SSL/TLS-ORCHESTRIERUNG

Verteidigung gegen verschlüsselte Bedrohungen

Die SSL/TLS-Verschlüsselung ist das neue Protokoll

Forschungen von F5 Labs zur Bedrohungsanalyse auf Millionen von Websites haben ergeben, dass fast 90 % der Seitenaufrufe verschlüsselt erfolgen. Dies liegt daran, dass die Verschlüsselung mittels TLS (Transport Layer Security) für Organisationen aller Größen und Branchen zur Norm geworden ist.

Zu dieser Verbreitung haben einige Faktoren beigetragen: die Datenschutz-Grundverordnung (DSGVO) der EU, die Ranking-Präferenzen von Google-Suchergebnissen, Browser-Warnungen für HTTP (Klartext)-Websites und die einfache Möglichkeit, an günstige oder kostenlose Zertifikate zu kommen (Let’s Encrypt), um nur einige Beispiele zu nennen. Obwohl diese Entwicklung die Sicherheit des Webdatenverkehrs verbessert, hat sie auch ihren Preis: die potenziellen Gefahren von Malware, die sich in verschlüsseltem Datenverkehr tarnt, und der höhere Workload. Unternehmen müssen eine Lösung implementieren, die ihre Infrastruktur schnell und verfügbar gestaltet und gleichzeitig ein hohes Maß an Sicherheit und Datenschutz gewährleistet.

Laut den Forschungsergebnissen von F5 Labs zur Bedrohungsanalyse erfolgen 90 % der stichprobenartig erfassten Seitenaufrufe auf Millionen von Websites auf verschlüsselte Weise.

SIE KÖNNEN SICH NICHT GEGEN GEFAHREN VERTEIDIGEN, DIE SIE NICHT SEHEN KÖNNEN

Die Verschlüsselung des Datenverkehrs eignet sich hervorragend, um Man-in-the-Middle-Angriffe zu verhindern, die es einem Angreifer ermöglichen können, Daten einzusehen oder zu verändern. Die Verschlüsselung kann jedoch auch dazu führen, dass Prüfungs- oder Analyselösungen und -dienste für diesen Datenverkehr blind werden. Das Verschlüsseln und Entschlüsseln von Datenverkehr verbraucht viel Rechenleistung, sodass viele Sicherheitsprüfungslösungen, z. B. ein Intrusion-Detection-/-Prevention-System (IDS/IPS), eine Malware-Sandbox oder eine Firewall der nächsten Generation (NGFW), diese Daten entweder überhaupt nicht entschlüsseln oder so große Leistungseinbußen feststellen müssen, dass sie den verschlüsselten Datenverkehr einfach weiterleiten, nur um weiter mithalten zu können. Unabhängig davon, ob es sich um Datenverkehr handelt, der in Ihre Anwendung gelangt, oder um internen Datenverkehr, der ins Internet gelangt: All Ihre Infrastrukturinvestitionen müssen die erforderliche Transparenz aufweisen, die sie zur Ausschöpfung ihres Potenzials benötigen.

Herausforderungen bei der Prüfung von ausgehendem SSL/TLS-Datenverkehr

Jeder weiß, dass Malware gefährlich ist. Es bedarf jedoch in der Regel einer mehrschichtigen Abwehr, um Malware zu identifizieren und an der Verbreitung an andere Benutzer und Geräte – oder an der Exfiltration von Daten – zu hindern. Malware kann aus verschiedenen Quellen wie böswilligen Websites oder Phishing-E-Mails stammen. Daher ist es wichtig, den ausgehenden Datenverkehr des Netzwerks zu überprüfen, um sicherzustellen, dass Malware nicht auf Befehls- und Kontrollserver zugreifen kann und dass keine sensiblen Daten Ihre kontrollierte Umgebung verlassen. Dies wird zu einer Herausforderung, da fast alle Angreifer inzwischen verschlüsselte Kanäle verwenden, um die ausgehende Kommunikation ihrer Malware zu verbergen.

