Sebbene oggi gran parte del traffico Internet sia
crittografato, gli hacker sono comunque in grado di sfruttarlo: le funzioni per il
controllo di botnet e malware spesso si nascondono proprio lì. Se la vostra workstation ha iniziato improvvisamente a comunicare usando un
algoritmo di crittografia obsoleto, potete essere abbastanza sicuri che è stato compromessa. E che dire degli utenti che comunicano con server dotati di certificati non attendibili? La capacità di analizzare le comunicazioni crittografate sarà presto cruciale per l'efficace applicazione delle politiche di sicurezza.
Nel 2017 solo la metà del traffico era crittografata, oggi la percentuale
supera l'80 percento. L'era di un internet completamente crittografata sta già bussando alla porta e, naturalmente, i professionisti responsabili della sicurezza e della gestione dei rischi nelle aziende prestano un'attenzione sempre maggiore a questo argomento. La crittografia
complica l'uso delle tradizionali tecnologie di sicurezza, come i firewall, e spesso ne rende addirittura impossibile l'utilizzo. Se non si sa cosa si nasconde nei pacchetti, non è possibile proteggere la rete aziendale o le singole workstation dal malware.
Ecco perché
l'analisi delle comunicazioni è entrata nel portafoglio dei servizi offerti dalle società di monitoraggio e sicurezza della rete. Ad esempio, Flowmon ha implementato l'analisi della comunicazione crittografata nella sua soluzione già nell'agosto 2018. Grazie a questa funzionalità, la soluzione è ora in grado di visualizzare quei
dettagli della comunicazione che consentono all'utente di rilevare la presenza di malware.
Tuttavia il contenuto crittografato non può essere visualizzato senza essere decrittato, pertanto è importante ottenere quante più informazioni possibili nel momento in cui la comunicazione
non è stata ancora crittografata, vale a dire durante la creazione della connessione e lo scambio delle chiavi e dei certificati.
Un esempio di questo processo è
l'handshake SSL / TLS, che significa stabilire una comunicazione crittografata durante la quale sono disponibili e visibili diversi parametri TLS. In particolare, la versione del protocollo TLS utilizzata dal server, il set di crittografia, l'indicazione del nome del server (SNI), l'emittente del certificato, la chiave pubblica, la validità del certificato, l'impronta digitale JA3 e altro ancora.
I dati possono poi essere
analizzati o utilizzati in diversi modi per gestire la sicurezza aziendale. In base ai dati è possibile ricevere notifiche di modifiche ed eventi oppure utilizzarli per avvisi automatici collegati ad altre azioni (invio di e-mail, esecuzione di uno script utente, invio di un syslog o una notifica asincrona sotto forma di trap SNMP o altro).
Il ruolo di JA3
Uno dei modi più semplici per rilevare malware ed elaborare l'IoC (Indicator of Compromise) è analizzare le
impronte digitali JA3. Utilizzando il
metodo JA3 è possibile creare facilmente impronte SSL / TLS su qualsiasi piattaforma. Ecco perché è molto più efficace utilizzare le impronte JA3 per rilevare malware all'interno di SSL / TLS piuttosto che monitorare l'IP o il dominio IoC.
Questo indipendentemente dal fatto che il malware utilizzi DGA (Domain Generation Algorithms) o cambi gli indirizzi IP per ciascuno dei suoi host C2 (Command & Control), nemmeno quando utilizza, ad esempio, Twitter, per controllarlo. Poiché
JA3 rileva direttamente un'applicazione client, è in grado di rilevare malware in base al modo in cui comunica, anziché in base a ciò che comunica.
Ecco perché strumenti specifici come Flowmon, utilizzando il database di impronte digitali JA3
pubblicamente disponibile, possono rilevare potenziali minacce partendo dalle specifiche impronte JA3 nelle comunicazioni crittografate.
Come verificare le politiche di sicurezza
Molte aziende si affidano alla comunicazione HTTPS e ai certificati emessi da un'autorità di certificazione per garantire la comunicazione interna o la presenza sul web. Pertanto è importante
monitorare la validità del certificato emesso per evitare una situazione in cui i dati non sarebbero protetti per un certo periodo di tempo.
Questo problema può essere risolto analizzando il traffico crittografato, che fornisce, tra l'altro, una panoramica delle scadenze di ogni certificato. Questo consente di monitorare i certificati in scadenza ed evitare del tutto questa pericolosa situazione: è infatti possibile rilevare facilmente una
crittografia TLS 1.0 debole, in modo da avere abbastanza tempo per eseguire tutti i passaggi correttivi.
Un cambiamento strategico
Per una protezione affidabile dalle minacce le aziende dovranno incorporare strumenti di sicurezza basati su
analisi comportamentale, intelligenza artificiale e analisi della comunicazione crittografata. Questi strumenti permetteranno di rilevare malware nel traffico in tempo reale senza influire sulla velocità di trasmissione della rete o compromettere le prestazioni delle applicazioni. Sarà inoltre necessario
modificare le strategie di sicurezza esistenti per bloccare tempestivamente le minacce "man-in-the-middle" o tentativi di rubare i dati aziendali.
Le nuove tecnologie di sicurezza saranno indispensabili nelle aziende, anche in considerazione della
necessità di audit. Le tecnologie aiuteranno a rilevare le comunicazioni che utilizzano certificati obsoleti in contrasto con la politica aziendale, a controllare il livello di crittografia e a rivelare vulnerabilità nei dati.