Muitas organizações ainda não inspecionam ou analisam o volume de tráfego criptografado em suas redes o que possibilita burlar os sistemas de segurança baseados em conteúdo.
Segundo a 2017 Mandiant M-Trends Report, um ataque leva em média 99 dias para ser detectado e segundo pesquisa da Venafi 23% dos respondentes não tem a mínima ideia de qual o volume de tráfego criptografado que transita em sua rede.
Um dos motivos pode ser a fuga de informações e a forma com que os atacantes burlam os sistemas de proteção através do tráfego criptografado que esconde o seu conteúdo dos sistemas de inspeção tradicionais.
Uma vez dentro dos sistemas e sem a correta proteção dos sistemas e equipamentos que iniciam o processo de criptografia, os atacantes poderiam aproveitar-se destes mesmos sistemas para realizar movimento “laterais” na rede bypassando facilmente os filtros de conteúdo web através de criptografias iniciadas nos endpoints. Muitas empresas não controlam este tipo de ativação de serviço.
Os tuneis mais comuns utilizam conexões SSL e TLS que possibilitam sessões seguras entre o browser e o application server, entretanto os atacantes podem criar um ataque utilizando este tráfego para roubar dados de suas vítimas sem serem notados, ou mesmo utilizarem certificados comprometidos para abrir o tráfego observado.
Boa parte das organizações não limitam o uso de VPNs iniciadas nos equipamentos endpoints, com isto um atacante poderia iniciar uma conexão diretamente do endpoint para o seu site malicioso e roubar informações a partir deste ponto na rede e passar desapercebido nos sistemas de proteção e filtragem de conteúdo.
Uma boa prática para limitar este tipo de risco é controlar as permissões de usuários para instalação e ativação de serviços de VPN nos endpoints e a implementação de analisadores de conteúdos com capacidade de controlar o tráfego criptografado na rede, alertando sempre que uma anormalidade venha a ser observada.
por MindSec 04/09/2017
Deixe sua opinião!