necessário para proteger a chave de assinatura em um gabinete físico de hardware resistente a violações, conhecido como Módulo de Segurança de Hardware (HSM). Um HSM incluirá zeragem de chaves, verificações de integridade de inicialização e controles para impedir extração não autorizada de chaves. Os HSMs oferecem mais do que segurança de chaves aprimorada; eles também podem ajudar a simplificar o gerenciamento de certificados e reduzir os custos de conformidade.

A F5 fornece a mais ampla gama de plataformas compatíveis com FIPS, incluindo diversas opções de HSM, tanto na caixa quanto por meio dos Padrões de Criptografia de Chave Pública nº 11 (PKCS nº 11) para HSMs de rede. Dependendo da licença e do modelo do SSL Orchestrator selecionados, há vários níveis de FIPS 140-2 disponíveis, incluindo uma variedade de opções de preço para garantir que a adesão à política seja possível para qualquer organização, independentemente do tamanho.

O F5 SSL Orchestrator oferece visibilidade holística incomparável do tráfego criptografado, mitigando riscos associados a malware e outras ameaças maliciosas mascaradas pelo tráfego criptografado de entrada. O SSL Orchestrator também impede a exfiltração de dados roubados, comunicações CnC e o download de malware adicional e cargas maliciosas no tráfego criptografado de saída.

E o SSL Orchestrator, por meio de sua função centralizada de descriptografia e recriptografia, cadeias de serviços dinâmicas e direcionamento inteligente de tráfego, permite que recursos de segurança de alto valor sejam executados em escala, aliviando com segurança a descriptografia/criptografia que exige uso intensivo de CPU. Isso facilita a maximização dos investimentos em segurança.

Essas ações não apenas impedem pontos cegos de segurança e ameaças ocultas, mas também liberam as soluções de segurança existentes para desempenhar de forma otimizada suas funções principais: fornecer proteção contra ameaças, evitar vazamento de dados, sandbox e outros serviços de segurança relevantes.

O SSL Orchestrator tem várias opções de licenciamento projetadas para pequenas e médias empresas (PMEs), empresas modernas e a nuvem.  Com várias opções de plataforma, incluindo Edições Virtuais (VEs), bem como dispositivos de nível médio a alto, a F5 tem soluções para atender às mudanças no tráfego criptografado e às mudanças em cifras e protocolos, incluindo TLS 1.3, dispositivos IoT do futuro e, eventualmente, esquemas de cifra pós-quântica.