“Com grandes poderes vêm grandes responsabilidades.” Reconhecendo Voltaire e Churchill, a citação é mais conhecida dos quadrinhos do “Homem-Aranha”, atribuída ao tio Ben de Peter Parker. Claro, parte da prevalência cultural da linha é que ela pode ser aplicada a qualquer número de situações e tópicos, incluindo — como indicado pelo título — inspeção TLS.
Recentemente, a Agência de Segurança Nacional dos Estados Unidos (NSA) publicou um aviso para abordar possíveis riscos associados à implantação da Inspeção de Segurança da Camada de Transporte (TLSI). O aviso da NSA também forneceu métodos para mitigar quaisquer potenciais fraquezas de segurança para organizações que implantam e empregam produtos TLSI.
Uma rápida introdução ao TLSI: TLSI, também conhecido como TLS break and inspect, é um processo que permite que as organizações descriptografem e criptografem novamente o tráfego de rede criptografado com TLS ou mesmo Secure Socket Layer (SSL). O TLSI é essencial para as organizações, já que a maioria dos ataques hoje em dia são ocultados em tráfego criptografado. Por exemplo, de acordo com as pesquisas mais recentes, mais de 90% dos carregamentos de páginas agora são criptografados com SSL/TLS, e 71% dos sites de phishing utilizam certificados de criptografia.
Muitas organizações hoje usam um dispositivo dedicado, como um dispositivo proxy, um firewall ou um sistema de detecção de intrusão (IDS) ou sistema de prevenção de intrusão (IPS) para descriptografar e criptografar novamente o tráfego criptografado com TLS. Outros ainda estão executando tráfego criptografado por TLS por meio de uma cadeia de dispositivos em sua pilha de segurança, forçando a descriptografia e a nova criptografia por meio de cada dispositivo de segurança. Todo o processo TLSI auxilia as organizações a monitorar possíveis ameaças (como malware) no tráfego criptografado de entrada. Ele também permite que as organizações monitorem o tráfego criptografado de saída para exfiltração de dados e comunicações ativas de comando e controle (C2) para servidores maliciosos, prontos para baixar meios de ataque adicionais.
Mas o método de TLSI sendo implantado e usado, bem como a forma como ele é implantado, também pode introduzir riscos sérios para uma organização, de acordo com o aviso da NSA.
A NSA, em seu comunicado, também recomenda que o tráfego TLS seja interrompido e inspecionado apenas uma vez dentro da rede de uma organização. O aviso afirma claramente que descriptografar, inspecionar e criptografar novamente o tráfego TLS por um dispositivo proxy de encaminhamento, com o tráfego então enviado para outro dispositivo proxy de encaminhamento para a mesma ação, não deve ser executado. Essa ação aumenta a superfície de risco sem oferecer nenhum benefício adicional.
Se uma organização estiver implantando ou usando uma oferta TLSI que não valida adequadamente os certificados TLS, a criptografia TLS pode ser enfraquecida, deixando uma abertura para ataques do tipo man-in-the-middle (MiTM) serem lançados.
Um dispositivo proxy de encaminhamento operando incorretamente e sendo usado para TLSI pode levar ao redirecionamento do tráfego descriptografado para um dispositivo de terceiros não autorizado e ao roubo ou uso indevido de dados confidenciais.
Monitorar o fluxo de tráfego de rede para o proxy de encaminhamento pode ajudar a aliviar qualquer potencial de exploração, de acordo com o aviso da NSA. Além disso, para garantir que o TLSI esteja operando como deveria, o aviso sugere o emprego de análises em logs, o que pode detectar tráfego mal roteado, bem como auxiliar na detecção de abuso ou uso indevido — intencional ou não — por administradores.
Além disso, os produtos TLSI provavelmente precisarão encadear conexões TLS, o que pode causar um rebaixamento na proteção de criptografia e levar à exploração de um conjunto de criptografia ou versão TLS mais fraca. Algumas ofertas de TLSI podem permitir versões TLS mais fracas e conjuntos de cifras somente por exceção.
A maioria dos dispositivos proxy de encaminhamento TLSI inclui sua própria autoridade de certificação (CA) interna para criar e assinar novos certificados. Mas a CA integrada pode ser usada para assinar códigos maliciosos, ignorando mecanismos de segurança como IDS e IPS, ou ser usada para implantar serviços mal-intencionados imitando serviços reais. O aviso da NSA recomenda que uma organização selecione produtos que implementem fluxo de dados, TLS e CA corretamente.
Outra superfície de ataque pode ser onde o dispositivo TLSI descriptografa o tráfego, logo antes do tráfego ser enviado aos dispositivos de segurança. O tráfego está em texto simples e é vulnerável a ataques, o que pode levar os invasores a obter credenciais de usuários e outros dados confidenciais.
O F5 SSL Orchestrator garante que o tráfego criptografado seja descriptografado, inspecionado por controles de segurança apropriados e criptografado novamente, proporcionando visibilidade ao tráfego criptografado e mitigando riscos de ameaças ocultas. O SSL Orchestrator também maximiza a eficácia dos investimentos em segurança existentes, encadeando dinamicamente os serviços de segurança e direcionando o tráfego descriptografado por meio de políticas, aplicando inteligência baseada em contexto ao tráfego criptografado. Além disso, o SSL Orchestrator gerencia e distribui centralmente as mais recentes tecnologias de criptografia por toda a infraestrutura de segurança de uma organização, centralizando certificados e gerenciamento de chaves, ao mesmo tempo em que fornece gerenciamento e controle de criptografia robustos. O SSL Orchestrator monitora independentemente a integridade de cada serviço de segurança. Ele também garante que as soluções de segurança operem com eficiência máxima e possam ser dimensionadas com alta disponibilidade por meio dos recursos de balanceamento de carga e dimensionamento do F5. Além disso, ele oferece suporte aos padrões governamentais e industriais mais rigorosos e robustos de segurança e privacidade.
A ênfase por trás do aviso da NSA é fazer a descriptografia e a inspeção do TLS bem e fazê-lo uma vez. Embora possa parecer que uma solução completa, como um firewall de última geração (NGFW), abordaria tecnicamente esse conceito, na realidade ela é bastante impraticável ao tentar abordar todos os tipos de tráfego criptografado e requisitos de taxa de transferência. O que é realmente necessário — e a melhor abordagem para fazer a descriptografia e inspeção TLS bem e uma vez — é um conjunto monitorado de perto e conectado com segurança de produtos de vários fornecedores configurados em uma solução de descriptografia/inspeção/recriptografia uma vez, que se mostrará mais flexível, mais resiliente e prática.
Com o F5 SSL Orchestrator, uma organização não precisa encadear dispositivos proxy. Não é necessário realizar monitoramento de tráfego independente, nem mesmo monitoramento de dispositivos adicionais. O conjunto de cifras ou método de criptografia mais seguro é usado, porque é uma arquitetura de proxy completo. Em outras palavras, o SSL Orchestrator atenua todos os riscos levantados no aviso da NSA, ao mesmo tempo em que ajuda as organizações a se alinharem com o vínculo bem estabelecido entre responsabilidade e poder.