F5 SSL Orchestrator și Cisco Firepower elimină amenințările ascunse în traficul criptat

Traficul criptat este o problema reala de securitate pentru companiile care nu pot decela amenintarile disimulate sub „acoperirea“ SSL/TLS. Atunci când firewall-ul traditional nu mai face faţă situaţiei, specialistii Datanet Systems recomandă integrarea solutiilor F5 SSL Orchestrator si Cisco Firepower intr-un sistem coerent de protectie avansata.

Realitatea este că, în 2018, ponderea traficului criptat generat la aproximativ 80%, de doua ori mai mult fata de cat se inregistra in 2014. Dublarea volumului in doar cinci ani ar trebui sa indice, teoretic, o crestere a nivelului de Securitate, insa si hackerii apeleaza tot mai frecvent la criptare pentru pentru a-si disimula atacurile. Spre exemplu, „Cisco Annual Cybersecurity Report“, arata ca, anul trecut, traficul criptat utilizat pentru infectarile cu malware se triplase. In acest context, responsabilii cu securitatea resimt tot mai acut nevoia unor solutii care sa le asigure, pe de o parte, vizibilitate asupra traficului criptat, iar pe de alta protectie efectiva impotriva amenintarilor depistate.

 

Unde apar problemele

Decriptarea traficului, inspectarea si recriptarea lui intr-o singura solutie genereaza o crestere substantiala a incarcarii la nivel de CPU. Conforme testelor efectuate anul trecut de NSS Labs operatiunile de decriptare/recriptare duc la:

  • scaderea cu pana la 60% a performantei solutiei;
  • diminuarea cu pana la 92% a ratelor de conectare;
  • cresterea cu pana la 672% a timpului de raspuns.

Nu este insa singura problema pe care examinarea traficului criptat o ridica. Mai mult,  nu orice trafic SSL/TLS trebuie analizat, deoarece procesul de decriptare/recriptare expune datele cu caracter critic riscului unor atacuri de tipul Man-in-the-Middle (MITM). Apoi, in cazul organizatiilor cu arhitecturi de securitate avansate, inspectia efectiva a traficului este realizata de catre mai multe produse de securitate – Next Generation Firewall (NGFW), sisteme de Intrusion Prevention, Web Application Firewall, scanere Data Loss Prevention etc. – grupate intr-o succesiune. Configurarea manuala a acestor „lanturi“ de solutii si directionarea fluxurilor de trafic implica un efort operational continuu din cauza schimbarilor care survin in retea si a tipurilor de trafic.

 

F5-Cisco, tandemul castigator

Solutia specialistiilor Datanet Systems la aceste provocari consta in integrarea F5 SSL OrchestratorCisco FirePower, un „tandem“ consacrat deja in industrie, cu eficienta validata in numeroasele implementari realizate. Plusul este adus de avantajele competitive ale fiecărei solutii, integrarea lor asigurand o acoperirea extinsa a problemelor legate de managementul traficului criptat.

Cisco FirePower este o solutie NGFW de top premiata de catre Frost & Sullivan anul trecut (la categoria „Market Leadership Award in the Global Network Firewall Market“) si nominalizata ca lider in „2018 Gartner Magic Quadrant for Enterprise Network Firewalls“. (Solutia a primit tot in 2018 si distinctia „Gartner Peer Insights Customers’ Choice“ acordata de catre utilizatorii finali.)

Potrivit specialistilor, FirePower se remarca printr-o serie de caracteristici inovatoare pentru categoria de solutii NGFW:

  • protectie avansata impotriva exploatarii breselor de securitate prin utilizarea serviciului de „threat intelligence“ Talos;
  • sistem Next-Generation Intrusion Prevention System (NGIPS) integrat;
  • functionalitati de analiza contextuala a amenintarilor;
  • monitorizare si control al traiectoriei fisierelor de-a lungul intregii retele;
  • prioritizare inteligenta a alertelor de securitate
  • aplicare automata a politicilor de securitate la nivelul intregii retele.

Prin integrarea cu F5 SSL Orchestrator, capacitatea FirePower de prevenire si eliminare a amenintarilor este valorificata la un nivel superior. La acest rezultat contribuie, in primul rand, faptul ca echipamentul F5 preia incarcarea aferenta procesului de decriptare, inainte de a-l distribui, utilizand tehnologii de accelerare hardware performante. Eliminarea riscului de supraincarcare permite solutiei Cisco FirePower sa functioneze mai eficient si sa scaleze, fara costuri suplimentare, corespunzator cu evolutia volumului de trafic.

Un al doilea element care contribuie la eficienta „tandemului“ este rolul de orchestrare pe care il joaca produsul F5. SSL Orchestrator identifica si catalogheaza categoriile de trafic (folosind un motor de analiza care realizeaza clasificari in functie de natura traficului, originea acestuia, nume de domeniu, reputatie IP, geolocalizare, categorie de continut etc.), gestionandu-le in conformitate cu politicile specifice fiecarei organizatii.

De exemplu, fluxurile de trafic criptat generate de aplicatiile de internet banking sunt excluse de la decriptare pentru a elimina riscul interceptarii datelor sensibile. Regulile de administrare pot fi insa definite si aplicate si in functie de rolurile specifice din cadrul organizatiilor – traficul outbound de pe statiile de lucru ale administratorilor de sistem poate fi analizat directionandu-l catre mai multe aplicatii de securitate, in timp ce cel generat de top management poate fi exclus de la controlul amanuntit.

 

Care sunt beneficiile

Integrarea F5 SSL Orchestrator si Cisco FirePower contribuie la cresterea eficientei operationale si reducerea costurilor administrative prin faptul ca:

  • traficul este decriptat, respectiv, recriptat, o singura data;
  • faciliteaza crearea de „lanturi“ de produse de securitate prin care traficul este directionat pentru a fi examinat;
  • determina ce tip de trafic trebuie decriptat/recriptat si trimis catre spre examinare;
  • aplica automat politicilor definite pentru fiecare categorie de trafic;
  • orchestreaza si directioneaza dinamic traficul SSL si non-SSL;
  • centralizeaza si simplifica managementul certificatelor si cheilor de criptare;
  • este compatibilita cu cele mai noi protocoale de criptare (TLS 1.3 , ATS, PFS);
  • suporta simultan mai multe modele de implementare (TAP, Web proxies, ICAP, inbound layer 2/3, outbound layer 2/3 etc.);
  • asigura conformitatea cu cerintele in vigoare si politicile interne ale organizatiei;
  • faciliteaza rentabilizarea investitiilor facute in solutiile de securitate existente.

Integratorul, conditia indispensabila

Pentru a transforma toate beneficii in castiguri concrete, este necesar insa suportul unui partener de implementare care sa stie cum poate valorifica avantajele competitive ale celor doua solutii prin integrarea lor. Datanet Systems are avantajul de a avea competente atat pe zona tehnologiilor F5 si Cisco, cat si in domeniul solutiilor de securitate, avand la activ mai multe proiecte implementate in arhitecturi multi-vendor si infrastructuri critice.

Pe 20 Martie, Datanet Systems va sustine prezentarea „SSL visibility with F5 SSL Orchestrator and Cisco FirePower” in cadrul evenimentului F5 Solutions Day organizat de F5 si distribuitorul Veracomp Europe.

Locatia: Stejarii Country Club, Ora 9.00.

Evenimentul se adreseaza profesionistilor din cybersecurity, pentru inregistrare va rugam sa trimiteti un email catre madalina.zamfir@datanets.ro