Concerned about recent PAN-OS and other firewall/VPN CVEs? Take advantage of Zscaler’s special offer today

Learn More
Zpedia / Che cos'è l'ispezione SSL?

Che cos'è l'ispezione SSL?

L'ispezione SSL è il processo attraverso cui la comunicazione Internet cifrata con SSL viene intercettata e verificata tra client e server. L'ispezione del traffico SSL è ormai di vitale importanza, perché la stragrande maggioranza del traffico Internet è cifrata con questo protocollo, inclusi i contenuti dannosi.

Affronta le problematiche legate all'ispezione SSL

Perché l'ispezione SSL è importante?

Le app SaaS e cloud sono sempre più diffuse, e la quantità e la frequenza maggiore con cui i dati attraversano Internet espone questi ultimi a rischi più significativi. La crittografia è quindi un elemento essenziale per proteggere i dati riservati e sensibili. Ecco perché oggi la maggior parte dei browser, dei server web e delle app cloud cifra i dati in uscita e li scambia tramite connessioni HTTPS.

Purtroppo, allo stesso modo in cui i dati sensibili possono nascondersi nel traffico HTTPS, la stessa strategia può essere impiegata anche dalle minacce. Per questo motivo è essenziale poter fare affidamento su un'ispezione SSL efficace, che consenta all'organizzazione di ispezionare completamente i contenuti del traffico cifrato prima di bloccarlo o di cifrarlo nuovamente, in modo che possa proseguire il suo percorso.

Tra ottobre del 2022 e settembre del 2023, il cloud Zscaler ha bloccato 29,8 miliardi di attacchi nascosti nel traffico cifrato (SSL/TLS). Questa percentuale è incrementata del 24,3% rispetto al 2022, anno in cui si era già registrato un aumento del 20% rispetto all'anno precedente.

Zscaler ThreatLabZ

SSL e TLS a confronto

Facciamo un po' di chiarezza. Il Secure Sockets Layer (SSL) e il Transport Layer Security (TLS) sono entrambi protocolli crittografici che regolano la crittografia e la trasmissione dei dati tra due punti. Ma qual è la differenza fra i due?

L'ormai defunta Netscape ha sviluppato il protocollo SSL a metà degli anni '90, e ha rilasciato SSL 3.0 alla fine del 1996. Il TLS 1.0, basato su una versione migliorata dell'SSL 3.0, è nato nel 1999. Il TLS 1.3, rilasciato dall'Internet Engineering Task Force (IETF) nel 2018, è la versione più recente e sicura di questo protocollo. L'SSL non viene più sviluppato o supportato dal 2015, e l'IETF ha dichiarato deprecate tutte le versioni dell'SSL, a causa delle vulnerabilità (ad esempio, agli attacchi di tipo "man in the middle") e della mancanza di funzioni di sicurezza critiche.

Nonostante ciò, e nonostante i cambiamenti che si sono succeduti nei decenni, al di fuori del senso strettamente tecnico del termine, la maggior parte delle persone continua a usare "SSL" per riferirsi a tutti i protocolli crittografici. In altre parole, quando leggi SSL, TLS, SSL/TLS, HTTPS e così via, nella maggior parte dei casi ci si sta riferendo alla stessa cosa. Ai fini di questo articolo, faremo i dovuti chiarimenti quando necessario.

I vantaggi dell'ispezione SSL

L'implementazione dell'ispezione SSL aiuta le organizzazioni moderne a mantenere al sicuro gli utenti finali, i clienti e i dati, grazie alla capacità di:

  • Prevenire le violazioni dei dati, individuando i malware nascosti e impedendo agli hacker di eludere le difese.
  • Vedere e sapere cosa viene inviato dai dipendenti al di fuori dell'organizzazione, intenzionalmente o accidentalmente.
  • Soddisfare i requisiti di conformità alle normative, garantendo che i dipendenti non mettano a rischio i dati riservati.
  • Supportare una strategia di difesa multilivello che preservi la sicurezza dell'intera organizzazione.

