Risorse > Glossario dei termini sulla sicurezza > Che cos'è la decriptazione SSL?

Che cos'è la decriptazione SSL?

Definizione di decriptazione SSL

Nell'ambito di una procedura di ispezione SSL completa, la decriptazione SSL è il processo di scomposizione del traffico criptato per verificare la presenza di eventuali minacce informatiche. Si tratta di una funzionalità fondamentale per la sicurezza di rete delle organizzazioni moderne, poiché la stragrande maggioranza del traffico web è ormai criptata, e secondo alcuni analisti della sicurezza informatica, oggi il 90% dei malware è in grado di nascondersi nei canali criptati.

Con la diffusione del cloud e delle applicazioni SaaS, è sempre più probabile che un determinato file o una stringa di dati prima o poi passino attraverso Internet. Se i dati sono riservati o sensibili, possono costituire un bersaglio. La crittografia, quindi, è essenziale per mantenere al sicuro persone e dati. Ecco perché oggi la maggior parte dei browser, dei siti web e delle app cloud cripta i dati in uscita e li scambia tramite connessioni criptate.

Ovviamente, se i dati sensibili possono utilizzare la crittografia per nascondersi, la stessa strategia può essere impiegata dalle minacce. Per questo motivo è essenziale poter fare affidamento su una decriptazione SSL efficace che consenta all'organizzazione di ispezionare completamente i contenuti del traffico criptato prima di bloccarlo o di criptarlo nuovamente in modo che possa continuare il suo percorso.

 

SSL e TLS a confronto

Facciamo un po' di chiarezza. Il Secure Sockets Layer (SSL) e il Transport Layer Security (TLS) sono entrambi protocolli crittografici che regolano la crittografia e la trasmissione dei dati tra due punti. Ma qual è la differenza fra i due?

L'ormai defunta Netscape ha sviluppato il protocollo SSL a metà degli anni '90, e ha rilasciato SSL 3.0 alla fine del 1996. Il TLS 1.0, basato su una versione migliorata dell'SSL 3.0, è nato nel 1999. Il TLS 1.3, rilasciato dall'Internet Engineering Task Force (IETF) nel 2018, è la versione più recente e sicura di questo protocollo. L'SSL non viene più sviluppato o supportato dal 2015, e l'IETF ha dichiarato deprecate tutte le versioni dell'SSL, a causa delle vulnerabilità (ad esempio, agli attacchi di tipo "man in the middle") e della mancanza di funzioni di sicurezza critiche.

Nonostante ciò, e nonostante i cambiamenti che si sono succeduti nei decenni, al di fuori del senso strettamente tecnico del termine, la maggior parte delle persone continua a usare "SSL" per riferirsi a tutti i protocolli crittografici. In altre parole, quando leggi SSL, TLS, SSL/TLS, HTTPS e così via, nella maggior parte dei casi ci si sta riferendo alla stessa cosa. Ai fini di questo articolo, faremo i dovuti chiarimenti quando necessario.

I vantaggi della decriptazione SSL

L'implementazione della decriptazione e dell'ispezione SSL consente alle organizzazioni di proteggere utenti finali, clienti e dati, perché offre la possibilità di:

  • Prevenire le violazioni dei dati, individuando i malware nascosti e impedendo agli hacker di eludere le difese.
  • Vedere e sapere cosa viene inviato dai dipendenti al di fuori dell'organizzazione, intenzionalmente o accidentalmente.
  • Soddisfare i requisiti di conformità alle normative, garantendo che i dipendenti non mettano a rischio i dati riservati.
  • Supportare una strategia di difesa multilivello che preservi la sicurezza dell'intera organizzazione.

Tra gennaio e settembre del 2021, Zscaler ha bloccato 20,7 miliardi di minacce sul canale HTTPS, un aumento di oltre il 314% rispetto ai 6,6 miliardi di minacce bloccate nel 2020, a loro volta aumentate di quasi il 260% rispetto all'anno precedente.

