Så tar du hand om svarta hål i datasäkerheten

SSL och TLS-krypterad datatrafik passerar obehindrat genom din befintliga nätverkssäkerhetsutrustning. Tekniken var tänkt att skydda data mellan klient och server. Det gör tekniken också till viss del, men samtidigt förhindras hindras inspektion av den. Det gör att du nu utsätts för samma risk som att klienten kopplades direkt på Internet utan brandvägg, DLP, webfilter, web antivirus eller nätverks sandboxning.  Detta innebär en ökad säkerhetsrisk.

Roger Gotthardsson, 
Systems Engineering Director, 
Blue Coat Systems ger här goda råd om hur du kan hantera de svarta hålen i säkerheten:

"Vi ser att andelen krypterad trafik ökar markant, och så gör den skadliga krypterade trafiken. Gartner spår faktiskt att hälften av den attacktrafik som används för att angripa företag kommer att vara krypterad år 2017, just i avsikt att komma runt säkerhetsprodukter i ditt nätverk.

Eftersom angriparna använder sig av krypterad trafik för ta sig igenom säkerhetsluckor, kan det vara på sin plats att ta upp de fem vanligaste felen vid inspektion av nätverkstrafik.

Bristande uppmärksamhet. Gartner har upptäckt problem med att datatrafiken inte inspekteras på djupet, på applikationsnivå. De flesta företag har till exempel inga regler för hantering av krypterad trafik. Färre än 50 % av företagen som har en särskild gateway för webben (SWG) som dekrypterar den utgående datatrafiken. Färre än 20 % av företagen med intrångsskydd (IPS) eller unified threat management (UTM) dekrypterar både inkommande och utgående SSL-trafik.

Felaktiga prioriteringar. Företag spenderar pengar på olika sorters lösningar utan särskild eftertanke, som IDS/IPS, DLP, nästa generations brandväggar (NGFW), malware-analys, med mera. Dessa lösningar hanterar olika hot, men brukar bara ha SSL-inspektion som tillägg. I den mån den över huvud taget finns brukar den bara ha begränsad möjlighet att undersöka webb- och HTTPS-trafik. Dessutom måste man ibland ha flera utrustningar för att kunna kontrollera den processorkrävande SSL-trafiken. Detta kostar mycket pengar, är ineffektivt krävande för driftavdelningen.

Svåra projekt. Ett steg fram och två steg tillbaka är vanligt i dekrypteringsprojekt, när säkerhetsfolk ska ta sig an krypterad trafik. Lagar och regler kring persondata förhindrar ofta företagens juridiska- och personalavdelningar och grupper som försöker efterleva regelverk när de skall ta beslut. Dessutom finns risken för konflikt och missnöje hos personalen (som ”varför undersöker IT-avdelningen mina e-brev”) vilket ofta får dekrypteringsprojekten att spåra ur.

För svagt försvar. Malware nyttjar SSL för att göra skada. Så använder till exempel botnätet Zeus SSL/TLS-kommunikation för att hämta uppgraderingar efter att det infekterat systemet via e-brev, menar Gartner. Även hos oss på Blue Coat Research Labs har vi sett hur trojanen Dyre använder sig av styrmetoder (C2C) som Upatre för dold kommunikation med sina styrservrar.

Blå dunster från omgivningen. Molnapplikationer och molntjänster har snabbt blivit en del av vardagen. Detta har på ett dramatiskt sätt förändrat IT-miljön och gjort den komplexare och samtidigt ökat användningen av krypterad SSL/TLS-trafik. Detta ökar attackytan som en angripare kan använda sig av. Moderna applikationer som sociala media, datalagring, sökmotorer och annan molnbaserad programvara nyttjar allt oftare SSL/TLS för sin kommunikation. Vi rekommenderar starkt att man övervakar och säkrar sådana applikationer mot elak kod och liknande aktiviteter. Det minsta man kan göra, som svar på den ökande användningen av denna typ av applikationer är att fundera på när det är strategiskt lämpligt att kryptera och dekryptera."

Här följer fyra rekommendationer för hur du eliminerar svarta hål i nätverket:

1. Inventera och planera för framtida tillväxt. Undersök blandningen och mängden av krypterad trafik i företaget.
2. Undersök risken med trafik som inte kan inspekteras. Dela med dig av resultatet till dina kolleger på företagets juridiska- och personalavdelning och till grupper som undersöker efterlevnad av regelverk. Undersök och förbättra regelverket vad gäller säkerhet, integritet och regelefterlevnad och skapa därefter en handlingsplan för att eliminera alla sårbarheter.
3. Förbättra nätverkets infrastruktur och inrätta en allomfattande hantering av krypterad trafik. Ge alla befintliga säkerhetslösningar, som NGFW, IDS/IPS, antivirus, DLP, malware- (sandbox) och säkerhetsanalys en möjlighet att upptäcka alla hot, även i krypterad trafik, och hantera hoten därefter.
4. Undersök, förbättra och genomför. Det är viktigt att hela tiden undersöka, förbättra och driva igenom regler för hur krypterade applikationer och datatrafik in i och ut ur nätverket får användas.

Om Blue Coat Systems

Blue Coat är marknadsledare inom företagssäkerhet och skyddar 15 000 organisationer varje dag, bland annat 88 av de 100 största globala företagen. Blue Coat Security Platform förenar nätverk, säkerhet och moln och ger maximalt skydd mot avancerade hot, samtidigt som det minimerar påverkan på nätverksprestanda och möjliggör molnbaserade applikationer och tjänster. Blue Coat förvärvades av Bain Capital i mars 2015. För mer information besök: www.bluecoat.com.

Blue Coat is a leader in advanced enterprise security, protecting 15,000 organizations every day, including 88 of the 100 largest global companies. Through the Blue Coat Security Platform, Blue Coat unites network, security and cloud, providing customers with maximum protection against advanced threats, while minimizing impact on network performance and enabling cloud applications and services. Blue Coat was acquired by Bain Capital in March 2015. For additional information, please visit www.bluecoat.com.

Taggar: