Concerned about recent PAN-OS and other firewall/VPN CVEs? Take advantage of Zscaler’s special offer today

Read more
Zpedia / Che cos'è la decriptazione SSL?

Che cos'è la decriptazione SSL?

Nell'ambito di una procedura di ispezione SSL completa, la decriptazione SSL consiste nel processo di scomposizione del traffico criptato per verificare la presenza di eventuali minacce informatiche. Si tratta di una funzionalità fondamentale per la sicurezza della rete delle organizzazioni moderne, perché la stragrande maggioranza del traffico web è ormai criptata, e secondo alcuni analisti della sicurezza informatica, oggi il 90% dei malware si nasconde proprio nei canali criptati.

Report: Gli ultimi dati sugli attacchi criptati

Perché la decriptazione SSL è importante?

Con la diffusione del cloud e delle applicazioni SaaS, è sempre più probabile che un determinato file o una stringa di dati prima o poi passino attraverso Internet. Se i dati sono riservati o sensibili, possono costituire un bersaglio. La crittografia, quindi, è essenziale per mantenere al sicuro persone e dati. Ecco perché oggi la maggior parte dei browser, dei siti web e delle app cloud cripta i dati in uscita e li scambia tramite connessioni criptate.

Ovviamente, se i dati sensibili possono utilizzare la crittografia per nascondersi, la stessa strategia può essere impiegata dalle minacce. Per questo motivo è essenziale poter fare affidamento su una decriptazione SSL efficace che consenta all'organizzazione di ispezionare completamente i contenuti del traffico criptato prima di bloccarlo o di criptarlo nuovamente in modo che possa continuare il suo percorso.

SSL e TLS a confronto

Facciamo un po' di chiarezza. Il Secure Sockets Layer (SSL) e il Transport Layer Security (TLS) sono entrambi protocolli crittografici che regolano la crittografia e la trasmissione dei dati tra due punti. Ma qual è la differenza fra i due?

L'ormai defunta Netscape ha sviluppato il protocollo SSL a metà degli anni '90 e ha rilasciato l'SSL 3.0 alla fine del 1996. Il TLS 1.0, basato su una versione migliorata dell'SSL 3.0, è nato nel 1999. Il TLS 1.3, rilasciato dall'Internet Engineering Task Force (IETF) nel 2018, è la versione più recente e sicura di questo protocollo. L'SSL non viene più sviluppato o supportato dal 2015, e l'IETF ha dichiarato deprecate tutte le versioni dell'SSL, a causa delle vulnerabilità (ad esempio agli attacchi di tipo "man in the middle") e della mancanza di funzioni di sicurezza critiche.

Nonostante ciò, e nonostante i cambiamenti che si sono succeduti nei decenni, al di fuori del senso strettamente tecnico del termine, la maggior parte delle persone continua a usare "SSL" per riferirsi a tutti i protocolli crittografici. In altre parole, quando leggi SSL, TLS, SSL/TLS, HTTPS e così via, nella maggior parte dei casi ci si sta riferendo alla stessa cosa. Ai fini di questo articolo, faremo i dovuti chiarimenti quando necessario.

I vantaggi della decriptazione SSL

L'implementazione della decriptazione e dell'ispezione SSL consente alle organizzazioni di proteggere utenti finali, clienti e dati, perché offre la possibilità di:

  • Prevenire le violazioni dei dati, individuando i malware nascosti e impedendo agli hacker di eludere le difese.
  • Vedere e sapere cosa viene inviato dai dipendenti al di fuori dell'organizzazione, intenzionalmente o accidentalmente.
  • Soddisfare i requisiti di conformità alle normative, garantendo che i dipendenti non mettano a rischio i dati riservati.
  • Supportare una strategia di difesa multilivello che preservi la sicurezza dell'intera organizzazione.

Tra ottobre del 2022 e settembre del 2023, il cloud Zscaler ha bloccato 29,8 miliardi di attacchi nascosti nel traffico cifrato (SSL/TLS). Questa percentuale è incrementata del 24,3% rispetto al 2022, anno in cui si era già registrato un aumento del 20% rispetto all'anno precedente.

