A cura di Paolo Arcagni, System Engineer Manager di F5 Networks
Gestire il traffico crittografato può rivelarsi complesso, costoso e travolgente. Un problema che rischia di degenerare rapidamente se non si ha una visibilità reale sulle minacce informatiche; praticamente quello che accade oggi in molte aziende che non hanno ancora adottato una strategia SSL/TLS efficace.
Purtroppo, le soluzioni di sicurezza sono spesso inadeguate e mettono i dipartimenti IT davanti a una scelta obbligata e molto pericolosa: lasciare che il traffico non venga ispezionato oppure subire delle perdite in termini di prestazioni delle applicazioni.
Nella nuova era del consenso e della conformità digitale, però, esporre i dati a vulnerabilità ad alto rischio a causa di una “miopia operativa” non è più accettabile e, se l’obiettivo è quello di non danneggiare la reputazione del proprio brand e perdere la fiducia dei clienti, vi sono delle azioni che è meglio avviare quanto prima:
Bypassare la sicurezza tradizionale
La crittografia dei dati in transito con SSL/TLS è ormai una pratica consolidata. Importanti iniziative di sicurezza, come gli avvisi incorporati nel browser Web e l’avvento del GDPR, hanno migliorato sensibilmente la consapevolezza rispetto alla privacy e contribuito a mitigare la portata dei data breach.
È una buona notizia, ma i criminali informatici troveranno sempre un modo per nascondere meglio le proprie minacce all'interno di payload crittografati o utilizzare canali crittografati per propagare malware e dati esfiltrati. Da questo punto di vista, le soluzioni di ispezione tradizionali sono sempre più facili da superare.
Apparentemente, ottenere una visibilità completa sul traffico crittografato non è facile; la maggior parte delle organizzazioni non dispone di un controllo centralizzato che consenta di implementare delle policy di decodifica rispetto a tutti i diversi dispositivi di ispezione che si trovano comunemente nella catena della sicurezza. Di conseguenza, per supportare le attività di ispezione, i team di sicurezza ricorrono a dispositivi con interconnessioni daisy-chain o noiose configurazioni manuali, aumentando la latenza, la complessità e i rischi. E, ancora troppo spesso, il provisioning dei servizi di rete e di sicurezza, come firewall e gateway di sicurezza, si trasforma in un processo lungo che implica errori se le ispezioni SSL sono fanno parte del mix adottato.
Intanto, le intercettazioni e gli attacchi man-in-the- middle continuano ad aumentare a causa dell'eccedenza degli standard di crittografia dei livelli di trasporto, spesso ancora in uso anche se ufficialmente indicati come “superati”.
In questo ambito c’è ancora molto da fare, come conferma una recente analisi promossa dagli F5 Labs, che mostra come il 63% degli intervistati utilizzi la crittografia SSL/TLS per le proprie applicazioni Web, ma solo il 46% la scelga per la maggior parte delle proprie applicazioni.
Inoltre, il 47% delle organizzazioni afferma di utilizzare certificati self-signed, il che riduce ulteriormente l’affidabilità delle applicazioni. Un approccio inaccettabile, perché i team di sicurezza dovrebbero poter garantire sempre che tutte le applicazioni eseguano livelli adeguati di crittografia e adottino adeguati certificati firmati di terze parti.
Vi sono ancora troppe pratiche scorrette diffuse e la confusione sul tema della crittografia è ancora elevata, ma è giunto il momento che le aziende comprendano come la complessità SSL/TLS stia crescendo e quali siano le ripercussioni associate alle violazioni dei dati, conformità e privacy.
Perché è necessaria una crittografia migliore
Fortunatamente, con la giusta soluzione per orchestrare la crittografia oggi è possibile ridurre notevolmente il rischio di attacchi crittografati grazie a un servizio di concatenamento dinamico, che consente l'inserimento automatico di service appliances di sicurezza fisica o virtuale.
È importante notare come gli strumenti migliori bilancino sempre le prestazioni delle app con la mitigazione del rischio, offrendo una visibilità a tutto campo sul traffico crittografato. In questo modo i team di sicurezza potranno gestire in modo efficace e rispondere rapidamente a minacce precedentemente invisibili. Inoltre, il miglioramento delle funzionalità di rilevamento delle minacce e di risoluzione degli attacchi può migliorare l'efficienza operativa complessiva nell'intera infrastruttura di sicurezza delle applicazioni.
Come regola generale, una strategia SSL/TLS corretta dovrebbe essere in grado di:
- Proteggere dalle minacce criptate scalando SSL su più dispositivi di sicurezza ciechi al traffico crittografato
- Prevenire la perdita di dati e garantire la conformità grazie alla visibilità su tutti i punti di connessione dati (traffico in entrata e in uscita)
- Fornire un unico punto di controllo per tutti gli strumenti di sicurezza in modo da migliorare l’efficienza
- Prevenire gli attacchi, riducendo i rischi legati a punti ciechi selettivi
- Ridurre la latenza con decriptazione e crittografia ad alte prestazioni del traffico SSL/TLS in entrata e in uscita
- Sfruttare il concatenamento dei servizi basato su policy per aumentare l'efficienza all'interno dello stack di sicurezza
- Bilanciare il carico tra i dispositivi per ridurre i colli di bottiglia
- Ridurre gli oneri amministrativi con la gestione centralizzata delle chiavi, risparmiando tempo e denaro grazie alla possibilità di rimuovere SSL invece di dover dismettere il dispositivo stesso.
Per un futuro più protetto
In conclusione, ritengo che l'obiettivo finale sia quello di semplificare il processo di gestione SSL/TLS, mantenendo i dati protetti e ottenendo una visibilità completa del traffico crittografato, senza compromettere la velocità o la disponibilità delle applicazioni.
L’unico modo per riuscirci è rendere le aziende in grado di comprendere correttamente il traffico in entrata e in uscita, visualizzando e analizzando dal vivo la natura dei vettori di attacco odierni, così da proteggere le proprie applicazioni, che oggi rappresentano le risorse più preziose dell’azienda, dove risiedono i dati più importanti.
Quando si ha a che fare con la corruzione della crittografia da parte dei criminali informatici non ci si può nascondere; è giunto il momento di organizzarsi per poter affrontare le minacce di domani.