Шифрование может помешать злоумышленникам отслеживать важные данные, но также может позволить им скрыть вредоносную активность от сетевых защитников. Вот почему LiveAction, компания, занимающаяся веб-видением, запустила ThreatEye NV — платформу, которая предоставляет группам SecOps мощные инструменты для поиска угроз и аномалий в зашифрованном трафике. «В 2014 году около 30% трафика было зашифровано. Сейчас этот показатель составляет от 80% до 90%. К концу 2025 года это будет почти весь трафик», — говорит Томас Бор, директор по маркетингу продуктов LiveAction. Это проблема Network Defender. Если вы не можете идентифицировать эти зашифрованные туннели и соединения, как вы можете идентифицировать угрозы? «.

Эд Кабрера, старший специалист по кибербезопасности в Trend Micro, добавляет: «Зашифрованный трафик дает киберпреступникам больше возможностей подделывать или генерировать законные сертификаты SSL/TLS для фишинговых сайтов, доставлять вредоносное ПО с помощью зашифрованных серверов C2 и извлекать украденные данные с помощью асимметричного и симметричного шифрования. .

Проверьте также:

ThreatEye может анализировать более 150 атрибутов и поведения пакета.

В пресс-релизе LiveAction поясняется, что ThreatEye использует глубокий анализ пакетов, чтобы исключить необходимость расшифровывать сетевой трафик и проверять наличие вредоносной полезной нагрузки. Платформа может анализировать более 150 атрибутов и поведения пакета в мультивендорных, мультидоменных и мультиоблачных сетевых средах. Это помогает ускорить обнаружение угроз в режиме реального времени, устранить криптослепоту, проверить соответствие криптографии и позволяет командам лучше защитить всю сеть и координировать ответы с другими инструментами безопасности, такими как SIEM и SOAR, добавляет компания.

К другим преимуществам платформы относятся:

• Обнаружение угроз и аномалий в реальном времени

• Устранение слепоты шифрования без необходимости расшифровки или снижения производительности.

• Простая реализация в модели SaaS с программными датчиками, которые можно развернуть везде, где требуется прозрачность.

• Поддержка SOC, включая информационные панели, для повышения эффективности реагирования.

• Используйте модели машинного обучения, специально разработанные для конкретных сценариев использования в области безопасности и видимости.

91,5% обнаруженных и заблокированных вредоносных программ пришли из зашифрованного трафика

«Веб-шифрование и шифрование в целом — это хорошие вещи, — говорит Кори Паблишер, генеральный директор Watchguard, компании, занимающейся сетевой безопасностью, в Сиэтле, штат Вашингтон. — Они служат важной бизнес-цели, о которой мы все заботимся». , трафик расшифровывается, сканируется, перекодируется и отправляется в путь. Однако этот метод, похоже, не очень популярен. Нахрайнер признает, что только около 20% клиентов Watchguard используют эту функцию, потому что настройка требует определенных усилий со стороны администратора.

Однако усилия, затраченные на подготовку этого процесса, имеют ряд существенных преимуществ. Нахрайнер отмечает, что в организациях, использующих расшифровку, 91,5% обнаруженных и заблокированных вредоносных программ были получены из зашифрованного трафика.

Анализ зашифрованного трафика в будущем для повышения безопасности

«Аналитики безопасности не могут полагаться исключительно на сообщения системного журнала для выявления проблем. Нам нужно использовать преимущества машинного обучения и выявлять сетевой трафик и эти продвинутые шаблоны атак», — говорит Бор, добавляя, что шифрование будет продолжать улучшаться, что усложнит слепоту шифрования и дорого для решений, основанных на декодировании и перекодировании данных. Он считает, что «в будущих версиях шифрования не будет ясного видения». «Это будет огромной проблемой для защитников. Вот почему анализ зашифрованного трафика станет инструментом будущего для повышения безопасности организации».

Источник: ОГО