Cresterea nivelului de reglementare, inmultirea si diversificarea riscurilor de securitate obliga organizatiile sa utilizeze pe scara larga criptarea traficului. Insa tot mai multe atacuri cu malware folosesc criptarea pentru a-si camufla amenintarile. Datanet va poate ajuta sa depasiti acest impas cu ajutorul noii tehnologii Cisco ETA si sa va rentabilizati investitia in solutiile de securitate.

In 2019, 80% din traficul Web generat de companii va fi criptat (conform Gartner). Estimarea se va confirma mai mult ca sigur sub presiunea adoptarii noului Regulament general de protectie a datelor cu caracter personal (GDPR), care introduce cerinte clare pentru asigurarea protectiei si integritatii datelor, criptarea fiind una dintre cele mai recomandate solutii.

 

Fata intunecata a criptarii?

Exista insa si un revers al medaliei – utilizarea intensiva a acestei metode de securizare a traficului genereaza riscuri importante. Aceiasi analisti Gartner preconizeaza ca in 2019 mai mult de jumatate din campaniile malware lansate de catre hackeri vor utiliza diverse metode de criptare pentru a-si ascunde amenintarile. Exista deja numeroase dovezi in acest sens, cel mai notoriu exemplu fiind botnet-ul Zeus, care utilizeaza protocolul criptografic SSL pentru a se actualiza dupa prima faza a infectiei (realizata via mail). Metoda utilizata de Zeus a devenit populara rapid, iar la momentul actual tot mai multe campanii malware utilizeaza protocolul SSL pentru a comunica criptat cu serverele de comanda si control din exteriorul organizatiilor.

Desi „reteta Zeus“ este cunoscuta, rata de succes a acestui tip de campanii ramane incredibil de mare. Fenomen explicabil insa, daca tinem cont de faptul ca exista inca destul de multe companii care considera traficul criptat drept o garantie a confidentialitatii datelor si a respectarii cerintelor de conformitate. Si prin urmare nu iau nicio masura de inspectare a fluxurilor criptate de date.

 

Minusurile metodelor traditionale

Ce-i drept insa, nici metodele traditionale de analiza, bazate pe decriptarea traficului, nu sunt foarte „prietenoase“. In mod uzual, se folosesc tehnici de tipul Man-in-the-Middle (MITM), care utilizeaza in general solutii precum Next-Generation Firewall (NGFW), Secure Web Gateway (SWG) sau Intrusion Prevention System (IPS) pentru interceptarea traficului, decriptarea, analiza si recriptarea lui. Dar aceasta tehnica prezinta o serie de limitari importante:

  • creste nivelul de expunere al datelor cu caracter critic prin decriptare (chiar si atunci cand traficul este re-criptat imediat, informatiile respective pot fi compromise prin recuperarea datelor stocate local in fisierele temporare);
  • scade performanta retelei (conform NSS Labs, decriptarea si recriptarea traficului SSL in echipamente NGFW, SWG sau IPS genereaza o scadere semnificativa a throughput-ului si creste latenta tranzactiilor in retea);
  • solicita adaugarea de echipamente suplimentare, odata cu cresterea volumelor de trafic.

 

Solutia Cisco

In aceste conditii, este fireasca intrebarea: Ce ramane de facut cu traficul criptat? Fara el nu se poate, dar nici metodele uzuale nu sunt foarte eficace. Raspunsul Cisco la aceste provocari extrem de actuale este noua tehnologie de securitate Encrypted Traffic Analytics (ETA), o solutie mai putin „intruziva“, mai eficienta si mai rapida decat metodele traditionale si care, in plus, nu altereaza integritatea criptarii, eliminand astfel riscul compromiterii traficului legitim de date.

Lansata in iunie anul trecut, CISCO ETA combina la acel moment capabilitatile noilor switch-uri Catalyst 9000 si ale seriei de routere Cisco 400 ISR, cu functionalitatile avansate de securitate si analiza ale solutiei Stealthwatch.

