A Blue Coat Systems anuncia pesquisa que alerta para as vulnerabilidades do tráfego SSL. Levantamento feito em seu Labs no primeiro semestre de 2016 detectou que aumentou 58 vezes o número de famílias de malwares desenvolvidas para tráfego SSL.
Para Marcos de Oliveira, country manager da Blue Coat Brasil, índices como esses confirmam tendências que já haviam sido identificadas pelo Gartner, que alertou o mercado para o fato de que o tráfego SSL (Secure Sockets Layer) e seu sucessor TLS (Transport Layer Security) recebe, em média, 50% das novas ameaças digitais. "Enquanto o Gartner indica que o tráfego criptografado cresce 20% ao ano, o uso deste ambiente para distribuição de malware avança de forma ainda mais acelerada". Entre as famílias de malware usando o SSL estão o ShyLock, Zeus, Dridex e Upatre.
Fatos como estes tornam o tráfego SSL um espaço aberto a violações que facilitam a penetração de APT (ameaças persistentes avançadas) nos sistemas corporativos.
Descriptografia pode afetar o desempenho na rede corporativa
Para que o CSO (Chief Security Officer) consiga discernir o joio do trigo no tráfego SSL, é necessário contar com soluções capazes de descriptografar o tráfego SSL/TLS sem prejudicar o desempenho da infraestrutura da corporação usuária. "Algumas soluções chegam a derrubar a performance do ambiente em até 80%", alerta Oliveira. "É comum, ainda, que tecnologias menos atualizadas só consigam examinar o tráfego Web/HTTPS, demandando outros recursos para conseguir enxergar ameaças ocultas em componentes SMTPS, IMAPS, FTPS, LDAPS, etc." Outro critério a ser seguido na hora de escolher a solução ETM (Encrypted Traffic Management), oferta de gerenciamento de tráfego encriptado, é checar se a tecnologia consegue preservar a privacidade do usuário enquanto identifica e combate ameaças ocultas.
A Blue Coat Brasil indica o caminho para adicionar visibilidade ao tráfego SSL/TLS:
- Efetuar um assessment. Para isso, é necessário avaliar o volume de tráfego SSL na sua empresa (tipicamente, de 35 a 45% do tráfego de rede está criptografado), incluindo analisar o mix de tipos de tráfego, volume atual e aumento projetado.
- Avaliar o risco de tráfego não inspecionado. Além de malware que chega à empresa, examinar que tipos de dados correm risco sob os pontos de vista de segurança (exfiltração) e privacidade. Compartilhar as visões entre os departamentos de TI, segurança, RH e jurídico, entre outras áreas de negócios.
- Criar um plano de ação. Examinar as políticas de "uso aceitável" por funcionários, exigências de privacidade e regulamentações de conformidade. A partir daí, criar políticas formais de controle e gestão de tráfego criptografado baseadas em tipos de tráfego, origem, e outras vulnerabilidades de segurança e privacidade.
- Aplicar um controle detalhado (granular) de políticas de segurança. Para isso, é importante identificar, inspecionar e descriptografar seletivamente o tráfego SSL baseado na web segundo as políticas adotadas pela empresa. Os dados descriptografados poderão, então, ser processados pelas ferramentas de segurança já presentes, como antivírus para rede, soluções de proteção contra ameaças avançadas, prevenção contra perda de dados (DLP) e outras.
- Monitorar, refinar e aplicar. Tarefas que devem acontecer constantemente, verificam se o tráfego SSL que entra na empresa segue as corporativas de privacidade e segurança.
"O uso da correta combinação de serviços e soluções de monitoração do tráfego encriptado ajudará o CSO a explorar as vantagens da criptografia sem o ambiente SSL/TLS seja usado de maneira espúria para ataques e invasões dos sistemas corporativos", resume Oliveira.
