A cura di Paolo Arcagni, System Engineer Manager di F5 Networks
Non c’è dubbio, la crittografia è un’arma efficace contro la criminalità informatica. Garantire il flusso dei dati rilevanti tra le applicazioni è essenziale per la salvaguardia dell’identità e per supportare la comunicazione tra un browser web e un server mantenendola privata. Le previsioni stimano una crescita significativa per il traffico criptato SSL/TLS, che nei prossimi anni arriverà a rappresentare il 70 per cento di tutto il traffico Internet. Tuttavia, i progressi tecnologici avvengono anche sul fronte del cybercrime e dell’evoluzione delle tecniche per bypassare i meccanismi di protezione più utilizzati.
Oggi la crittografia può celare la corruzione del codice. Il volume crescente del traffico crittografato, infatti, mette a dura prova le reti aziendali, perché la maggior parte delle infrastrutture di sicurezza di cui sono dotate è stata progettata in una fase in cui il traffico criptato era significativamente inferiore; nel 2015 ammontava infatti al 29% del traffico complessivo.
Molte soluzioni, quindi, falliscono rapidamente quando si cerca di configurarle per ispezionare la quantità di traffico crittografato di oggi. I criminali informatici ne sono a conoscenza e sanno anche che le soluzioni di sicurezza tradizionali sono vulnerabili a causa del crescente volume della larghezza di banda acquisita e dei servizi basati sul cloud, che consentono loro di infiltrarsi furtivamente nelle reti insieme al traffico criptato senza essere scoperti.
Per questo motivo, i dipartimenti di sicurezza ogni giorno affrontano attacchi sempre più numerosi che mirano a impadronirsi dei certificati digitali e delle chiavi crittografiche per acquisire i dati di maggiore valore, sia aziendali che dei clienti.
Il nemico invisibile
Le aziende che non adottano strumenti di sicurezza avanzati per ispezionare il traffico SSL/TLS sono esposte agli attacchi a causa della mancanza di visibilità sul malware e sul controllo del traffico.
Utilizzando la crittografia SSL o TLS, gli hacker esperti possono cifrare le comunicazioni di comando e controllo e utilizzare codici maligni per eludere i sistemi di prevenzione delle intrusioni (IPS) e quelli di ispezione anti-malware.
A quel punto, il nemico invisibile può devastare i sistemi di rete, danneggiare le prestazioni e sabotare i servizi. Gli hacker utilizzano tecniche che installano web shell sui server che utilizzano la crittografia SSL/TLS, il che si traduce in richieste in entrata o uscita da backdoor che vengono crittografate con la chiave privata e legittimamente installate del server stesso. Le architetture di rete che non sono state configurate per consentire l’ispezione del traffico SSL/TLS sono vulnerabili e spesso gli attacchi passano inosservati.
A volte le soluzioni di sicurezza che controllano il traffico di rete sono in grado di decifrare il traffico criptato, ma le aziende scelgono di non abilitare questa funzionalità a partire dal pregiudizio che possano ostacolare le prestazioni operative. L’ispezione del traffico SSL/TLS viene quindi abilitata in meno della metà delle appliance di sicurezza di rete, il che rende le soluzioni cieche rispetto ai malware che transitano nei sistemi sotto forma di traffico crittografato.
I criminali informatici sfruttano questa pratica per rubare dati preziosi; utilizzando il traffico criptato per mascherare le loro attività, sfruttano i malware in modo da identificare ed estrarre le credenziali più redditizie e spesso, indisturbati, compiono varie ricognizioni all’interno dei sistemi aziendali in lunghi periodi di tempo. Purtroppo, l’adozione di Office 365 ha portato ad un crescente utilizzo di questa tecnica, dato che molte organizzazioni non si sono preparate rispetto all’aumento dei requisiti di larghezza di banda e all’ulteriore traffico crittografato SSL/TLS associato al servizio.
Maggiore visibilità
IDC ritiene che la spesa per le appliance di decryption standalone, gli application delivery controller e le altre soluzioni per decifrare e ispezionare il traffico di rete vedrà una crescita rapida nei prossimi cinque anni. Il segmento di mercato è destinato a crescere a doppia cifra raggiungendo un valore circa di circa 800 milioni di dollari entro il 2020.
Il primo passaggio per ottenere maggiore visibilità è implementare una soluzione in grado di scalare. Una volta che l’azienda è in grado di stimare quale sia la sua visibilità sul traffico di rete e l’impegno verso la decriptazione SSL/TLS, dovrebbe prendere in considerazione l’adozione di prodotti standalone SSL/TLS di protezione delle applicazioni, sandbox per l’analisi dei file, sensori di rete e soluzioni per la sicurezza degli endpoint moderne in modo da identificare gli attacchi mirati. Grazie ad analisi complete, sarà possibile sconfiggere i vettori di attacco che si nascondono all’interno del traffico SSL/TLS.
La soluzione BIG-IP di F5 ne è un esempio perché consente di decifrare, ispezionare e criptare nuovamente tutto il traffico SSL/TLS da e verso qualsiasi data center e cloud. F5 SSL/TLS Orchestrator fornisce la decifratura ad alte prestazioni e la crittografia SSL/TLS del traffico in uscita consentendo, tramite l’ispezione del traffico, di rivelare e bloccare le minacce nascoste. Il dispositivo supporta anche la gestione basata su policy e l’indirizzamento del flusso del traffico verso soluzioni di sicurezza di terze parti in modo che le organizzazioni possano applicare l’intelligenza basata sul contesto alla gestione dei flussi di traffico criptato.
Strappare la maschera ai criminali informatici
Sia che si tratti di voler svelare in rete le debolezze di un’azienda sia di motivazioni politiche, il mondo del cybercrime continuerà a mettere a dura prova le aziende e il malware sarà sempre più complesso e criptato. Le aziende saranno in grado di rispondere a queste minacce e proteggere gli interessi dei loro clienti solo adottando una strategia attenta nella gestione del cloud e nella comprensione dei pericoli del traffico crittografato. Le soluzioni di sicurezza di nuova generazione e un’architettura cloud intelligentemente progettata le aiuteranno a salvaguardare il proprio business.
In quest’ottica, una strategia specifica per SSL/TLS mitiga il rischio di violazioni dannose e una visibilità maggiore delle vulnerabilità aiuta a valutare in modo intelligente le minacce e proteggere l’ambiente fisico e virtuale. È tempo di strappare la maschera ai criminali informatici e abilitare le applicazioni perché possano essere più veloci, più intelligenti e, in ultima analisi, più sicure.
