Encryptie van netwerkverkeer met SSL/TLS: goed én slecht

  1. 15 apr 2016
  2. 0 reacties
Christophe-Birkeland-van-Blue-Coat

Het is belangrijk om informatiestromen via internet en bedrijfsnetwerken af te schermen voor onbevoegden. Klanten en burgers vragen daar om, en wet- en regelgeving rond privacy maakt het in veel gevallen zelfs verplicht. Daarom is de toepassing van de Secure Socket Layer (SSL) en Transport Layer Security (TLS)-protocollen erg populair. SSL/TLS beveiligt de communicatie door cryptografie en authenticatie. Maar deze oplossing heeft twee kanten en kan zowel een verbetering als een verslechtering van de IT-beveiliging zijn.

Door digitale communicatie te coderen met SSL/TLS is de inhoud zonder de juiste codesleutel onmogelijk te zien. Dat is een geruststelling voor iedereen die zich zorgen maakt over inbreuk op bedrijfskritische gegevens en vooral op de privacy. SSL/TLS zorgt ervoor dat cybercriminelen noch geheime diensten bedrijfs- of persoonsgegevens kunnen halen uit informatiestromen. Dat geeft terecht een veilig gevoel. Het probleem van SSL/TLS is echter dat veel beveiligingsoplossingen, zoals firewalls, ids/ips-apparaten en sandboxing, de inhoud van de gegevensstromen ook niet kunnen decoderen. Cybercriminelen zijn daar inmiddels achter en versturen hun malware dus ook gecodeerd met SSL/TLS. Hierdoor komen hun virussen, Trojaanse paarden, botnets, phishingaanvallen en andere malware ongezien bedrijfsnetwerken binnen. Dus: is SSL/TLS nu goed of slecht voor de IT-beveiliging?

Het korte antwoord is: SSL/TLS is wel degelijk een goed beveiligingsmiddel. Maar je dient wel rekening te houden met de volgende tien feiten en fabels

  1. Feit: Hackers zijn dol op SSL/TLS

Volgens marktonderzoeker Gartner maakt in 2017 zeker de helft van alle aanvallen op informatiesystemen gebruik van encryptie om ontdekking te voorkomen. In 2013 was dit nog maar 5 procent (Gartner, “Security Leaders Must Address Threats From Rising SSL Traffic”, 9 December 2013).

  1. Feit: Het inspecteren van SSL/TLS-verkeer vertraagt het netwerk

Uit onafhankelijk onderzoek door NSS Labs blijkt dat het “zichtbaar maken” van SSL-verkeer in next generation firewalls (NGFWs) de prestaties van deze apparaten kan verminderen met wel 80 procent. Dat maakt deze NGFWs ineffectief, onpraktisch en duur (6 J. W. Pirc, “SSL Performance Problems: Significant SSL Performance Loss Leaves Much Room for Improvement”. NSS Labs, juni 2013).

  1. Feit: SSL/TLS-verkeer zorgt voor blinde vlekken

Onderzoek van Blue Coat Labs toont aan dat 70 procent van de bedrijven tegenwoordig vertrouwt op SSL/TLS-encryptie om persoonsgegevens te beschermen. Omdat veel beveiligingsoplossingen dit verkeer niet kunnen inzien, ontstaan er aanzienlijke blinde vlekken in het netwerkverkeer. Cybercriminelen maken daar misbruik van, maar bovendien bestaat het risico dat men de wet- en regelgeving rond privacy niet naleeft (Blue Coat Labs).

  1. Feit: SSL/TLS-verkeer neemt alleen maar toe

NSS Labs voorspelt een gemiddelde toename van 20 procent per jaar in SSL/TLS-verkeer. Het gebruik van HTTPS en andere op SSL/TLS gebaseerde protocollen en diensten neemt in populariteit toe. Ook de overstap naar clouddiensten en het gebruik van mobiele applicaties, vooral met externe clouds, zorgt voor een verdere afhankelijkheid van TLS/SSL (6 J. W. Pirc, “SSL Performance Problems: Significant SSL Performance Loss Leaves Much Room for Improvement”. NSS Labs, juni 2013).