Zscaler ThreatLabZ

Perché la decriptazione SSL è fondamentale

Nonostante l'aumento dell'utilizzo della crittografia, molte organizzazioni continuano a ispezionare solo una parte del loro traffico SSL/TLS, e consentono al traffico proveniente dalle reti CDN e da alcuni siti "attendibili" di passare inosservato. Questo può essere rischioso perché:

  • Le pagine web possono cambiare facilmente. Alcune possono attingere da più fonti per mostrare centinaia di oggetti, ognuno dei quali può rappresentare una minaccia e deve essere considerato non attendibile, indipendentemente dalla relativa fonte.
  • I creatori di malware spesso utilizzano la crittografia per nascondere i loro exploit. Oggi sono attive oltre 100 autorità di certificazione in tutto il mondo, e ottenere un certificato SSL valido è facile ed economico.
  • La maggior parte del traffico è criptata. In qualsiasi momento, circa il 70% del traffico elaborato dal cloud Zscaler è criptato, e questo fa capire l'importanza della capacità di decriptare il traffico SSL.

E allora perché questa pratica non è adottata da tutti? Semplicemente perché sono necessarie moltissime risorse di calcolo per decriptare, ispezionare e ricodificare il traffico SSL e, senza la giusta tecnologia, le prestazioni di rete possono risentirne in modo devastante. La maggior parte delle aziende non può permettersi di bloccare l'attività e i flussi di lavoro, quindi non ha altra scelta se non quella di bypassare l'ispezione attraverso apparecchi fisici che non sarebbero comunque in grado di gestirla.

Come funziona la decriptazione SSL

Esistono diversi approcci alla decriptazione e all'ispezione SSL. Esaminiamo quelli più comuni e le considerazioni principali per ciascuno di essi.

Metodo di ispezione SSL

1

  • Modalità TAP (Terminal Access Point)

    Un semplice dispositivo hardware copia tutto il traffico di rete per l'analisi offline, inclusa l'ispezione SSL.

  • Firewall di nuova generazione (NGFW)

    Le connessioni di rete passano attraverso un NGFW con una visibilità solo a livello di pacchetto, che limita il rilevamento delle minacce.

  • Proxy

    Vengono create due diverse connessioni tra client e server, e vi è un'ispezione completa nel flusso di rete e nella sessione.

2

  • Modalità TAP (Terminal Access Point)

    È necessario un hardware costoso (ad esempio, TAP di rete 10G) per garantire che tutto il traffico venga copiato alla massima velocità della linea senza la perdita di dati.

  • Firewall di nuova generazione (NGFW)

    Gli NGFW vedono solo una frazione dei malware, i quali possono essere consegnati se vengono scomposti in più parti. Richiedono funzionalità proxy supplementari e forniscono prestazioni scadenti quando sono abilitate funzionalità chiave, come la prevenzione delle minacce.

  • Proxy

    Interi oggetti possono essere riassemblati e scansionati, consentendo la scansione da parte di ulteriori motori di rilevamento delle minacce, come sandbox e DLP.

3

  • Modalità TAP (Terminal Access Point)

    L'ispezione SSL retrospettiva non funziona più, a causa del "perfect forward secrecy", che richiede nuove chiavi per ogni sessione SSL.

  • Firewall di nuova generazione (NGFW)

    Le prestazioni diminuiscono considerevolmente, a causa dei requisiti più elevati in termini di prestazioni e scalabilità della crittografia TLS 1.3, che per funzionare richiede un aggiornamento hardware.

  • Proxy

    Nel caso di un proxy cloud fornito come servizio, per soddisfare le esigenze di prestazioni e scalabilità del TLS 1.3, non è necessario alcun aggiornamento degli apparecchi fisici da parte del cliente.