Pentru a depista potentialele amenintari din traficul criptat, CISCO ETA analizeaza o serie de parametri specifici:

  • pachetul initial de date (Initial Data Packet – IDP);
  • lungimea pachetului de date si timpii (Sequence of Packet Lengths and Times – SPLT);
  • distributia bitilor la nivel de incarcare a pachetelor de date din cadrul fluxului;
  • parametrii caracteristici protocolului criptografic TLS.

Utilizand aceste elemente si datele de telemetrie furnizate de fluxurile de date NetFlow (v9), Stealthwatch monitorizeaza si asigura vizibilitatea asupra intregului trafic din retea si asupra traficului Web, reducand astfel timpul de raspuns la incidente.

Stealthwatch utilizeaza mecanisme avansate de analiza si tehnologii de machine learning cu ajutorul carora stabileste tipare de comportament, pe baza carora ‒ prin adaugarea de informatii contextuale (fluxuri DNS, headere HTTP etc.) ‒ depisteaza automat, in timp real, evenimentele anormale din retea cu potential de risc. Atunci cand identifica un flux de date cu potential de risc, ETA il redirectioneaza dinamic, in mod automat, pentru a fi blocat sau decriptat.

Folosind aceste mecanisme avansate de analiza, CISCO ETA elimina necesitatea decriptarii intregului trafic si a recriptarii acestuia. Ca urmare, dispar scaderile de performanta ale retelei, precum si riscurile de expunere a datelor. Mai mult, ETAasigura si respectarea cerintelor de conformitate pe partea de criptare, Stealthwatch putand semnala automat, de exemplu, cazurile in care nu sunt respectate politicile TLS specifice.

 

Performante de top

La sase luni de la lansare, Cisco ETA era utilizata deja de peste 50.000 de clienti. Si, cel mai probabil, ritmul de adoptie s-a accelerat in prima jumatate a lui 2018, Cisco anuntand disponibilitatea tehnologiei ETA in noi produse (ASR 1000 Series, 4000 Series ISRs, 1000 Series Routers, Cloud Services Router 1000V, etc.).

Succesul pe piata al ETA este asigurat de eficienta pe care o demonstreaza noua tehnologie in depistarea traficului criptat cu caracter malitios. In martie a.c., Miercom, companie specializata in testarea solutiilor enterprise, a dat publicitatii un raport de evaluare a performantei tehnologiei Cisco pe zona de securitate. Conform raportului, ETA a detectat:

  • 60% din amenintari in mai putin de 5 minute;
  • 72% in sub 15 minute;
  • 98% in mai putin de o ora;
  • 100% in maximum 3 ore.

Potrivit sursei citate, solutia Cisco are un nivel de performanta a detectiei cu 36% mai ridicat decat sistemele non-ETA, fiind net superioara la capitolul viteza, eficienta si inteligenta. Pentru rezultatele detaliate, studiul Miercom poate fi accesat aici

https://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise-networks/enterprise-network-security/miercom-report-eta-perf.pdf

 

Protectie extinsa la nivelul intregii organizatii

Stealthwatch nu este insa doar o componenta a tehnologiei ETA, ci o solutie „stand-alone“ care genereaza plus-valoare prin integrarea cu alte aplicatii, precum sistemul de autentificare si control al accesului Cisco Identity Services Engine, cu solutia Cisco Advanced Malware Protection for Endpoints, Cisco Umbrella etc. (Puteti afla aici http://www.datanets.ro/ro/content/5-solutii-pentru-automatizarea-infrastructurii-de-securitate ce economii asigura integrarea solutiilor Cisco si ce castiguri obtineti la nivel operational.)

Solutiile enumerate sunt concepute pentru a fi integrate intr-o arhitectura de securitate unitara, iar Datanet Systems va poate ajuta sa amortizati si rentabilizati rapid investitiile facute in tehologiile Cisco. fiind pricipalul partener al acestei companii in Romania si avand cea mai mare echipa de specialisti certificati in tehnologiile de securitate Cisco la nivel local.

Pentru informatii suplimentare, va rugam contactati-ne la office@datanets.ro