La necessità dell'ispezione SSL

L'ispezione SSL rappresenta una funzionalità fondamentale per la sicurezza della rete delle organizzazioni moderne, perché oggi la stragrande maggioranza del traffico web è cifrata, e secondo quanto stimato da alcuni analisti della sicurezza informatica, attualmente oltre il 90% dei malware è in grado di nascondersi nei canali cifrati.

Nonostante l'aumento dell'uso della crittografia, molte aziende continuano a eseguire l'ispezione SSL/TLS solo su una parte del traffico, lasciando che quello proveniente da alcune fonti "attendibili" non venga ispezionato. Dato che Internet è in grado di mutare molto rapidamente, questa tendenza può essere rischiosa. I siti web, ad esempio, vengono erogati in modo dinamico, e possono attingere da più fonti per mostrare agli utenti centinaia di oggetti, ognuno dei quali può rappresentare potenzialmente una minaccia.

Allo stesso tempo, i creatori di malware utilizzano sempre più frequentemente la crittografia per nascondere i propri exploit. Con oltre 100 autorità in grado di emettere certificati SSL in tutto il mondo, ottenere un certificato valido è facile ed economico. In qualsiasi momento, circa il 70% del traffico elaborato dal cloud Zscaler è cifrato, e questo fa capire l'importanza della capacità di decifrare il traffico SSL.

E allora perché questa pratica non è adottata da tutti? Semplicemente perché servono moltissime risorse di calcolo per decriptare, ispezionare e ricodificare il traffico SSL, e senza la giusta tecnologia, l'impatto sulle prestazioni di rete potrebbe essere devastante. La maggior parte delle aziende non può permettersi di bloccare l'attività e i flussi di lavoro, e non ha altra scelta se non quella di bypassare l'ispezione HTTPS fornita da apparecchi fisici che non sono in grado di adattarsi alle esigenze di elaborazione.

La crittografia e le minacce moderne

Nel corso degli ultimi anni, la preoccupazione per la privacy dei dati è aumentata, e c'è stata una forte tendenza a criptare i dati per impostazione predefinita. Questo è ottimo per la privacy, ma i requisiti tecnici, e in molti casi i prezzi dell'hardware necessario, sono troppo elevati per molte organizzazioni. Di conseguenza, queste ultime non sono attrezzate per ispezionare il traffico criptato su larga scala.

Gli aggressori lo sanno molto bene, ed è per questo che le minacce basate sull'SSL sono in aumento. Sebbene gli hacker abbiano trovato molti modi per infiltrarsi nei sistemi e rubare i dati, la violazione della cifratura continua a essere difficile, richiede tempo, ed è inefficiente. Gli utenti malintenzionati hanno invece a iniziato a utilizzare questa tecnologia per inviare contenuti dannosi, nascondere malware ed eseguire attacchi senza essere rilevati.

Per anni, il simbolo di un lucchetto vicino all'indirizzo URL di un sito web ne ha indicato la sicurezza, ma oggi non rappresenta più una garanzia. Il traffico che si sposta attraverso i canali cifrati non dovrebbe essere considerato attendibile semplicemente in virtù di un certificato digitale. Il protocollo SSL, un tempo considerato la massima protezione per i dati trasmessi su Internet, è ormai diventato il principale terreno di gioco dei criminali informatici, che lo scelgono per raggiungere i propri obiettivi malevoli.

A giugno 2020, il 96% delle pagine su Google Chrome negli U.S.A. è stato caricato utilizzando la crittografia (HTTPS).

Rapporto sulla trasparenza di Google

Come funziona l'ispezione SSL

Esistono diversi approcci alla decriptazione e all'ispezione SSL. Esaminiamo quelli più comuni e le considerazioni principali per ciascuno di essi.

Metodo di ispezione SSL

Come funziona

  • Firewall di nuova generazione (NGFW)

    Le connessioni di rete passano attraverso un NGFW con una visibilità solo a livello di pacchetto, che limita il rilevamento delle minacce.

  • Proxy

    Vengono create due diverse connessioni tra client e server, e vi è un'ispezione completa nel flusso di rete e nella sessione.

