Embora a criptografia mantenha o seu tráfego de rede seguro contra ataques virtuais e criminosos cibernéticos, ela também pode impedir que as suas ferramentas de segurança e monitoramento visualizem o interior dos pacotes que passam pela sua rede. Cientes de que muitas empresas movimentam dados criptografados sem inspeção dentro das suas redes, os criminosos cibernéticos usam a criptografia para ocultar malwares e fazer ataques, efetivamente sequestrando a sua rede. Para manter as defesas fortalecidas e ao mesmo tempo limitar o risco de violações de segurança e de perdas de dados, é necessário descriptografar, examinar e recriptografar todo o tráfego de rede.
O ônus da descriptografia
Dispositivos de descriptografia precisam ser muito poderosos. Os algoritmos de criptografia estão ficando cada vez mais longos e complexos, a fim de resistir aos ataques cibernéticos. Segundo um teste feito pelo NSS Labs anos atrás, a migração de cifras de 1024-bits para 2048-bits levou a uma queda de desempenho média de 81% em oito dos principais firewalls[1]. No entanto, a descriptografia SSL não precisa ser executada em um firewall. Surgiram novas estratégias para descarregar e enviar textos simples para as ferramentas, permitindo que estas funcionem de maneira mais eficiente e processem um volume maior de tráfego. Abaixo estão quatro estratégias para tornar a descriptografia mais fácil, rápida e rentável.
Estratégia 1: Remova o tráfego malicioso antes de fazer a descriptografia
Muitos endereços de IP utilizados em ataques cibernéticos são reutilizados e conhecidos pela comunidade de segurança. Diariamente, organizações dedicadas a isso rastreiam e verificam ameaças cibernéticas conhecidas, mantendo essas informações num banco de dados. Ao comparar pacotes que entram e saem com essa base de dados, é possível identificar tráfego malicioso e bloqueá-lo da sua rede. Como a comparação é feita com cabeçalhos de pacote em formato de texto simples, essa estratégia elimina a necessidade de descriptografar os pacotes. Eliminar o tráfego associado a hackers conhecidos reduz o número de pacotes a serem descriptografados. A eliminação do tráfego que normalmente criaria um alerta de segurança ajuda a equipe de segurança a melhorar a produtividade.
A maneira mais rápida de implantar essa estratégia é instalar um aplicativo de hardware personalizado chamado “porta de ligação de informações de ameaça” em frente ao firewall. Este aplicativo é projetado para realizar um bloqueio rápido e em grande volume, incluindo de países não confiáveis, e é atualizado continuamente por um feed de informações de ameaça integrado. Uma vez instalada, a porta de ligação não requer intervenção manual e nem a criação ou manutenção de filtros. O tráfego malicioso pode ser eliminado imediatamente ou enviado a uma área de segurança para análise. Dependendo do setor de mercado ao qual a sua empresa pertence e da frequência com a qual ela é visada, é possível reduzir os alertas de segurança em até 80 por cento.
É possível também configurar filtros customizados no seu firewall para bloquear endereços de IP específicos. Infelizmente, os filtros de firewall devem ser configurados e mantidos manualmente e há um limite para o número de filtros que podem ser criados. A explosão de dispositivos conectados e de endereços de IP comprometidos excede a capacidade dos firewalls. Além disso, a utilização dos ciclos de processamento em um dispositivo avançado como um firewall para fazer comparações simples não é uma maneira rentável de bloquear o tráfego.
Estratégia 2: Procure recursos de descriptografia avançados
Após a remoção dos pacotes criptografados que se originam ou são destinados a fontes maliciosas, é necessário instalar um dispositivo de descriptografia para processar o restante dos dados. Muitas ferramentas de segurança, tais como firewalls de próxima geração (NGFW) ou sistemas de prevenção de invasão (IPS), incluem um recurso de descriptografia SSL. No entanto, um estudo publicado pela NSS Labs alertou sobre o fato de que algumas ferramentas não possuem as cifras mais recentes; deixam escapar comunicações de SSL que ocorrem em portos não padronizados; não conseguem descriptografar o volume prometido; e podem até oferecer acesso rápido a algumas conexões sem executar nenhum tipo de descriptografia[3].