  1. Feit: De zorgen over privacy nemen juist toe door SSL/TLS

SSL/TLS is uitstekend om persoonsgegevens af te schermen, maar is die privacy wel gewaarborgd als beveiligingsoplossingen het SSL/TLS-verkeer moeten decoderen om het te controleren? Zo nemen de zorgen over de privacy weer toe. Dit vraagt om het maken, en toezien op het naleven, van beleidsregels rond het controleren, decoderen en beheren van SSL/TLS-verkeer.

  1. Fabel: NGFWs bieden alle beveiliging die een netwerk nodig heeft

Next-Generation firewalls (NGFWs) combineren een conventionele firewall met intrusion prevention in een enkele oplossing, soms nog aangevuld met URL-filtering en antiviruscontrole. Volgens topanalisten kunnen NGFWs echter niet alle functies vervangen of uitvoeren die nodig zijn voor een afdoende bescherming. Dat geldt vooral voor SSL/TLS-inspectie en decodering.

  1. Fabel: inzicht en controle over TLS/SSL belemmert de netwerkprestaties

Oplossingen die zich uitsluitend toeleggen op het beheren van gecodeerd verkeer bewijzen dat een aanpak van inspectie, decoderen, opnieuw coderen en beheren van TLS/SSL zorgt voor maximaal inzicht en bescherming. Dit vertraagt de prestaties van het netwerk helemaal niet, noch van de apparaten die hierdoor beschermd worden.

  1. Fabel: Als gebruikers geen toegang hebben tot verdachte websites zijn we veilig

De meeste dreigingen komen van legitieme websites die misbruikt worden door cybercriminelen. Dat geldt ook voor populaire websites voor nieuws, ondernemers of overheidszaken. Zo komt malware ongezien op het bedrijfsnetwerk. De dreiging van phishing, ransomware en verborgen Command & Control (C&C)-communicatie komt dus vaak van binnenuit. Daarom is het essentieel om zowel inkomend als uitgaand SSL/TLS-verkeer te controleren op potentiële dreigingen en gegevensdiefstal.

  1. Feit: Bijna geen enkele NGFW-, IPS- en UTM-appliance kan SSL/TLS-verkeer goed onderzoeken

Het is verrassend, maar waar. Volgens Gartner kunnen minder dan 20 procent van bedrijven inkomend en uitgaand SSL-verkeer decoderen met een firewall, een intrusion prevention systeem of een unified threat-management appliance (Gartner, “Security Leaders Must Address Threats From Rising SSL Traffic”, 9 December 2013)

  1. Fabel: SSL/TLS is synoniem aan HTTPS en poort 443

Met de opkomst van innovatieve mobiele en cloudapplicaties gaat SSL-verkeer steeds vaker verder dan HTTPS en poort 443. SSL/TLS beveiligt allerlei essentiële netwerkdiensten zoals e-mail, bestandsuitwisseling, berichtenverkeer binnen nieuwsgroepen, toegang tot de directoy, instant messaging, privé- en groepschats en nog veel meer.

Conclusie

Naarmate eindgebruikers, klanten en burgers zich meer zorgen maken over de bescherming van privacygegevens, worstelen IT-beveiligingsteams met de balans tussen privacy en sterke netwerkbeveiliging. Maar daar is een oplossing voor. De ETM-oplossing van Blue Coat helpt bij het blootleggen en bestrijden van beveiligingsdreigingen die zich verbergen in versleuteld netwerkverkeer. Daarbij werkt de oplossing op basis van beleidsregels doordat ze gebruik maken van het Global Intelligence Network die het product actueel houdt met de meest recente informatie over dreigingen en categorisatie van websites en verkeer. Deze ETM-oplossing decodeert verdacht en kwaadaardig SSL/TLS-verkeer selectief, terwijl het verkeer gewoon door kan gaan in gecodeerde vorm. Dit waarborgt de privacy en de naleving van wet- en regelgeving: een geruststelling voor klanten én IT-beveiligingsteams.

Christophe Birkeland, CTO of Malware Analysis bij Blue Coat Systems