Herausforderungen bei der Prüfung von eingehendem SSL/TLS-Datenverkehr

Es gibt jedoch auch Schwierigkeiten bei der Kontrolle des eingehenden Datenverkehrs. Eine Anwendung oder Website ist oft entscheidend für das Geschäft einer Organisation. 34 % der Webanwendungen werden laut dem Anwendungsschutzbericht 2018 von F5 Labs als geschäftskritisch eingestuft. Wenn Ihre Anwendung derart wichtig für Ihr Geschäft ist, verfügen Sie wahrscheinlich über Sicherheitslösungen wie eine Webanwendungs-Firewall (WAF) oder ein IDS/IPS, um böswilligen Datenverkehr herauszufiltern. Zusätzlich zu diesen Sicherheitsprüfungslösungen müssen Sie möglicherweise den Anwendungsdatenverkehr durch Analyse-Engines oder Lösungen zur Verbesserung der Kundenerfahrung leiten. Alle diese Lösungen bieten einen einzigartigen Mehrwert, die Entschlüsselung in großem Maßstab befindet sich jedoch wahrscheinlich nicht darunter.

34%

der Webanwendungen werden als geschäftskritisch eingestuft, und sie werden durch böswilligen Datenverkehr bedroht.

DIE VORTEILE DER SSL/TLS-TRANSPARENZ

Eine kürzlich von F5 Labs durchgeführte Studie zeigte, dass 68 % der Malware Verschlüsselung verwendet, um ihre Spuren vor den Sicherheitslösungen zu verbergen, die sie identifizieren und neutralisieren sollen – und diese Zahl wird wahrscheinlich weiter ansteigen. Bei der Implementierung einer umfassenden Verteidigungsstrategie setzen viele Administratoren zur Abwehr von Malware Sicherheitslösungen in einer seriellen Verkettung ein. Dies ist unglaublich ineffizient und öffnet außerdem Tür und Tor für böswilligen Datenverkehr, der durch eine handlungsunfähige Sicherheitsprüfungslösung läuft. Sie benötigen ein hohes Maß an Transparenz und Sicherheit, ohne dabei auf Leistung zu verzichten.

Neutralisierung von verschlüsselter Malware

Eine SSL/TLS-Lösung, die den Datenverkehr entschlüsselt und an Prüfungslösungen weiterleitet, ist ein guter erster Schritt, um die Auswirkungen von Malware zu mindern. Sie kann jedoch unnötige Latenzen mit sich bringen, wenn spezieller Datenverkehr nicht durch bestimmte Prüfungslösungen geführt werden muss. Wenn z. B. der ausgehende Datenverkehr eines Benutzers zu einer bekanntermaßen „guten“ Website (oder IP-Adresse) geht und die DLP-Lösung zum Schutz vor Datenverlust keine sensiblen Informationen entdeckt, muss der Datenverkehr dann immer noch durch die NGFW oder das IDS geleitet werden? Vielleicht. Es ist jedoch wichtig, den Pfad Ihres Datenverkehrs entsprechend Ihrer Risikotoleranz anpassen zu können.

Ältere Chiffren anzupassen, wenn diese veraltet sind, erfolgt einfacher, wenn es einen zentralen Kontrollpunkt gibt.

Perfect-Forward-Secrecy und flexible Verschlüsselung

Das TLS-Protokoll verfügt über eine passive Überwachungsgegenmaßnahme, die als PFS (Perfect-Forward-Secrecy) bezeichnet wird und einen zusätzlichen Austausch zum Schlüsselaufbau-Protokoll zwischen den beiden Seiten der verschlüsselten Verbindung ermöglicht. Durch die Generierung eines eindeutigen Sitzungsschlüssels für jede vom Benutzer initiierte Sitzung garantiert PFS, dass ein Angreifer nicht einfach einen einzigen Schlüssel wiederherstellen und Millionen zuvor aufgezeichneter Gespräche entschlüsseln kann.

Da PFS de facto zum Standard wird und dies die einzige mögliche Methode innerhalb von TLS 1.3 darstellt, müssen Sie einen Plan für alle passiven Prüfungslösungen, die den eingehenden Datenverkehr analysieren, erstellen. Früher haben Sie den RSA-Schlüssel mit jeder dieser Lösungen geteilt. Dies ist jedoch nicht möglich, wenn PFS für jede Sitzung einen eindeutigen Schlüssel generiert. Der F5 SSL Orchestrator kann entweder Klartext-Datenverkehr entschlüsseln und an Prüfungslösungen weiterleiten oder den Datenverkehr unter Verwendung von TLS 1.2 mit RSA entschlüsseln und wieder verschlüsseln. Bei der zweiten Option erfolgt die Entschlüsselung zwar wieder durch die Prüfungslösungen, die Lösungen müssten aber nicht mit dem Datenverkehr mithalten und würden daher weder die Latenzzeit erhöhen, noch würden Klartextdaten innerhalb Ihres Rechenzentrums übertragen werden.