ThreatLabz: lo stato degli attacchi criptati nel 2021

Perché la decriptazione SSL è fondamentale

Nonostante l'aumento dell'utilizzo della crittografia, molte organizzazioni continuano a ispezionare solo una parte del loro traffico SSL/TLS, e consentono al traffico proveniente dalle reti CDN e da alcuni siti "attendibili" di passare inosservato. Questo può rivelarsi rischioso, perché le pagine web possono cambiare molto facilmente. Esse vengono fornite dinamicamente e possono attingere da più fonti per consentire la visualizzazione di centinaia di oggetti, ognuno dei quali può rappresentare una minaccia e deve essere considerato non attendibile, indipendentemente dalla sua fonte.

Anche i creatori di malware utilizzano sempre più frequentemente la crittografia per nascondere i propri exploit. Oggi sono attive oltre 100 autorità di certificazione, e ottenere un certificato SSL valido è facile ed economico. In qualsiasi momento, circa il 70% del traffico elaborato dal cloud Zscaler è criptato, e questo fa capire l'importanza della capacità di decriptare il traffico SSL.

Perché allora questa pratica non è adottata da tutti? Semplicemente perché sono necessarie moltissime risorse di calcolo per decriptare, ispezionare e ricodificare il traffico SSL e, senza la giusta tecnologia, le prestazioni di rete possono risentirne in modo devastante. La maggior parte delle aziende non può permettersi di bloccare l'attività e i flussi di lavoro, quindi non ha altra scelta se non quella di bypassare l'ispezione con apparecchi fisici che non sarebbero comunque in grado di gestirla.
 

Come funziona la decriptazione SSL

Esistono diversi approcci alla decriptazione e all'ispezione SSL. Esaminiamo quelli più comuni e le considerazioni principali per ciascuno di essi.

Metodo di ispezione SSL

Modalità TAP (Terminal Access Point)

Firewall di nuova generazione (NGFW)

Proxy

Come funziona

Un semplice dispositivo hardware copia tutto il traffico di rete per l'analisi offline, inclusa l'ispezione SSL.

Le connessioni di rete passano attraverso un NGFW con una visibilità solo a livello di pacchetto, che limita il rilevamento delle minacce.

Vengono create due diverse connessioni tra client e server, e vi è un'ispezione completa nel flusso di rete e nella sessione.

Impatto dell'ispezione SSL

È necessario un hardware costoso (ad esempio, TAP di rete 10G) per garantire che tutto il traffico venga copiato alla massima velocità della linea senza la perdita di dati.

Gli NGFW vedono solo una frazione dei malware, i quali possono essere consegnati se vengono scomposti in più parti. Richiedono funzionalità proxy supplementari e forniscono prestazioni scadenti quando sono abilitate funzionalità chiave, come la prevenzione delle minacce.

Interi oggetti possono essere riassemblati e scansionati, consentendo la scansione da parte di ulteriori motori di rilevamento delle minacce, come sandbox e DLP.

Impatto dopo l'adozione del TLS 1.3

L'ispezione SSL retrospettiva non funziona più, a causa del "perfect forward secrecy", che richiede nuove chiavi per ogni sessione SSL.

Le prestazioni diminuiscono considerevolmente, a causa dei requisiti più elevati in termini di prestazioni e scalabilità della crittografia TLS 1.3, che per funzionare richiede un aggiornamento hardware.

Nel caso di un proxy cloud fornito come servizio, per soddisfare le esigenze di prestazioni e scalabilità del TLS 1.3, non è necessario alcun aggiornamento degli apparecchi fisici da parte del cliente.