A criptografia depende dos últimos avanços para ficar um passo à frente dos criminosos cibernéticos. As soluções de segurança precisam ser compatíveis com os padrões de criptografia mais recentes, ter acesso a uma ampla variedade de cifras e algoritmos e ter a capacidade de descriptografar tráfego com chaves maiores de 2048-bits e 4096-bits, assim como chaves mais novas Elliptic Curve. Conforme a tecnologia de segurança vai se tornando cada vez mais complexa, as soluções precisam processar a descriptografia de maneira eficiente e rentável, sem eliminar pacotes, introduzir erros ou falhar na conclusão de uma inspeção completa.
Conforme o volume de tráfego SSL cresce, a qualidade das soluções de descriptografia se torna cada vez mais importante para a obtenção de visibilidade total da rede. Além disso, a defesa em profundidade é uma boa prática muito difundida, que frequentemente envolve múltiplos dispositivos de segurança da melhor qualidade (tais como um firewall e IPS separados). É extremamente ineficiente que cada um desses dispositivos descriptografe e recriptografe o tráfego separadamente, pois isso aumenta a latência e reduz a eficácia das diretrizes e da visibilidade total.
Estratégia 3: Escolha ferramentas de operacionalidade simples
Outro recurso importante é a facilidade com a qual os administradores podem criar e gerenciar diretrizes relacionadas à descriptografia. Isto é importante para empresas que precisam seguir as normas Health Insurance Portability and Accountability Act (HIPAA), Federal Information Security Management Act (FISMA), Payment Card Industry Data Security Standard (PCI DSS), Sarbanes- Oxley Act (SOX) e outras similares. As melhores soluções oferecem uma interface de arrastar e soltar para a criação de filtros e o recurso de enviar ou mascarar informações de forma seletiva com base no reconhecimento de padrões (tais como números de previdência social). Essas soluções também facilitam a manutenção de um registro completo de cada uma das cifras de SSL utilizadas e de todas as exceções relacionadas a sessões interrompidas, falhas de SSL, certificados inválidos e sessões não descriptografadas devido a questões de diretriz. Esses registros detalhados são valiosos para auditorias, análises forenses e resolução de problemas na rede e planejamento de recursos.
Estratégia 4: Plano para atingir uma escalabilidade rentável
Conforme o volume de tráfego criptografado aumenta, a descriptografia terá um impacto cada vez maior no desempenho de sua infraestrutura de segurança. Por isso, vale a pena planejar com antecedência. Embora pareça lógico simplesmente “ligar” o recurso de descriptografia SSL no firewall ou na solução de Unified Threat Management (UTM) solution, a descriptografia é uma função de processo intensivo. Conforme o tráfego de SSL aumenta e cada vez mais ciclos são necessários para a descriptografia, isto afetará o desempenho e as ferramentas podem começar a excluir pacotes.
Para aumentar o fluxo de tráfego através de um dispositivo multifuncional, a única opção é aumentar a capacidade total. Esse acréscimo de capacidade gera um custo de capital significativo e alguns recursos possuem um custo extra para garantir que o dispositivo aceite a descriptografia.
Uma opção melhor é usar uma solução de visibilidade de rede ou um network packet broker (NPB) com descriptografia SSL para o descarregamento de ferramentas de segurança. Muitas empresas utilizam o NPB para agregar tráfego na rede, identificar pacotes relevantes e distribuí-los para as ferramentas de segurança em alta velocidade. Os NPBs que utilizam aceleração de hardware podem processar tráfego com taxas de linha sem perda de pacote e carregar o balanço automaticamente. Elas também eliminam a necessidade de múltiplos dispositivos embutidos executando a descriptografia/recriptografia de forma independente. Além de ter um custo de expansão mais baixo do que a maioria dos aplicativos de segurança, o NPB oferece um retorno mais rápido sobre o investimento.
Conclusão
Conforme a Internet tende cada vez mais para o tráfego criptografado, os ataques no tráfego SSL se tornarão mais comuns. Por isso, para proteger os dados e as redes contra os hackers e criminosos cibernéticos, é essencial inspecionar todo o tráfego de rede criptografado. As empresas que não adotarem uma inspeção rigorosa do tráfego criptografado estarão arriscando a segurança de rede e criando um risco inaceitável de violações e perda de dados. Felizmente, estão surgindo novas soluções para melhorar a eficiência e a rentabilidade da descriptografia de SSL.
* Lora O’Haver é gerente sênior de Marketing de Soluções da Ixia
