SSL Bump: что это такое и когда применяется
Узнать большеВ наше время, когда высокоскоростной интернет становится все более доступным, практически весь интернет-трафик подлежит шифрованию. Шифрование данных является критическим элементом стандартов кибербезопасности. Это делает перехваченный злоумышленниками трафик бесполезным, обеспечивая защиту конфиденциальной информации от доступа третьих лиц. Однако это также создает проблемы для средств защиты, поскольку вредоносное программное обеспечение может проникнуть в ИТ-инфраструктуру компании через зашифрованный трафик и остаться незамеченным, что в конечном итоге может привести к утечке информации. Подробно рассмотрим, что такое HTTPS, почему он предпочтительнее HTTP, а также как фильтрация трафика помогает защитить конфиденциальную информацию от киберпреступников.
Что такое HTTPS?
Информация в интернете передается посредством различных протоколов, таких как HTTP, FTP, POP3, SSH. Эти протоколы передачи данных обеспечивают условия для идентификации и обмена информацией между различными приложениями на логическом уровне. Протокол HTTP долгое время был стандартом для передачи данных с веб-сайтов. Однако, с развитием интернет-технологий и появлением новых киберугроз, возникла необходимость усовершенствовать и улучшить этот протокол. Так появилась более безопасная версия - HTTPS, которая поддерживает шифрование данных.
HTTPS отличается от своего предшественника, HTTP, поддержкой механизмов транспорта SSL и TLS. Обе версии протокола работают на прикладном уровне модели OSI (L7). HTTPS помогает защититься от кибератак, основанных на прослушивании соединения (например, "sniffing" или "man in the middle"). Для обеспечения защиты необходимо использовать средства шифрования и убедиться, что сертификат сервера прошел проверку и находится в списке доверенных.
Идентификация сервера в протоколе HTTPS основана на первоначальной отправке сертификата сервером клиенту. Сертификат включает URI сервера, и идентификация осуществляется на основе стандарта Х.509 (RFC 2459). Если имя сервера не совпадает с информацией, указанной в сертификате, пользователю отправляется уведомление (например, в браузере). После этого пользователь самостоятельно принимает решение о дальнейшем использовании незащищенного соединения или его прерывании.
Как работает HTTPS-фильтрация трафика?
Процесс фильтрации сетевого трафика представляет собой сложную последовательность действий, которая включает в себя следующие этапы:
-
Расшифровка трафика. Этот процесс может быть как законным, так и незаконным, в зависимости от того, кто и с какой целью его выполняет. В обоих случаях происходит подмена сертификата. Если действует злоумышленник, он заменяет сертификат сервера на свой в первом ответе сервера. Если расшифровкой трафика занимается команда специалистов по кибербезопасности компании, подмена сертификата происходит с использованием специализированных прокси-серверов, через которые проходит весь трафик из ИТ-инфраструктуры организации и обратно.
-
Проверка трафика. Расшифрованный трафик от прокси-сервера направляется к специальным системам анализа и защиты. Это могут быть, например, системы IPS, DPI, антивирусы, механизмы контентной фильтрации, песочницы, DLP и другие, включая интегрированные системы типа NGFW. После анализа трафика эти системы принимают решение о дальнейшем пропуске трафика или его блокировке в рамках политики информационной безопасности организации.
Как работает Solar webProxy?
Решение класса Secure Web Gateway (SWG) — Solar webProxy — способно расшифровывать HTTPS-трафик и снижать нагрузку на сетевые каналы благодаря URL-фильтрации. Главная задача программных продуктов этого класса - управление доступом пользователей в интернет и обеспечение защиты от киберугроз. Таким образом, расшифрованный трафик обрабатывается антивирусным модулем и модулем контентной фильтрации, а также используется для контроля над приложениями и журналирования действий пользователей в сети.
Solar webProxy устанавливается в качестве промежуточного звена в сетевой инфраструктуре, позволяя контролировать все данные, перемещающиеся между сотрудниками компании, внутренними ресурсами организации и внешними веб-ресурсами. В процессе маршрутизации и фильтрации трафика происходит проверка формата, кодировки, содержимого и заголовков пакетов данных. При необходимости к проверке данных подключаются встроенные в Solar webProxy антивирусные инструменты и защитные механизмы, использующие протокол ICAP. Таким образом, Solar webProxy расшифровывает HTTPS-трафик, определяет с какого ресурса он пришел, анализирует его на наличие вредоносного программного обеспечения и конфиденциальных данных, контролирует доступ удаленного персонала к внутренним ресурсам организации и передает трафик дальше по цепочке защитных мер для более детального анализа.
Для полноценной инспекции веб-трафика используются устройства класса Next-Generation Firewall (NGFW), способные анализировать расшифрованный трафик ещё и с помощью механизмов IPS, DPI и других. Примером такого продукта является Solar NGFW. Для оптимизации производительности возможна интеграция двух продуктов, при которой вычислительные мощности Solar webProxy расшифровывают HTTPS-трафик и передают его на анализ вычислительным мощностям Solar NGFW.