หน้าแรก Security Malware บทความ : F5 แนะวิธีการต่อกรกับภัยคุกคามที่ใช้การเข้ารหัส

บทความ : F5 แนะวิธีการต่อกรกับภัยคุกคามที่ใช้การเข้ารหัส

461
แบ่งปัน

การวิจัยในห้องทดลองของ F5 ระบุว่า หน้าเว็บที่โหลดมาจากเว็บไซต์นับหลายล้านเว็บนั้นมีจำนวนถึง 80% ที่มีการเข้ารหัสข้อมูลเอาไว้ การทำงานเพื่อเข้ารหัสข้อมูลที่ใช้รับ-ส่งกันระหว่างเครื่องแม่ข่ายกับลูกข่ายหรือ Transport Layer Security (TLS) กลายเป็นสิ่งปกติที่องค์กรทุกขนาดและทุกอุตสาหกรรมนำไปใช้งานเนื่องจากหลายๆ ปัจจัยด้วยกัน ได้แก่ กฎระเบียบด้านการป้องกันภัยให้ข้อมูลของสหภาพยุโรป (EU General Data Protection Regulation (GDPR), การจัดอันดับผลการค้นหาเว็บโดย กูเกิ้ล, การเตือนเบราเซอร์ของเว็บไซต์ HTTP ที่ไม่เข้ารหัส และการให้ความสำคัญในเรื่องความเป็นส่วนตัวที่เพิ่มมากขึ้น เป็นต้น ในขณะที่การเข้ารหัสทราฟฟิคช่วยเพิ่มระดับความสามารถในการป้องกันรักษาความปลอดภัยให้กับข้อมูล แต่ก็ก่อให้เกิดผลลบได้เช่นกัน เนื่องจากมีปริมาณเวิร์กโหลดที่มากขึ้นและอาจได้รับอันตรายจากมัลแวร์ที่ซ่อนอยู่ในทราฟฟิคที่มีการเข้ารหัสไว้ ซึ่งสร้างภาระให้กับองค์กรในการสรรหาโซลูชั่นที่มีประสิทธิภาพมาใช้เพื่อให้โครงสร้างพื้นฐานไอทียังคงทำงานรวดเร็วและพร้อมใช้งานตลอดเวลาอีกทั้งยังต้องป้องกันภัยและรักษาข้อมูลส่วนตัวได้อย่างรัดกุม

คุณไม่สามารถตอบโต้กับสิ่งที่คุณมองไม่เห็น

การเข้ารหัสทราฟฟิคเป็นวิธีที่ยอดเยี่ยมในการป้องกันการถูกดักโจมตีระหว่างทางเพื่อดูหรือเปลี่ยนแปลงข้อมูล อย่างไรก็ตาม การเข้ารหัสก็สามารถทำให้อุปกรณ์ตรวจสอบหรือวิเคราะห์ความผิดปกติไม่สามารถมองเห็นทราฟฟิคนั้นไปด้วยเช่นกัน การเข้ารหัสและการถอดรหัสของทราฟฟิคจะต้องใช้พลังงานในการประมวลผลอย่างมาก ดังนั้นโซลูชันการตรวจสอบความปลอดภัยต่างๆ เช่นระบบตรวจจับการบุกรุก (IDS / IPS), มัลแวร์ แซนด์บ๊อกซ์, next-gen firewall (NGFW) และอื่น ๆ ไม่สามารถถอดรหัสได้ทั้งหมดหรือใช้ประสิทธิภาพมากมายมหาศาล ไม่ว่าจะเป็นทราฟฟิคในการเข้าชมแอปพลิเคชันขององค์กรหรือการเข้าอินเทอร์เน็ตจากภายในองค์กร คุณจำเป็นต้องมีการลงทุนด้านโครงสร้างพื้นฐานทั้งหมดเพื่อให้สามารถมองเห็นทราฟฟิคได้อย่างเต็มศักยภาพ

ความท้าทายในการตรวจสอบทราฟฟิคขาออก

เป็นที่ทราบกันดีว่ามัลแวร์เป็นอันตราย แต่โดยปกติแล้วระบบป้องกันแบบมีระดับชั้นจะสามารถระบุและหยุดการแพร่กระจายมัลแวร์ไปยังผู้ใช้และอุปกรณ์อื่น ๆ ได้ หรือจากการกรองข้อมูล มัลแวร์สามารถติดมาจากแหล่งต่างๆ เช่นเว็บไซต์ที่เป็นอันตรายหรืออีเมลฟิชชิ่ง ดังนั้นจึงจำเป็นต้องตรวจสอบการส่งข้อมูลออกไปข้างนอกเครือข่ายเพื่อไม่ให้ข้อมูลสำคัญรั่วไหลออกจากสภาพแวดล้อมที่ควบคุมได้ซึ่งกลายเป็นเรื่องที่ท้าทายเพราะผู้โจมตีแทบทุกรายในปัจจุบันใช้ช่องทางที่มีการเข้ารหัสในการซ่อนการโทรออกของมัลแวร์ไปยังเซิฟเวอร์สั่งการและควบคุม

