A criptografia pode impedir que atores mal-intencionados espionem dados críticos, mas também pode permitir que eles ocultem atividades maliciosas dos defensores da rede. É por isso que a LiveAction, uma empresa de visão da web, lançou o ThreatEye NV – uma plataforma que oferece às equipes de SecOps ferramentas poderosas para procurar ameaças e anomalias no tráfego criptografado. “Em 2014, cerca de 30% do tráfego era criptografado. Agora está entre 80% e 90%. Até o final de 2025, será quase todo o tráfego”, diz Thomas Bohr, Diretor de Marketing de Produto da LiveAction. Este é um problema para o Network Defender. Se você não conseguir identificar esses túneis e conexões criptografados, como poderá identificar as ameaças? “.

Ed Cabrera, especialista sênior em segurança cibernética da Trend Micro, acrescenta: “O tráfego criptografado oferece aos cibercriminosos mais oportunidades para forjar ou gerar certificados SSL/TLS legítimos para sites de phishing, entregar malware usando servidores C2 criptografados e extrair dados roubados usando criptografia assimétrica e simétrica .

Confira também:

ThreatEye pode analisar mais de 150 atributos e comportamentos de um pacote

A LiveAction explica em um comunicado à imprensa que o ThreatEye usa análise profunda de pacotes para eliminar a necessidade de descriptografar o tráfego de rede e verificar se há cargas maliciosas. A plataforma pode analisar mais de 150 atributos e comportamentos de um pacote em ambientes de rede de vários fornecedores, vários domínios e várias nuvens. Isso ajuda a acelerar a detecção de ameaças em tempo real, eliminar a cegueira criptográfica, verificar a conformidade criptográfica e permitir que as equipes protejam melhor toda a rede e coordenem respostas com outras ferramentas de segurança, como SIEM e SOAR, acrescenta a empresa.

Outros benefícios da plataforma incluem:

• Detecção em tempo real de ameaças e anomalias

• Elimine a cegueira de criptografia sem a necessidade de descriptografia ou degradação de desempenho

• Implementação simples em um modelo SaaS com sensores de software que podem ser implantados sempre que a visibilidade for necessária

• Suporte SOC incluindo painéis para aumentar a eficiência de resposta.

• Aproveite os modelos de aprendizado de máquina desenvolvidos especificamente para casos de uso específicos de segurança e visibilidade.

91,5% do malware detectado e bloqueado veio de tráfego criptografado

“A criptografia da Web e a criptografia em geral são coisas boas”, diz Cory Publisher, CEO da Watchguard, uma empresa de segurança de rede em Seattle, Washington. , o tráfego é descriptografado. Ele verifica, recodifica e o envia em seu caminho. No entanto, este método não parece ser muito popular. Nachreiner admite que apenas cerca de 20% dos clientes Watchguard usam esse recurso porque a configuração exige algum esforço por parte do administrador.

No entanto, o esforço envolvido na preparação deste processo tem algumas vantagens significativas. Nachreiner observa que, em organizações que usam descriptografia, 91,5% dos malwares detectados e bloqueados vieram de tráfego criptografado.

Análise de tráfego criptografado no futuro para melhorar a situação de segurança

“Os analistas de segurança não podem confiar apenas nas mensagens de log do sistema para identificar desafios. Precisamos aproveitar o aprendizado de máquina e identificar o tráfego de rede e esses padrões avançados de ataque”, diz Bohr, acrescentando que a criptografia continuará a melhorar, dificultando a cegueira da criptografia e caro para Para soluções que dependem de decodificação e recodificação de dados. Ele acredita que “não haverá uma visão clara em futuras versões de criptografia”. “Será um grande problema para os defensores. É por isso que a análise do tráfego criptografado será uma ferramenta futura para aumentar a segurança da organização.”

Fonte: CSO