Šifrovaný provoz. Dobrý sluha, ale zlý pán. Jan Šveňha Veracomp s.r.o. Copyright 2016 Blue Coat Systems Inc. All Rights Reserved.

Transkript

1 Šifrovaný provoz Dobrý sluha, ale zlý pán Jan Šveňha Veracomp s.r.o. 1

2 SSL/TLS provoz je každodenním standardem, který ovšem přináší riziko 35% 50% 85% Malwaru bude v roce 2017 využívat SSL/TLS* SSL provoz tvoří přibližně 70% a každoročně roste zhruba o dalších 20% >80% v některých odvětvích (např. zdravotnictví) Advanced Persistent Threats (APTs) stále častěji využivají SSL provoz Dyre, Zeus, Gameover, VMZeus a Upatre Command & Control (C&C) *Zdroj: Gartner 2

3 SSL dostupné pro kohokoliv Podporováno ve Firefox 50! 3

4 Důsledky dešifrování dat OCHRANA SOUKROMÍ RIZIKO APT K ČEMU NÁS TO VEDE? 1) Kontrola nad tím, jaké typy informací jsou dešifrované 2) Jistota správného zacházení a udržení integrity dat 4

5 Existující bezpečnostní infrastruktura v úkolu dekrypce selhává NETWORK FORENSICS DLP ANTI-MALWARE Pro většinu řešení je SSL provoz nečitelný DLP, IDS, Sandbox & Network Forensics Rozšifrovávání v rámci jednotlivých zařízení je neefektivní NEXT GEN FIREWALL INTRUSION PREVENTION NGFW a IPS řešení čelí významné degradaci výkonu při nasazení SSL dekrypce Rychlý vývoj a velké množství kryptografických standardů Problematika managementu certifikátů 5

6 Jak efektivně na správu SSL/TLS Encrypted Traffic Management Eliminovat slepá místa v datovém provozu Zajistit nejvýšší úroveň šifrování dat Zvýšit efektivitu a ROI existujících řešení Zachovat požadavky na ochranu soukromí 6

7 Eliminovat slepá místa v datovém provozu Automaticky detekovat veškerý SSL/TLS provoz, nehledě na použitý port či aplikaci Bez požadavku na skriptování Efektivní a rychlé nasazení Odhalit skryté hrozby* Vysoký výkon X Gbps SSL propustnost Stovky tisíc spojení za sekundu (CPS) Softwarová a hardwarová akcelerace Podpora multi-segmentového nasazení * TCP Porty použité malwarem Dyre Trojan pro Skrytý přístup k C&C centru - Blue Coat Labs 7

8 Zajistit nejvýšší úroveň šifrování dat Podpora nejnovějších kryptografických standardů Kontinuální update podporovaných standardů např.: AES-GCM, ChaCha, Camellia Zachování stávajících bezpečnostních standardů Nezasahovat do stávající bezpečnostní infrastruktury Vyvarovat se downgradování kryptografie Nesnižovat úroveň šifrování kvůli slabé podpoře existujících řešení Zajistit ochranu dat Zamezit úniku nebo zpřístupnění dešifrovaných dat 8

9 Zvýšit efektivitu a ROI existujících řešení Efektivita až na prvním místě, Decrypt Once Feed Many design Zamezit navýšení nákladů existujících řešení Zajištění integrity data Sjednocení systému dešifrování dat napříč celou infrastrukturou Anti-Malware Security Analytics IDS / IPS NGFW DLP Key & Certificate Key Management NETWORK MONITORING/ BROKERS 9

10 SSL Visibility Appliance CLIENT INTERNET SERVER 1. Rozpoznání veškerého příchozího i odchozího SSL / TLS provozu 2. Využití služby Global Intelligence Network 3. Zajištění category-based konfigurace politik pro zajištění dekrypce požadovaného provozu 4. Zvýšení efektivity existujících řešení za účelem výšší pravděpodobnost odhalení potencionálních hrozeb Snížení nákladů na ETM Zajištění integrity dat GLOBAL INTELLIGENCE NETWORK ❷ SSL VISIBILITY APPLIANCE ❸ ❶ GATEWAY / FIREWALL ❹ SECURITY ANALYTICS SANDBOX IPS CORPORATE SERVERS CLIENT Encrypted traffic Decrypted traffic 10

11 Next Gen Firewall (NGFW) - nevýhody Absence automatikého rozpoznání SSL/TLS provozu pro libovolné porty a aplikace Vyžaduje explicitní konfiguraci Nedokáže identifikovat malware využívající nestandardní porty Nedokáže dešifrovaná data poskytovat dalším bezpečnostním zařízením Dokáže data pouze přesměrovat na jedno pasivní zařízení Nedisponuje podporou nejnovějších kryptografických standardů ChaCha & Camellia Poskytuje nízký výkon za vysokou cenu Průměrná degradace výkonu na 7 sledovaných NGFW zařízeních byla 81% při použití 2048-bitového šifrování* 11

12 Application Delivery Controller (ADC) / Load Balancer (LB) - Nevýhody Absence automatikého rozpoznání SSL/TLS provozu pro libovolné porty a aplikace Vyžaduje specifické skriptování (např.: irule, iapp, aflex) Nedokáže identifikovat malware využívající nestandardní porty Nedokáže zajistit integritu dekryptovaných dat Bez možnosti verifikace Bez možnosti zajištění ochrany soukromí ADC NGFW ADC ADC NGFW ADC Exposed, Inauditable Decrypted Data Switch Switch 12

13 Významné světové společnosti důvěřují řešení od společnosti bluecoat 86% of FORTUNE Global 500 Companies Over 30% of FORTUNE Global 10K Companies 16 Largest Service Providers in the World Worldwide Government Organizations 13

14