A criptografia é excelente para a privacidade, mas também está criando um grande ponto cego, onde os firewalls atuais não têm a capacidade de executar a tarefa de inspecionar grandes volumes de tráfego criptografado.
Por Chris McCormack
O TLS (Transport Layer Security) é o padrão de criptografia usado na Internet atualmente – os termos SSL e TLS são freqüentemente usados de forma intercambiável, mas o Secure Sockets Layer (SSL) é um padrão antigo que foi substituído pelo TLS. Portanto, embora o termo mais comum ainda seja SSL, saiba que a maioria das pessoas estão se referindo a TLS quando mencionam SSL.
Criptografia fornece privacidade, não segurança
O TLS foi projetado para fornecer confidencialidade e autenticidade, criptografando a comunicação entre duas partes e verificando se o servidor é quem ele afirma ser, com base em seu certificado e quem o emitiu.
O símbolo de bloqueio no seu navegador indica que a conexão está criptografada.
A criptografia TLS NÃO fornece nenhuma segurança ou garantia do conteúdo. Portanto, quando alguém diz que sua conexão com o servidor é segura, realmente significa que ele está protegido contra espionagem e que a identidade do servidor está confirmada.
Você pode ter uma conexão criptografada e ‘segura’ perfeitamente válida a um site que hospeda payloads maliciosos e é por isso que a inspeção desse tráfego criptografado é tão importante.
A inspeção TLS não é fácil
O problema é que o TLS é um protocolo muito complexo, com troca de certificados diferentes, além de negociação por conjuntos de criptografia a serem usados para determinar como a conexão deve ser criptografada.
Existem também, é claro, várias versões do TLS, e muitos aplicativos e serviços da Web fazem as coisas de maneira diferente. Apesar de serem padrões rigorosos, isso torna muito possível que as coisas sejam incompatíveis.
Isso representa um enorme desafio para qualquer solução de segurança que tente se meter nesse processo com o objetivo de inspecionar e proteger o conteúdo que é trocado.
Além de toda a complexidade técnica, há decisões políticas que precisam ser tomadas. Nem todo o tráfego SSL pode ou deve ser tratado da mesma forma. É um ato de equilíbrio: você precisa equilibrar privacidade, desempenho, segurança e conformidade. Alguns tipos de tráfego, como bancos e finanças não devem ser inspecionado e algum tráfego não pode ser inspecionado.
O volume de tráfego criptografado está se aproximando de 100%
Por muitas boas razões, a maioria das conexões à Internet agora está totalmente criptografada. De fato, na maioria das plataformas, mais de 80% das sessões da web agora são criptografadas de acordo com o Relatório de transparência do Google.
A criptografia tornou seu firewall irrelevante?
Criptografia é ótima para privacidade, sim. Mas também está criando um enorme ponto cego para a maioria das organizações, onde seus firewalls atuais não estão preparados para a inspeção de grandes volumes de tráfego criptografado.
De fato, a criptografia TLS tornou a maioria dos firewalls irrelevantes e inúteis, pois eles não têm mais conhecimento da maioria do tráfego que passa pela rede.
O verdadeiro perigo são as ameaças ocultas no tráfego criptografado
Com o crescimento explosivo da criptografia TLS nos últimos anos, provavelmente não é nenhuma surpresa que os hackers estejam pegando essa tendência e aproveitando-a para ajudar a detectar malware na sua rede e mantê-la lá.
De fato, de acordo com o SophosLabs, cerca de 1/3 dos malwares e aplicativos indesejados estão usando TLS, para entrar furtivamente na sua rede e se comunicar uma vez lá, tudo no interesse de não serem detectados.
Por que a maioria das organizações é impotente para fazer algo
Como descrevi anteriormente, o TLS é complexo e consome muitos recursos.
É extremamente caro investir em P&D necessário para inspecionar adequadamente o tráfego criptografado TLS no firewall, de maneira eficiente e eficaz. Como resultado, a maioria dos produtos de firewall simplesmente não tem a capacidade de inspecionar o volume atual de tráfego criptografado que passa por eles.
A maioria dos administradores de rede foi forçada a aceitar o risco de ameaças e não conformidade devido a sérias limitações de desempenho. A habilitação da inspeção TLS é muito cara em termos de impacto no desempenho.
Além disso, implementações ruins de inspeção que não suportam os padrões mais recentes resultam em segurança baixa, o que abre vulnerabilidades ou simplesmente impedem acesso a muitos sites, resultando em uma terrível experiência do usuário.
Esta situação está criando condições para uma tempestade perfeita.
Tem que haver uma maneira melhor
E aqui está!
Nos últimos anos, investimos muito na solução do problema com a inspeção TLS. O resultado de todo esse esforço é a nova arquitetura XStream no XG Firewall v18.
Ele oferece uma nova solução inicial para eliminar esse vasto ponto cego, sem todos os comprometimentos de desempenho e experiência do usuário que afetaram outras soluções.
XG Firewall V18 oferece:
- Alto desempenho – um motor leve com alta capacidade de conexão
- Segurança Top – suportando TLS 1.3 e todos os modernos conjuntos de cifras
- Inspeção de todo o tráfego – independente de aplicação e porta
- Uma ótima experiência do usuário – com ampla interoperabilidade para evitar a quebra da Internet
- Política poderosa – oferecendo o equilíbrio perfeito entre desempenho, privacidade e proteção
- Visibilidade incomparável – nos seus fluxos de tráfego criptografados e em quaisquer erros
Não há mais necessidade de se ficar as cegas. Devolva ao firewall a relevância e comece a inspecionar o tráfego que flui através dele.
Você pode tentar a nova inspeção SSL do XStream no XG Firewall v18 como parte do programa de acesso antecipado. Comece hoje! Todos os nossos clientes licenciados do XG Firewall receberão esse excelente e novo recurso gratuitamente.
Assista a este vídeo para saber mais sobre como ele funciona: https://vimeo.com/373969240
Traduzido do Original em: https://news.sophos.com/en-us/2019/11/22/is-encryption-rendering-your-firewall-irrelevant/
