Het toenemende risico van ongecontroleerd versleuteld verkeer in bedrijfsnetwerken is een ‘blinde vlek’ in netwerkbeveiliging. Onder netwerkbeveiligers neemt het besef toe dat netwerkencryptie verstrekkende gevolgen heeft en dat het echt van invloed is op de effectiviteit van de hele beveiligingsinfrastructuur. Met welke uitdagingen hebben teams voor beveiliging en netwerkbeheer zoal te maken, en hoe kan een Encrypted Traffic Management (ETM)-oplossing daarbij helpen? Zeven voorbeelden lichten dit toe:
- Beperkt inzicht waardoor gegevensverlies en -diefstal mogelijk is. De meeste Data Loss Protection (DLP)-apparaten kunnen SSL-verkeer niet zien. Een goede ETM oplossing voorziet DLP-apparaten juist van ontcijferd SSL-verkeer, zodat zij hun taak beter kunnen uitvoeren. Dit brengt het transport van bedrijfskritische gegevens en potentieel gegevensverlies aan het licht. Bovendien helpt een ETM-oplossing bij de bescherming van persoonsgegevens en het naleven van wet- en regelgeving (bijv. HIPAA, PCI, Wbp en Sarbanes-Oxley).
- Onvolledige sandboxing die kwaadaardige dreigingen mist. Je kunt nu zowel versleuteld als ontcijferd netwerkverkeer omleiden via oplossingen voor antimalware of sandboxing voor verdere analyse. Hierdoor wordt meer malware geïsoleerd.
- Ontoereikende intrusion protection die aanvallen niet tegenhoudt. IDS/IPS-oplossingen kunnen de dreigingen binnen versleuteld verkeer niet zien, laat staan tegenhouden. Hierdoor ontstaan gevaarlijke blinde vlekken in het netwerkverkeer. Een Encrypted Traffic Management oplossing identificeert automatisch al het SSL-verkeer. De oplossing stuurt zowel ontcijferde gegevensstromen, gebaseerd op de beleidsregels van de organisatie, als het SSL-verkeer dat volgens het beleid versleuteld moet blijven, naar de IDS/IPS-oplossingen. Deze kunnen zodoende beter geavanceerde dreigingen ontdekken en verwijderen, zónder de prestaties van het apparaat te verminderen. Dit is vooral belangrijk in het licht van de snelle groei in kwaadaardig Command and Control (C&C)-verkeer dat SSL gebruikt en afkomstig is van binnen het bedrijfsnetwerk van een organisatie.
- Zwak forensisch netwerkonderzoek dat geavanceerde aanvallen niet kan volgen of vangen. Encryptie maakt het voor beveiligingsanalisten of forensische netwerkonderzoekers lastig om inbreuk en gerichte aanvallen op het netwerk te volgen. Met een innovatieve ETM-oplossingen kun je netwerkverkeer effectiever analyseren om verdacht verkeer aanvallersgedrag aan het licht te brengen. Het is ook mogelijk om snel te reageren en de gevolgen van inbreuk op netwerken en apparaten tot een minimum te beperken.
- De complexiteit en kosten van SSL decentraal decoderen. De SSL Visibility Appliance van Blue Coat werkt op basis van beleidsregels. Hierdoor levert het apparaat de gedecodeerde inhoud van SSL-stromen aan beveiligingsappliances zoals DLP, NGFW, IPS, content analyse, forensisch netwerkonderzoek, etc. Dit maakt het eenvoudig om volledig inzicht en controle te krijgen die nodig is om SSL-gebaseerde aanvallen af te weren. Met deze innovatieve aanpak is het ook niet nodig om speciale software of API’s op de beveiligingsapparaten te installeren.
- Methodes voor het decoderen en inspecteren van SSL-verkeer die het netwerk vertragen. Het is belangrijk om automatisch inzicht in al het SSL-verkeer te waarborgen zonder dat dit de prestaties van het netwerk beïnvloedt of dat er complexe scripting en regelsets nodig zijn. Een goede oplossing verhoogt eigenlijk de prestaties van beveiligingsapparaten zelfs, doordat het omslachtige proces van SSL-inspectie niet meer nodig is. Omdat de bestaande devices het verkeer, de applicaties en de potentiële dreigingen beter kunnen zien, kan men het rendement op de investering behouden of zelfs vergroten.
- De toenemende zorgen over privacy en het naleven van wet- en regelgeving. Naarmate eindgebruikers, klanten en burgers zich meer zorgen maken over de bescherming van privacygegevens, worstelen IT-beveiligingsteams met de balans tussen privacy en sterke netwerkbeveiliging. Onze ETM-oplossingen werkt op basis van beleidsregels doordat ze gebruik maken van het Global Intelligence Network. Dit Network houdt alle producten actueel met de meest recente informatie over dreigingen en categorisatie van websites en verkeer. De ETM-oplossing decodeert verdacht en kwaadaardig SSL/TLS-verkeer selectief, terwijl het vertrouwde verkeer gewoon door kan gaan in gecodeerde vorm. Dit waarborgt de privacy en de naleving van wet- en regelgeving en maakt iedereen blij, vooral juridische, compliance en HR-teams.
Christophe Birkeland, CTO of Malware Analysis bij Blue Coat Systems
