Šifrēšana pret redzamību: kā atgūt kontroli pār tīkla datu plūsmu

Šifrēšana nav drošības ienaidnieks. Tā ir privātuma, atbilstības normatīvajiem aktiem (GDPR, PCI DSS, HIPAA) un lietotāju uzticības pamats. Tomēr problēma rodas, kad šifrēšana kļūst par barjeru drošības analīzei.

Kiberdarbojās to lieliski izmanto. Arvien biežāk viņi slēpj C2 komunikāciju, datu pārsūtīšanu un pat administratīvas darbības TLS trafikā, izliekoties par legāliem procesiem. Uzbrukumi, piemēram, Living off the Land, kas izmanto autorizētus RMM rīkus vai administratīvos protokolus, kļūst arvien izplatītāki.

Bez piekļuves atšifrētiem datiem, drošības sistēmas redz tikai „tīkla troksni” – paketes ar pareizu struktūru, bet bez konteksta. Un konteksts ir tas, kas ļauj atklāt, vai pieteikšanās datubāzes serverī bija autorizēta vai tā bija uzlaušanas mēģinājums.

Ar TLS 1.3 standarta un Perfect Forward Secrecy (PFS) mehānisma parādīšanos šifrēšanas pasaule ir iegājusi pavisam jaunā ērā. Katrs tīkla savienojums tagad izmanto unikālu, pagaidu atslēgu, kas pēc savienojuma beigām tiek nekavējoties dzēsta.

Tas ir nozīmīgs solis uz priekšu privātuma aizsardzībā, taču nopietns izaicinājums SecOps komandām, kurām jāpārskata tīkla trafiks reāllaikā, lai efektīvi atklātu anomālijas un drošības incidentus.

Tikai analīze lietojumprogrammu slānī (L7) ļauj redzēt, kas patiesībā notiek tīklā. Tieši tur var redzēt, ja kāds:

• mēģina daudzkārt pieslēgties datubāzes serverim,
• izpilda neparastus SQL pieprasījumus,
• pārsūta failus nakts stundās,
• dzēš logus, lai noslēptu pēdas.

Tikai pilnu transakciju analīze, ne tikai metadatu, nodrošina pārliecību, ka incidenti tiks savlaicīgi atklāti. Pateicoties arhitektūrai out-of-band, risinājums ExtraHop RevealX analizē kopētu tīkla trafiku, atšifrējot to lokāli, bez iejaukšanās datu pārraidē.

Tas nozīmē:

• nav ietekmes uz tīkla aizkavi,
• nav riska šifrēšanas novājināšanai,
• nav sensitīvu datu ekspozīcijas.

ExtraHop spēj analizēt līdz 100 Gb/s trafika reāllaikā, gan lokālajos, gan mākoņa vidēs. Iebūvētie mašīnmācīšanās un uzvedības analīzes mehānismi ļauj atklāt smalkas anomālijas šifrētajā trafika plūsmā, kas varētu norādīt uz izlūkošanu, privilēģiju paaugstināšanu vai datu zādzību.

Redzamība šifrētajā trafika plūsmā ir nepieciešamība mūsdienu SecOps vidē. Bez tās organizācija nevar atšķirt incidentu no parastas lietotāja aktivitātes, nedz arī adekvāti agrīnā stadijā reaģēt uz reālām briesmām. ExtraHop RevealX™ dod SecOps komandām to, kas tām visvairāk vajadzīgs: pilnīgu redzamību, dziļu kontekstu un spēju reaģēt, pirms uzbrucējs var paslēpties.

Kā pilnvarots ExtraHop risinājumu izplatītājs, mēs atbalstām uzņēmumus, lai atgūtu pilnu redzamību šifrētajā trafika plūsmā un veidotu nākamās paaudzes drošības arhitektūru. Sazinies ar mums, lai uzzinātu, kā ExtraHop RevealX™ var palīdzēt jūsu organizācijai redzēt to, ko citi neredz, un apturēt draudus, pirms tie var nodarīt kaitējumu ➡️ Kontakts