Como a descriptografia do tráfego de rede pode melhorar a segurança

07/12/2021 mindsecblog Artigos, Notícias 7

Como a descriptografia do tráfego de rede pode melhorar a segurança. Maioria do tráfego é criptografado mas Jeff Costlow, CISO da ExtraHop, explica por que isso pode não ser bom.

A maioria das firmas de analistas do setor conclui que entre 80-90 por cento do tráfego da rede é criptografado hoje.

A criptografia forte é crítica para proteger dados confidenciais de negócios e pessoais. O Google estima que 95 por cento de seu tráfego de internet usa o protocolo HTTPS criptografado, e a maioria das empresas de análise da indústria conclui que entre 80 e 90 por cento do tráfego de rede é criptografado hoje. Este é um passo significativo para a integridade dos dados e privacidade do consumidor.

No entanto, as organizações com um compromisso com a privacidade dos dados não são as únicas que vêem valor em ocultar sua pegada digital no tráfego criptografado. Os cibercriminosos rapidamente transformaram a criptografia em uma arma como meio de ocultar suas atividades maliciosas em um tráfego benigno.

O Gartner compartilhou que 70 por cento das campanhas de malware em 2020 usaram algum tipo de criptografia. E o Zscaler está bloqueando 733 milhões de ataques criptografados por mês este ano, um aumento de 260% em relação a 2019.

De acordo com um Joint Cybersecurity Advisory emitido pelo FBI, CISA, o UK National Cyber Security Center e o Australian Cyber Security Center, protocolos criptografados são usados para mascarar o movimento lateral e outras táticas avançadas em 60 por cento dos ataques usando as 30 vulnerabilidades de rede mais exploradas . Dito de outra forma, as organizações não enxergam 60% das vulnerabilidades mais exploradas da CISA .

Os pesquisadores de segurança também encontraram técnicas sofisticadas de ataque emergentes com line-rate decryption dos protocolos da Microsoft mais comumente usados, como SMBv3, Active Directory Kerberos, Microsoft Remote Procedure Call (MS-RPC), NTLM, LDAP, WINRM, além de TLS 1.3.

Tudo isso catalisou a necessidade de uma nova abordagem quando se trata de detectar ameaças no tráfego criptografado: a saber, a descriptografia. A descriptografia pode detectar atividades pós-comprometimento que a análise de tráfego criptografada (ETA – encrypted traffic analysis) perde, incluindo campanhas de ransomware que exploram a vulnerabilidade PrintNightmare .

Hoje, é quase impossível distinguir o bom do ruim sem a capacidade de descriptografar o tráfego com segurança. A capacidade de permanecer invisível deu aos ciberataques uma vantagem. O tráfego criptografado foi explorado em alguns dos maiores ataques cibernéticos e técnicas de exploração do ano passado, de Sunburst e Kaseya a PrintNightmare e ProxyLogon . As técnicas de ataque, como o living-off-the-land e o Active Directory Golden Ticket, só são bem-sucedidas porque os invasores podem explorar o tráfego criptografado das organizações. O ransomware também é a prioridade das empresas no momento, mas muitas estão prejudicadas pelo fato de não poderem ver o que está acontecendo lateralmente no corredor de tráfego leste-oeste.

As organizações têm sido cautelosas em adotar a descriptografia devido a preocupações com conformidade, privacidade e segurança, bem como impactos no desempenho e altos custos de computação. Mas existem maneiras de descriptografar o tráfego sem comprometer a conformidade, segurança, privacidade ou desempenho. Vamos desmascarar alguns dos mitos e equívocos comuns.

Mito 1: A descriptografia enfraquece a segurança

Verdade: Existem dois tipos principais de descriptografia: Out-of-band e in-line. A descriptografia Out-of-band envia dados desidentificados e tokenizados para a nuvem para aprendizado de máquina. Isso significa que ele nunca envia nenhum dado de texto não criptografado pela rede, portanto, não há problemas de segurança adicionais.

A descriptografia in-line, também conhecida como interceptação SSL ou man-in-the-middle (MitM), é uma abordagem mais antiga que pode resultar em complicações adicionais com o gerenciamento de certificados nas organizações, e os invasores podem realizar ataques de downgrade onde as mensagens são criptografadas novamente usando conjuntos de criptografia.

Mito 2: A descriptografia viola as leis de privacidade e os padrões de conformidade

Verdade: a descriptografia do tráfego da rede corporativa não viola os regulamentos ou leis de privacidade. No entanto, alguns recursos de descriptografia não podem ser configurados em sub-redes confidenciais para evitar a violação de estruturas de conformidade, como GDPR, PCI DSS e HIPAA. As organizações devem evitar proativamente o registro de dados relevantes para estruturas de conformidade e ter controles de acesso do usuário para garantir que apenas usuários autorizados tenham acesso aos dados em nível de pacote.

Mito 3 : o tráfego criptografado não pode ser acessado por invasores

Verdade : protocolos de criptografia obsoletos, como SSL e TLS 1.0 e 1.1, podem deixar o tráfego vulnerável a detecção e descriptografia por invasores sofisticados.

Mito 4 : o tráfego criptografado não traz nenhum benefício para os invasores

Verdade : embora a maioria das empresas use criptografia para garantir a privacidade de seus dados, os cibercriminosos também se tornaram adeptos do uso da mesma tecnologia para encobrir seus rastros.

Os benefícios de descriptografar o tráfego de rede são muitos. Em primeiro lugar, a descriptografia permite a detecção de ataques no início de uma campanha de ataque porque as cargas maliciosas não estão mais ocultas. Em segundo lugar, a descriptografia melhora o tempo médio de resposta porque fornece um contexto valioso para garantir a detecção, o escopo, a investigação e a remediação rápidas de ameaças. E, finalmente, a descriptografia permite um registro forense completo para investigações pós-comprometimento.

No entanto, ainda existem muitos outros pontos que devem ser avaliados antes de se adotar o tráfego descriptografado, vale a criação de um laboratório e uma rede segregada onde se possa avaliar os prós e contras desta implementação.

Colabore com nossos leitores, deixe sua opinião e comentário no campo apropriado abaixo!