Le best practice della decriptazione SSL

La necessità di implementare una funzione di decriptazione e ispezione del traffico SSL per proteggere le organizzazioni è ormai evidente. Detto questo, quando si distribuisce l'ispezione SSL, sono molte le cose importanti da considerare, alcune più tecniche rispetto ad altre:

  • Parti da una piccola posizione o un laboratorio di prova, assicurati che il team impari a conoscere questa funzionalità e che la stessa funzioni come previsto, prima di abilitarla in modo più ampio.
  • Per ridurre le operazioni di risoluzione dei problemi, considera la possibilità di aggiornare le notifiche agli utenti finali per informarli della nuova policy di ispezione SSL.
  • (Facoltativo) Durante la definizione delle policy di ispezione SSL, crea un elenco di URL e categorie di URL, app cloud e categorie di app cloud per le quali le transazioni SSL non verranno decriptate.
  • All'inizio, abilita l'ispezione solo per le categorie rischiose, come contenuti per adulti e gioco d'azzardo, o per ciò che presenta dei rischi a livello di privacy o responsabilità legale. In seguito, quando vorrai e quando sarà tutto pronto, attiva l'ispezione per tutte le categorie di URL, a eccezione dell'ambito finanziario e sanitario, per non incorrere in problematiche relative alla privacy.
  • Prendi nota delle applicazioni utilizzate dall'organizzazione che utilizzano il pinning dei certificati, che accettano solo uno specifico certificato client. Queste applicazioni potrebbero non funzionare con l'ispezione SSL, quindi è necessario includerle nell'elenco delle applicazioni da non decriptare.
  • Abilita l'autenticazione utente e consenti al servizio di ispezione SSL di applicare le policy relative all'utente.

Quali sono le implicazioni dell'ispezione SSL per la privacy?

La decriptazione e l'ispezione SSL possono migliorare drasticamente l'igiene digitale, ma l'operazione potrebbe rivelarsi più complessa del previsto. A seconda del settore, della regione, delle leggi e delle normative a cui si è soggetti, si potrebbe avere a che fare con del traffico che non dovrebbe essere decriptato, come i dati medici o finanziari. In questo caso, sarà necessario configurare dei filtri e delle policy per mantenere private queste connessioni.

Al di là delle preoccupazioni relative alle leggi e alle normative, l'organizzazione dovrebbe generalmente ispezionare quanto più traffico SSL possibile, per ridurre i rischi e proteggere utenti e dati.

Zscaler e la decriptazione SSL

La piattaforma Zero Trust Exchange™ di Zscaler consente di eseguire un'ispezione SSL completa su vasta scala, senza latenza o limiti di capacità. Abbinando l'ispezione SSL al nostro set completo di soluzioni di sicurezza fornito come servizio cloud, puoi ottenere una protezione di livello superiore, senza i vincoli degli apparecchi fisici.

Capacità illimitata

Ispeziona tutto il traffico SSL degli utenti, dentro o fuori dalla rete, con un servizio scalabile in modo elastico che si adatta al volume del traffico.

Amministrazione più snella

Non gestire più i certificati individualmente su tutti i gateway. I certificati caricati sul cloud Zscaler sono immediatamente disponibili negli oltre 150 data center di Zscaler distribuiti in tutto il mondo.

Controllo granulare delle policy

Garantisci la conformità e ottieni la flessibilità necessaria per escludere il traffico criptato degli utenti per determinate categorie sensibili, come i siti web del settore sanitario o bancario.

Sicurezza e protezione

Usufruisci del supporto delle più recenti suite di cifratura AES/GCM e DHE, e ottieni un ulteriore livello di protezione con la perfect forward secrecy. I dati degli utenti non vengono mai archiviati nel cloud.

Gestione semplificata dei certificati

Puoi utilizzare i nostri certificati o quelli dell'azienda. Usa la nostra API per ruotarli facilmente in base alle tue esigenze.

Vuoi saperne di più su come ispezionare il traffico criptato senza limitazioni e apparecchi costosi? Scopri come Zscaler SSL Inspection può aiutarti.

Risorse Suggerite