Поддержание сохранности и безопасности данных в цифровой среде становится все более сложной задачей. Для решения подобных задач используют комплексную защиту, работающую в нескольких направлениях одновременно. Например, антивирусы, сетевые экраны, средства разграничения доступа, webProxy. Сканирование https трафика рассматривается в качестве базового подхода к обеспечению безопасности, но не всегда приносит ожидаемые результаты. Данная возможность реализована в продуктах «Ростелеком-Солар». Рассмотрим эту функцию подробнее.

Что такое сканирование https трафика?

HTTPS является зашифрованным форматом передачи данных (сетевым протоколом) для сети интернет. Он построен по оригинальной криптографической схеме, когда по незащищенному и открытому каналу связи передается зашифрованная информация. Это можно реализовать только одним способом: если и на сервере, и на пользовательском устройстве будут ключи, с помощью которых передаваемую информацию «закрывают на замок», то есть просто передают в зашифрованном виде, а потом расшифровывают обратно. Вот почему ключи (сертификаты SSL) обязательно должны быть на обоих устройствах.

В Windows есть специальное защищенное хранилище корневых сертификатов SSL. Аналогичные сертификаты выдаются сайтам еще до их запуска. Если сертификаты совпадают, трафик можно будет расшифровать и отобразить на экране.

Основной смысл существования https – возможность передачи данных по открытому и не охраняемому каналу связи, например, по Wi-Fi. Поступать обратным путем – защищать сам канал связи, а информацию, передаваемую по нему, не зашифровывать – для беспроводных соединений невозможно. Отсюда и постоянное развитие https и SSL. Этим занимаются ведущие IT-компании мира.

Сканирование https трафика многим знакомо по антивирусам и встроенной программе «защитник Windows 10». Поскольку DLP-системы являются функциональным продолжением антивирусов, они могут осуществлять то же самое сканирование с такой же эффективностью, но с целью борьбы с внутренними угрозами, а не внешними вирусами. Поэтому у них более гибкие настройки критериев проверки расшифрованного потока данных.

Использовать один и то т же ключ для всех данных в интернете было бы нецелесообразным, поэтому были придуманы и внедрены динамично обновляющиеся ключи. Для их подмены целью сканирования одного каталога сертификатов оказывается недостаточно. Здесь задействуется генератор ключей, например, как это сделано в антивирусах. В случае несоответствия сертификата он может его оперативно сгенерировать и осуществить подбор хэша цифровой подписи SSL.

Недостатки метода

  • Ограничивается работа с Web-ресурсами, сертификаты которых не совпадают с каталогом, либо с алгоритмом генератора. Их сертификаты не распознаются и данные не отображаются.
  • Чтобы снифферить (перехватить) https трафик используется подключение в разрыв канала, ответвление трафика с посылом копии на сниффер, либо направленные атаки на канальном и сетевом уровнях.
  • Значительная нагрузка на аппаратные ресурсы: требуется покупка дорогостоящих серверов для буквальной фильтрации трафика на них. Этот пункт постепенно становится неактуальным по мере роста вычислительной мощности.
  • Система плохо совместима с удаленной работой.

Главным недостатком является снижение безопасности подключения, так как сертификат приходится подменять, а работать с высокозащищенными сервисами «замечающими» такую подмену, становится невозможно. Отключать сканирование https трафика оправдано в тех случаях, когда сетевой ресурс работает нестабильно, а его безопасность не вызывает сомнений.

Преимущества метода

Если начать снифферить https-трафик, то можно узнать о действии пользователей практически всё. При этом даже в средних компаниях просмотреть абсолютно все действия не представляется возможным, поэтому необходимо управлять сканированием, внося специальные фильтры, сценарии, критерии поиска.

Антивирусы декодируют трафик и проверяют расшифрованное содержимое на предмет вредоносного кода, образец которого занесен в их базу. Критерии проверки на что-либо другое в них настроить нельзя, а SWG-системы как раз обеспечивают такую возможность.

 В качестве угроз рассматривается каталог потенциально опасных действий пользователя, определенные файлы, тесты и слова, чертежи и графики. Нежелательный, опасный контент блокируется согласно политикам доступа – SWG-система делает это сама, и в этом ее смысл. Однако она будет эффективна только при надлежащей настройке: включив функцию сканирования, вы сможете существенно расширить ее возможности. Политики реакций задаются оператором системы, офицером безопасности. Так, несмотря на все недостатки, такой метод довольно эффективен и продолжает широко использоваться.

 Нестандартные функции, реализуемые сканированием https

  1. Учет рабочего времени в сети вне корпоративных программ, где нельзя воспользоваться возможностью удаленного администрирования, например, в отделе продаж при поиске и обзвоне клиентов.
  2. Контроль поиска в интернете, контроль интересов пользователя (только на рабочих станциях и устройствах, подключенных к DLP).
  3. Своевременное реагирование на включение пользователем инструментов для сокрытия трафика: VPN-серверов, генераторов хешей, зашифрованных архивов и так далее.

Выводы

Всеобщее сканирование трафика – избыточная мера, однако за счет гибких настроек SWG и интеграции с DLP возможно установить подходящие ситуации уровни безопасности в зависимости от задач, возложенных на должностных лиц компании. Это наиболее эффективный способ предотвращения внутренних угроз.

Если вычислительной мощности недостаточно, сертификаты нужных серверов не генерируются, можно просто самостоятельно отключить сканирование https трафика, а при необходимости включить его заново, что так же возможно для выбранных пользователей – наши продукты обладают этими функциями.