Le best practice della decriptazione SSL

La necessità di implementare una funzione di decriptazione e ispezione del traffico SSL per proteggere le organizzazioni è ormai evidente. Detto questo, quando si distribuisce l'ispezione SSL, sono molte le cose importanti da considerare, alcune più tecniche rispetto ad altre:

  • Parti da una piccola posizione o un laboratorio di prova, assicurati che il team impari a conoscere questa funzionalità e che la stessa funzioni come previsto, prima di abilitarla in modo più ampio.
  • Per ridurre le operazioni di risoluzione dei problemi, considera la possibilità di aggiornare le notifiche agli utenti finali per informarli della nuova policy di ispezione SSL.
  • (Facoltativo) Durante la definizione delle policy di ispezione SSL, crea un elenco di URL e categorie di URL, app cloud e categorie di app cloud per le quali le transazioni SSL non verranno decriptate.
  • All'inizio, abilita l'ispezione solo per le categorie rischiose, come contenuti per adulti e gioco d'azzardo, o per ciò che presenta dei rischi a livello di privacy o responsabilità legale. In seguito, quando vorrai e quando sarà tutto pronto, attiva l'ispezione per tutte le categorie di URL, a eccezione dell'ambito finanziario e sanitario, per non incorrere in problematiche relative alla privacy.
  • Prendi nota delle applicazioni utilizzate dall'organizzazione che utilizzano il pinning dei certificati, che accettano solo uno specifico certificato client. Queste applicazioni potrebbero non funzionare con l'ispezione SSL, quindi è necessario includerle nell'elenco delle applicazioni da non decriptare.
  • Abilita l'autenticazione utente e consenti al servizio di ispezione SSL di applicare le policy relative all'utente.

Quali sono le implicazioni dell'ispezione SSL per la privacy?

La decriptazione e l'ispezione SSL possono migliorare drasticamente l'igiene digitale, ma l'operazione potrebbe rivelarsi più complessa del previsto. A seconda del settore, della regione, delle leggi e delle normative a cui si è soggetti, si potrebbe avere a che fare con del traffico che non dovrebbe essere decriptato, come i dati medici o finanziari. In questo caso, sarà necessario configurare dei filtri e delle policy per mantenere private queste connessioni.

Al di là delle preoccupazioni relative alle leggi e alle normative, l'organizzazione dovrebbe generalmente ispezionare quanto più traffico SSL possibile, per ridurre i rischi e proteggere utenti e dati.

Zscaler e la decriptazione SSL

La piattaforma Zero Trust Exchange™ di Zscaler consente di eseguire un'ispezione SSL completa su vasta scala, senza latenza o limiti di capacità. Abbinando l'ispezione SSL al nostro set completo di soluzioni di sicurezza fornito come servizio cloud, puoi ottenere una protezione di livello superiore, senza i vincoli degli apparecchi fisici.

Capacità illimitata
Ispeziona tutto il traffico SSL degli utenti, dentro o fuori dalla rete, con un servizio scalabile in modo elastico per soddisfare le esigenze del traffico.

Amministrazione ottimizzata
Non trovarti più a gestire i certificati individualmente su ogni gateway. I certificati caricati sul cloud Zscaler sono immediatamente disponibili negli oltre 150 data center di Zscaler diffusi in tutto il mondo.

Controllo granulare delle policy
Garantisci la conformità con la flessibilità necessaria per escludere il traffico criptato degli utenti per categorie di siti sensibili, come il settore sanitario o bancario.

Protezione e sicurezza
Sfrutta il supporto delle più recenti suite di cifratura AES/GCM e DHE e ottieni il PFS (Perfect Forward Secrecy). I dati degli utenti non vengono mai archiviati nel cloud.

Gestione semplificata dei certificati
Utilizza i nostri certificati o quelli proprietari e sfrutta la nostra API per ruotarli facilmente secondo necessità.

 

Vuoi saperne di più su come ispezionare il traffico criptato senza limitazioni e apparecchi costosi? Scopri come Zscaler SSL Inspection può aiutarti.

Risorse aggiuntive

Per ulteriori informazioni sulla decriptazione e sull'ispezione SSL, consulta queste risorse: