Šifravimas prieš matomumą: kaip atgauti kontrolę tinklo sraute

Šiuolaikinės organizacijos investuoja didžiules lėšas duomenų apsaugai ir vartotojų privatumui užtikrinti. Dėl to vis daugiau komunikacijos – tiek viešajame internete, tiek korporacijų vidiniuose tinkluose – yra šifruojama. Pagal Zscaler ThreatLabz ataskaitą, 2024 metais daugiau nei 87% visų užblokuotų atakų naudojo šifravimą savo veiklai paslėpti. Saugumo komandose tai reiškia vieną dalyką: matomumo praradimą toje srityje, kurioje jo reikia labiausiai.

Šiandieninės „SecOps“ komandos susiduria su vienu pagrindinių iššūkių: didėjantis duomenų apsaugos lygis dažnai reiškia mažėjantį matomumą to, kas vyksta tinkle. O ten, kur baigiasi matomumas, atsiranda erdvė, kurioje užpuolikai gali veikti be kliūčių.

Šifravimas prieš matomumą: kaip atgauti kontrolę tinklo sraute - vaizdas 1

DUOMENŲ ŠIFRAVIMAS

Šifravimas nėra saugumo priešas. Tai yra privatumo, atitikties reglamentams (BDAR, PCI DSS, HIPAA) ir vartotojų pasitikėjimo pamatas. Problema atsiranda, kai šifravimas tampa barjeru saugumo analizei.

Kibernetiniai nusikaltėliai tuo puikiai naudojasi. Vis dažniau jie slepia C2 komunikaciją, duomenų perdavimą ir net administracinius veiksmus TLS srautuose, prisidengdami teisėtais procesais. Tokios atakos kaip „Living off the Land“, naudojančios authorized RMM įrankius ar administracinius protokolus, tampa vis dažnesnės.

Be prieigos prie iššifruotų duomenų, saugumo sistemos mato tik „tinklo triukšmą“ – teisingai organizuotus paketus be konteksto. Būtent kontekstas leidžia nustatyti, ar prisijungimas prie duomenų bazės serverio buvo autorizuotas, ar tai buvo įsilaužimo bandymas.

EXTRAHOP REVEALX

Atsiradus TLS 1.3 standartui ir Perfect Forward Secrecy (PFS) mechanizmui, šifravimo pasaulis žengė visai naują žingsnį. Kiekviena tinklo sesija dabar naudoja unikalų, laikomai klavišą, kuris iškart po ryšio nutraukimo yra sunaikinamas.

Tai yra didelis progresas privatumo apsaugos srityje, tačiau kartu rimtas iššūkis „SecOps“ komandoms, kurios privalo analizuoti tinklo srautą realiu laiku, kad efektyviai nustatytų anomalijas ir saugumo incidentus.

Tik analizė programinės įrangos lygmenyje (L7) leidžia pamatyti, kas iš tikrųjų vyksta tinkle. Būtent čia matosi, ar kas nors:

bando ne kartą prisijungti prie duomenų bazės serverio,
vykdo neįprastus SQL užklausas,
perkelia failus naktinėmis valandomis,
trina žurnalus, kad paslėptų pėdsakus.

Tik pilno sandorių analizė, o ne tik metaduomenų, suteikia užtikrintumą, kad incidentai bus laiku pastebėti. Dėl out-of-band architektūros, sprendimas ExtraHop RevealX analizuoja nukopijuotą tinklo srautą, dekoduodamas jį vietoje, nepaveikdamas duomenų perdavimo.

Tai reiškia:

nėra įtakos tinklo delsimui,
nėra šifravimo silpnėjimo rizikos,
nėra jautrios informacijos atskleidimo.

ExtraHop gali realiu laiku analizuoti iki 100 Gb/s srauto tiek vietiniuose, tiek debesų pagrinduose aplinkose. Integruoti mašininio mokymosi ir elgesio analizės mechanizmai leidžia aptikti subtilias anomalijas šifruotame sraute, kurias gali rodyti žvalgybą, teisių eskalaciją ar duomenų vagystę.

KONTAKTAI SU MUMIS

Matomumas šifruotame sraute yra būtinybė šiuolaikinėje SecOps aplinkoje. Be jo organizacija nesugebės atskirti incidento nuo įprastos vartotojo veiklos ir laiku reaguoti į realią grėsmę. ExtraHop RevealX™ suteikia SecOps komandoms tai, ko reikia labiausiai: pilną matomumą, gilų kontekstą ir galimybę reaguoti, prieš piktadarys pasislėps.

Kaip autorizuotas ExtraHop sprendimų platintojas, mes padedame įmonėms atkurti pilną matomumą virš šifruoto srauto ir kurti naujos kartos saugumo architektūrą. Susisiekite su mumis, kad sužinotumėte, kaip ExtraHop RevealX™ gali padėti jūsų organizacijai pamatyti tai, ko nemato kiti ir sustabdyti grėsmes, kol jie nepadarė žalos ➡️ Kontaktas

Naujienos