0
0
A maioria das empresas analistas do setor conclui que entre 80-90 por cento do tráfego de rede é criptografado hoje. Jeff Costlow, CISO da ExtraHop, explica por que isso pode não ser uma coisa boa.
Criptografia forte é fundamental para proteger dados comerciais e pessoais confidenciais. O Google estima que 95% do seu tráfego de internet usa o protocolo HTTPS criptografado, e a maioria das empresas analistas do setor conclui que entre 80-90 por cento do tráfego de rede é criptografado hoje. Este é um passo significativo para a integridade dos dados e a privacidade do consumidor.
No entanto, as organizações com um compromisso com a privacidade dos dados não são as únicas que veem valor em obscurecer sua pegada digital no tráfego criptografado. Os cibercriminosos foram rápidos em armar a criptografia como um meio de esconder sua atividade maliciosa em um tráfego benigno.
O Gartner compartilhou que 70% das campanhas de malware em 2020 usavam algum tipo de criptografia. E o Zscaler está bloqueando 733 milhões de ataques criptografados por mês este ano, um aumento de 260 por cento em relação a 2019.
De acordo com um Conselho Conjunto de Cibersegurança emitido pelo FBI, CISA, o Reino Unido O National Cyber Security Centre e o Australian Cyber Security Centre, protocolos criptografados são usados para mascarar o movimento lateral e outras táticas avançadas em 60% dos ataques usando as 30 vulnerabilidades de rede mais exploradas. Dito de outra forma, as organizações estão cegas para 60% das vulnerabilidades mais exploradas da CISA.
Pesquisadores de segurança também encontraram técnicas sofisticadas de ataque emergentes com descriptografia de taxa de linha dos protocolos Microsoft mais comumente abusados, como SMBv3, Active Directory Kerberos, Microsoft Remote Procedure Call (MS-RPC), NTLM, LDAP, WINRM, além do TLS 1.3.
Tudo isso catalisou a necessidade de uma nova abordagem quando se trata de detectar ameaças dentro do tráfego criptografado: ou seja, descriptografia. A descriptografia pode detectar atividades pós-compromisso que a análise de tráfego criptografado (ETA) perde, incluindo campanhas de ransomware que exploram a vulnerabilidade PrintNightmare.
Hoje, é quase impossível distinguir o bem do ruim sem a capacidade de descriptografar o tráfego com segurança. A capacidade de permanecer invisível deu aos ciberatacantes a vantagem. O tráfego criptografado foi explorado em alguns dos maiores ataques cibernéticos e técnicas de exploração do ano passado, desde Sunburst e Kaseya até PrintNightmare e ProxyLogon. Técnicas de ataque como living-off-the-land e Active Directory Golden Ticket só são bem-sucedidas porque os atacantes podem explorar o tráfego criptografado das organizações. Ransomware também está no topo da mente para as empresas no momento, mas muitas estão aleijadas pelo fato de não conseguirem ver o que está acontecendo lateralmente dentro do corredor de tráfego leste-oeste.
As organizações têm cuidado ao adotar a descriptografia devido a preocupações com conformidade, privacidade e segurança, bem como impactos no desempenho e altos custos de computação. Mas existem maneiras de descriptografar o tráfego sem comprometer a conformidade, segurança, privacidade ou desempenho. Vamos desmascarar alguns dos mitos e equívocos comuns.
Mito 1: A descriptografia enfraquece a segurança
Verdade: Existem dois tipos principais de descriptografia: fora da banda e em linha. A descriptografia fora da banda envia dados não identificados e tokenizados para a nuvem para aprendizado de máquina. Isso significa que ele nunca envia dados de texto claro pela rede, portanto, não há preocupações adicionais com a segurança.
A descriptografia em linha, também conhecida como interceptação SSL ou man-in-the-middle (MitM), é uma abordagem mais antiga que pode resultar em organizações enfrentando complicações adicionais com o gerenciamento de certificados, e os invasores podem realizar ataques de downgrade onde as mensagens são recriptografadas usando conjuntos de cifras mais fracos.
Mito 2: A Descriptografia Viola Leis de Privacidade e Padrões de Conformidade
Verdade: A descriptografia do tráfego de rede corporativa não viola os regulamentos ou leis de privacidade. No entanto, alguns recursos de descriptografia não podem ser configurados em sub-redes confidenciais para evitar a violação de estruturas de conformidade, como GDPR, PCI DSS e HIPAA. As organizações devem evitar proativamente o registro de dados relevantes para as estruturas de conformidade e ter controles de acesso do usuário para garantir que apenas usuários autorizados tenham acesso a dados em nível de pacote.
Mito 3: Tráfego Criptografado Não Pode Ser Acessado por Invasores
Verdade: Protocolos de criptografia obsoletos, como SSL e TLS 1.0 e 1.1, podem deixar o tráfego vulnerável a farejar e descriptografia por invasores sofisticados.
Mito 4: Tráfego Criptografado Não Fornece Benefício aos Invasores
Verdade: Embora a maioria das empresas use criptografia para garantir a privacidade de seus dados, os cibercriminosos também se tornaram hábeis em usar a mesma tecnologia para encobrir seus rastros.
Os benefícios de descriptografar o tráfego de rede são muitos. Primeiro, a descriptografia permite a detecção de ataques no início de uma campanha de ataque porque cargas úteis maliciosas não estão mais ocultas. Em segundo lugar, a descriptografia melhora o tempo médio de resposta porque fornece um contexto valioso para garantir a detecção rápida, escopo, investigação e correção de ameaças. E, finalmente, a descriptografia permite um registro forense completo para investigações pós-compromisso.
FONTE: THREATPOST