14 kwietnia 2023

NDR nic nie wykryje, bo mam zaszyfrowane treści... czy na pewno?

W czasach coraz bardziej wyrafinowanych cyberataków niezbędne wydaje się szyfrowanie danych, niezależnie od tego, czy są one wrażliwe, czy nie. Szyfrowanie to proces polegający na przekształcaniu tekstu jawnego i otwartego w kryptogram, czyli tekst zaszyfrowany. Aby operacja była w ogóle możliwa, potrzebny jest klucz algorytmu szyfrującego, który umożliwia utajnienie informacji i przesłanie jej w formie nieczytelnej dla osób trzecich. Istnieje błędne przekonanie, że szyfrowanie ruchu ogranicza możliwości jego analizy. Nowa technologia Beacon Hunter firmy Gatewatcher kwestionuje to założenie.

Od 2018 roku można zaobserwować rosnący trend szyfrowania przepływów sieciowych w systemach Windows, Android, Chrome, Linux czy Mac. Zarówno osoby prywatne, jak i firmy zabezpieczają dane. Ci pierwsi chcą mieć zapewnioną poufność działań takich jak utrzymanie prywatnego przeglądania stron internetowych lub zabezpieczenie danych podczas dokonywania zakupów online. Z kolei przedsiębiorstwa muszą zachować kontrolę nad wszystkimi działaniami w swojej sieci, które wymagają zupełnie innych protokołów niż te w sferze prywatnej.

Czy to oznacza koniec analizy sieci?

Rzeczywiście, wyglądało na to, że nadchodzi kres analizy sieci z najnowszą wersją szyfrowania TLS 1.3, przynamniej takie były przewidywania ekspertów Rzeczywistość okazała się jednak zupełnie inna. Pomimo dodania TLS 1.3 do wielu istniejących protokołów szyfrowania, takich jak HTTPS, DNS, VoIP itp. i rozszerzenia puli dostępnych narzędzi szyfrujących, wciąż istnieje możliwość skutecznego analizowania ruchu sieciowego w celach bezpieczeństwa.

Czy zatem, wraz ze wzmocnieniem procesu szyfrowania, istnieje potrzeba odszyfrowywania ruchu sieciowego w celu wykrycia ataków?

Odszyfrowywanie przybiera różne formy w zależności od sektora, w którym jest stosowane (prywatny/biznesowy). Ponadto podejście do odszyfrowywania i analizy będzie zależeć od wielu czynników, takich jak, chociażby rodzaj używanych protokołów. Z tego względu odkodowanie ruchu sieciowego może być kłopotliwe, a nie jest konieczne, nawet jeśli byłoby to lepsze z punktu widzenia skuteczności wykrywania.

Czy możemy wszystko odszyfrować?

Na rynku istnieje wiele technologii deszyfrujących, takich jak Network Packet Broker (NPB); TAP SSL; Agent / EDR; WAF; Load Balancer; FirewallProxy…

Jednak każdy z nich ma swoją specyfikę i zmienną wydajność w zależności od środowiska, w którym występują. Na przykład serwer proxy przechwyci żądania, ale w niektórych przypadkach ich nie odszyfruje, ponieważ będzie obecny protokół TLS 1.3. Wszystko zależy od tego, gdzie jest umieszczony.

Niezależnie od stosowanych technologii, nie ma gwarancji, że 100% treści zostanie odszyfrowane, zwłaszcza że niektórzy dostawcy stosują techniki zapobiegające przechwytywaniu certyfikatów. Nawet w idealnym scenariuszu, w którym wszystko można odszyfrować, jeśli dojdzie do ataku na dużą skalę, miałoby to niewielki wpływ na proces zarządzania incydentem.

Co więcej, samo szyfrowanie danych niekoniecznie blokuje możliwości stosowania zabezpieczeń, ponieważ istnieją obecnie rozwiązania, które możemy wykorzystać do analizy sieci i wykrywania ataków bez całkowitego odszyfrowania treści.

Przykładem takiego narzędzia jest nowy silnik detekcji Gatewatchera, Beacon Hunter, który analizuje metadane w celu wykrycia określonych rozkładów statystycznych. Identyfikuje połączenia z serwerów C&C (Command & Control), nawet przy użyciu szyfrowania, zaciemniania, imitującego legalny ruch. Wykrywa podejrzane okresowe nowe połączenia i losowość, które mogą być spreparowane przez hakera. Konkretnie, zamiast łączyć się co 60 sekund, atakujący będzie łączył się co 10-20 sekund i stworzy inny rytm komunikacji, aby być mniej wykrywalnym w sieci. Zintegrowany silnik Beacon Hunter z naszą platformą NDR demaskuje zarówno okresowe jak i nieokresowe połączenia sieci oraz ma możliwość wykonywania poleceń w celu przewidywania przyszłych zdarzeń, również bez konieczności uzyskania dostępu do danych. To daje nam pewność, że Beacon Hunter i AIONIQ są najskuteczniejszym rozwiązaniem do wykrywania cyberzagrożeń w sieci w dowolnym kontekście, od dużych korporacji po małe i średnie firmy.