ความท้าทายในการตรวจสอบทราฟฟิคขาเข้า

การตรวจสอบทราฟฟิคขาเข้าก็เป็นเรื่องยุ่งยากเช่นกัน แอพพลิเคชั่นหรือเว็บไซต์เป็นสิ่งจำเป็นของธุรกิจ โดยผลการสำรวจที่ระบุในรายงานของ F5 Labs 2018 Application Protection Report พบว่า 34% ของเว็บแอพเป็นภารกิจที่จำเป็นขององค์กร ดังนั้น เมื่อแอพพลิเคชั่นเป็นสิ่งจำเป็น คุณจึงต้องใช้โซลูชั่นรักษาความปลอดภัยอาทิ เว็บ แอพพลิคชั่น ไฟร์วอลล์ (WAF) หรือ IDS/IPS เพื่อกรองทราฟฟิคที่ประสงค์ร้าย นอกจากอุปกรณ์ตรวจสอบการโจมตีแล้ว คุณอาจจะต้องรันทราฟฟิคของแอพผ่านทางเอ็นจิ้นวิเคราะห์ข้อมูลหรือโซลูชั่นที่บันทึกการใช้งานของลูกค้าอีกด้วย ซึ่งโซลูชั่นเหล่านี้จะนำเสนอคุณสมบัติเฉพาะที่ไม่ซ้ำกัน แต่การถอดรหัสไม่สามารถทำได้แบบแยกแต่ละโซลูชั่น

คุณประโยชน์ของการมองเห็นทราฟฟิค

นักวิเคราะห์ด้านความปลอดภัยประเมินว่าขณะนี้มัลแวร์ทั้งหมดใช้การเข้ารหัสเพื่อซ่อนการตรวจจับจากอุปกรณ์รักษาความปลอดภัยที่ออกแบบมาเพื่อค้นหา และกำจัดมัลแวร์ เมื่อใช้กลยุทธ์การป้องกันในเชิงลึก แอดมินจำนวนมากใช้โซลูชั่นด้านความปลอดภัยในแบบอนุกรมเพื่อป้องกันมัลแวร์ซึ่งไม่น่าเชื่อว่าจะเป็นวิธีที่ไม่ค่อยได้ผลและยังเป็นการเปิดประตูให้ทราฟฟิคที่ประสงค์ร้ายผ่านเข้ามาทางโซลูชั่นรักษาความปลอดภัย โดยสรุปก็คือคุณต้องการความปลอดภัยแต่ก็ไม่อาจยอมให้ประสิทธิภาพของเว็บ ทราฟฟิคย่อหย่อนลง

ลบพิษภัยของมัลแวร์

โซลูชั่น SSL / TLS จะทำการถอดรหัสทราฟฟิคและส่งไปยังอุปกรณ์การตรวจสอบซึ่งนับว่าเป็นขั้นตอนแรกที่ดีในการลดผลกระทบจากมัลแวร์ อย่างไรก็ตามอาจมีความล่าช้าเกิดขึ้นโดยที่ไม่จำเป็นหากการเข้าชมบางประเภทไม่จำเป็นต้องผ่านอุปกรณ์ตรวจสอบบางอย่าง ตัวอย่างเช่น ถ้าทราฟฟิคขาออกคือการเข้าชมเว็บไซต์ที่เป็นที่ยอมรับว่าปลอดภัย และโซลูชั่นการป้องกันการสูญหายของข้อมูล (DLP) ไม่พบสิ่งที่มีความละเอียดอ่อนต่อการเข้าชม บางครั้งการเข้าชมนั้นก็ยังคงต้องผ่าน NGFW หรือ IDS แต่สิ่งสำคัญคือต้องมีความสามารถในการกำหนดเส้นทางการเข้าชมเว็บให้สอดคล้องกับความเสี่ยงของคุณ