Impatto dell'ispezione SSL

  • Firewall di nuova generazione (NGFW)

    Gli NGFW vedono solo una frazione dei malware, i quali possono essere consegnati se vengono scomposti in più parti. Richiedono funzionalità proxy supplementari e forniscono prestazioni scadenti quando sono abilitate funzionalità chiave, come la prevenzione delle minacce.

  • Proxy

    Interi oggetti possono essere riassemblati e scansionati, consentendo la scansione da parte di ulteriori motori di rilevamento delle minacce, come sandbox e DLP.

Impatto di questi metodi con l'utilizzo di TLS 1.3

  • Firewall di nuova generazione (NGFW)

    Le prestazioni diminuiscono considerevolmente, a causa dei requisiti più elevati in termini di prestazioni e scalabilità della crittografia TLS 1.3, che per funzionare richiede un aggiornamento hardware.

  • Proxy

    Nel caso di un proxy cloud fornito come servizio, per soddisfare le esigenze di prestazioni e scalabilità del TLS 1.3, non è necessario alcun aggiornamento degli apparecchi fisici da parte del cliente.

Per una spiegazione più approfondita, possiamo analizzare nel dettaglio il funzionamento di questa procedura sulla piattaforma Zscaler. Quando si attiva l'ispezione SSL con Zscaler, il processo è il seguente:

  1. Un utente apre un browser e invia una richiesta HTTPS.

  2. Il servizio di Zscaler intercetta la richiesta HTTPS. Attraverso un tunnel SSL separato, il servizio invia la propria richiesta HTTPS al server di destinazione e conduce negoziazioni SSL.

  3. Il server di destinazione invia al servizio Zscaler il suo certificato con la sua chiave pubblica.

  4. Il servizio di Zscaler e il server di destinazione completano l'handshake SSL. I dati dell'applicazione e i messaggi successivi vengono inviati attraverso il tunnel SSL.

  5. Il servizio Zscaler conduce negoziazioni SSL con il browser dell'utente. Invia al browser il certificato intermedio Zscaler o il root intermedio personalizzato dell'organizzazione, nonché un certificato server firmato dall'autorità di certificazione intermedia di Zscaler. Il browser convalida la catena di certificati nell'archivio certificati del browser.

  6. Il servizio di Zscaler e il browser completano l'handshake SSL. I dati dell'applicazione e i messaggi successivi vengono inviati attraverso il tunnel SSL.

Zscaler e l'ispezione SSL

La piattaforma Zero Trust Exchange™ di Zscaler consente di eseguire un'ispezione SSL completa su vasta scala, senza latenza o limiti di capacità. Abbinando l'ispezione SSL al nostro set completo di soluzioni di sicurezza fornito come servizio cloud, puoi ottenere una protezione di livello superiore, senza i vincoli degli apparecchi fisici.

Capacità illimitata

Ispeziona tutto il traffico SSL degli utenti, dentro o fuori dalla rete, con un servizio scalabile in modo elastico che si adatta al volume del traffico.

Amministrazione più snella

Non gestire più i certificati individualmente su tutti i gateway. I certificati caricati sul cloud Zscaler sono immediatamente disponibili negli oltre 150 data center di Zscaler distribuiti in tutto il mondo.

Controllo granulare delle policy

Garantisci la conformità e ottieni la flessibilità necessaria per escludere il traffico criptato degli utenti per determinate categorie sensibili, come i siti web del settore sanitario o bancario.

Sicurezza e protezione

Usufruisci del supporto delle più recenti suite di cifratura AES/GCM e DHE, e ottieni un ulteriore livello di protezione con la perfect forward secrecy. I dati degli utenti non vengono mai archiviati nel cloud.

Gestione semplificata dei certificati

Puoi utilizzare i nostri certificati o quelli dell'azienda. Usa la nostra API per ruotarli facilmente in base alle tue esigenze.

Vuoi saperne di più su come ispezionare il traffico criptato senza limitazioni e apparecchi costosi? Scopri come Zscaler SSL Inspection può aiutarti.

Risorse Suggerite