Bei der Verschlüsselung auf Basis von elliptischen Kurven, die bei der Implementierung von PFS obligatorisch ist, wurden noch keine Schwachstellen gefunden. Wie wir jedoch alle wissen, wird das, was heute sicher ist, nicht für immer sicher bleiben. Die Sicherheitsforschung und die Hacking-Tools entwickeln sich weiter, ebenso wie die Rechenleistung – und das wird unweigerlich dazu beitragen, eine Schwachstelle aufzudecken. Eine zentrale Kontrollstelle für alle Entschlüsselungs- und Verschlüsselungsvorgänge zu haben, macht es einfacher, Chiffren anzupassen, wenn diese veraltet sind.

SSL/TLS-TRANSPARENZ REICHT NICHT AUS – KONTROLLE DURCH ORCHESTRIERUNG IST DER SCHLÜSSEL

Die Möglichkeit zu haben, in die Pakete hineinzusehen, die in Ihre Anwendungen gelangen oder aus Ihrem Netzwerk austreten, ist ein großer Schritt. Es ist jedoch nur der erste Schritt. Der Gebrauch von manueller Verkettung oder Konfiguration zur Verwaltung der Entschlüsselung bzw. Verschlüsselung über den gesamten Sicherheitsstapel hinweg ist mühsam, und wir alle wissen, dass jede Richtlinie, die Vorschriften auf eine bestimmte Art und Weise festlegt, immer mit einer Ausnahme einhergeht. Der F5 SSL Orchestrator bietet Transparenz in großem Maßstab, es ist jedoch die Orchestrierung, die diese Lösung wirklich von anderen Produkten abhebt.

Die Orchestrierung bietet eine richtlinienbasierte Datenverkehrssteuerung für eine Servicekette, die auf Risiken und dynamischen Netzwerkbedingungen basiert. Da der SSL Orchestrator ein Vollproxy für SSL/TLS und HTTP ist, kann er intelligente Entscheidungen treffen, um ein- und ausgehenden Datenverkehr zu Serviceketten innerhalb des Sicherheitsstapels zu leiten. Auch wenn es sich bei dem Großteil Ihres Datenverkehrs wahrscheinlich um HTTPS handelt, können Sie mit dem SSL Orchestrator die Entschlüsselung und erneute Verschlüsselung von anderen Datenverkehrsarten wie STARTTLS innerhalb von FTP, IMAP, POP3 und ICAP intelligent verwalten. Kein anderes Produkt kann all das leisten, weshalb keine andere SSL/TLS-Lösung einen umfassenderen Schutz für Ihre Anwendungen und Ihr Netzwerk bietet.


Sprechen Sie mit einem F5-Sicherheitsexperten

Haben Sie eine Sicherheitsfrage, ein Problem oder andere Themen, die Sie besprechen möchten?
Wir würden uns freuen, von Ihnen zu hören!

Article
Entdecken von Angriffen, die sich hinter Verschlüsselung verstecken

F5-Sicherheitsexperten erzählen Ihnen mehr über die mit verschlüsseltem Datenverkehr verbundenen Risiken und die Verwaltung der Überprüfungen über alle Ihre Sicherheitslösungen hinweg.

Read the article
Das Webinar ansehen

WEITERE INFORMATIONEN

Artikel

TLS 1.3 – Sind Sie bereit für das Update?

Erfahren Sie mehr über die Datenschutz-, Leistungs- und Sicherheitsvorteile von TLS 1.3 und warum es so wichtig ist, die Transparenz und Orchestrierung Ihres verschlüsselten Datenverkehrs zu gewährleisten.

Webinar

Entdecken von Angriffen, die sich hinter Verschlüsselung verstecken

F5-Sicherheitsexperten erzählen Ihnen mehr über die mit verschlüsseltem Datenverkehr verbundenen Risiken und die Verwaltung der Überprüfungen über alle Ihre Sicherheitslösungen hinweg.

Produkt

SSL Orchestrator

Entdecken Sie die neuesten Technologien zur SSL/TLS-Verschlüsselungsverwaltung, die sich leicht in Ihre gesamte Infrastruktur integrieren lassen und Ihre Investitionen in vorhandene Sicherheitsprüfungstools verbessern.