ส่งต่อความลับอย่างสมบูรณ์แบบและเปลี่ยนรหัสฉับไว

โปรโตคอล TLS มีการเฝ้าระวังแบบพาสซีฟที่เรียกว่า perfect forward secrecy (PFS) protection ซึ่งมีการปรับปรุงการแลกเปลี่ยนคีย์โดยการใส่คีย์ที่ไม่ซ้ำกันในแต่ละเซสชั่นที่ผู้ใช้สร้างขึ้น PFS การันตีได้ว่าผู้โจมตีจะไม่สามารถกู้คืนคีย์ใดๆ และถอดรหัสการสนทนาที่ถูกบันทึกไว้นับล้านๆ บทสนทนาได้ เนื่องจาก PFS เป็นมาตรฐานตามหลักปฏิบัติเนื่องจากเป็นวิธีเดียวที่ได้รับอนุญาตภายในโปรโตคอล TLS 1.3 คุณจึงต้องมีการเตรียมโซลูชั่นสำหรับรับมือข้อจำกัดดังกล่าว ก่อนหน้านี้ การเข้ารหัสด้วย RSA keys คุณต้องแลกเปลี่ยนคีย์กับคีย์อื่นๆ ของโซลูชั่น แต่การเข้ารหัสแบบ PFS จะใช้กุญแจหรือคีย์เข้ารหัสที่ไม่ซ้ำกันสำหรับแต่ละเซสชั่น F5 SSL Orchestrator สามารถถอดรหัสและส่งต่อข้อความที่ไม่มีการเข้ารหัสไปยังอุปกรณ์รักษาความปลอดภัย หรือสามารถเปลี่ยนแปลงการเข้ารหัสไปเป็นโปรโตคอล TSL 1.2 กับคีย์ RSA ทางเลือกที่สองนี้จะช่วยให้ไม่มีข้อมูลที่ไม่ถูกเข้ารหัสปรากฎอยู่ในระบบเครือข่ายเลย ในณะที่ยังคงช่วยให้อุปกรณ์รักษาความปลอดภัยสามารถตรวจสอบข้อมูลที่เข้ารหัสด้วยโปรโตลคอล TLS1.3 ได้ แม้ว่าจะยังไม่พบช่องโหว่ในการเข้ารหัสแบบ elliptical curve ciphers ที่บังคับใช้เมื่อใช้เทคนิค PFS แต่สิ่งที่ปลอดภัยในวันนี้ไม่ได้หมายความว่าจะปลอดภัยไปตลอด การวิจัยเรื่องความปลอดภัยและเครื่องมือในการแฮกข้อมูลยังคงพัฒนาความก้าวหน้าพอๆ กับพลังของคอมพิวเตอร์ ซึ่งจะทำให้ช่องโหว่ปรากฏออกมาอย่างหลีกเลี่ยงไม่ได้ การมีจุดควบคุมแบบรวมศูนย์กลางสำหรับการถอดรหัสและเข้ารหัสจะช่วยให้การเปลี่ยนวิธีการเข้ารหัสทำได้ง่ายขึ้น

การมองเห็นทราฟฟิคยังไม่เพียงพอ การควบคุมผ่านระบบ Orchestration คือหัวใจสำคัญ

ความสามารถในการมองเห็นภายในแพ็คเก็ตที่เข้ามาในแอพพลิเคชั่นของคุณหรือออกไปจากเครือข่ายของคุณเป็นสิ่งสำคัญ แต่ก็เป็นเพียงขั้นตอนแรกเท่านั้น การจัดการกับการเชื่อมต่อแบบอนุกรมหรือการกำหนดค่าเพื่อจัดการการถอดรหัสลับ / การเข้ารหัสลับทั่วทุกระดับชั้นการรักษาความปลอดภัยเป็นเรื่องที่น่าเบื่อ นโยบายที่กำกับการใช้งานบางสิ่งย่อมมีข้อยกเว้นอยู่ด้วยเสมอ F5 SSL Orchestrator นำเสนอทั้งการมองเห็นทราฟฟิคในระดับที่ครอบคลุมสูงสุด ระบบ Orchestration จัดให้มีการควบคุมการรับส่งข้อมูลหรือทราฟฟิคตามนโยบายเพื่อให้บริการตามสภาพความเสี่ยงและสภาพเครือข่ายแบบไดนามิก SSL Orchestrator สามารถตัดสินใจได้อย่างชาญฉลาดเพื่อควบคุมการรับส่งข้อมูลขาเข้าและขาออกไปยังอุปกรณ์รักษาความปลอดภัยโดยอาศัยอำนาจในการเป็นพร็อกซีเต็มรูปแบบทั้ง SSL / TLS และ HTTP และในขณะที่การเข้าชมเว็บส่วนใหญ่น่าจะใช้โปรโตคอล HTTPS SSL Orchestrator จะช่วยให้คุณจัดการกับการถอดรหัสและการเข้ารหัสลับอย่างชาญฉลาดกับการรับส่งข้อมูลประเภทอื่นๆ ด้วย เช่น STARTTLS ภายใน FTP, IMAP, POP3 และ ICAP ไม่มีผลิตภัณฑ์อื่น ๆ สามารถทำสิ่งเหล่านี้ได้ นั่นคือเหตุผลที่โซลูชัน SSL / TLS อื่น ๆ ไม่มีการป้องกัน แอปพลิเคชันและเครือข่ายของคุณอย่างครอบคลุม

ลงทะเบียนเพื่อรับข้อมูลและรายงานฉบับเต็มได้ที่นี่

ทิ้งคำตอบไว้

Please enter your comment!
Please enter your name here