Risorse > Glossario dei termini della sicurezza > Che cos'è l'ispezione SSL

Che cos'è l'ispezione SSL?

Che cos'è l'ispezione SSL?

L'ispezione SSL è il processo con cui si intercetta e verifica la comunicazione internet criptata con SSL tra client e server. L'ispezione del traffico SSL è ormai di vitale importanza, poiché l'ampia maggioranza del traffico internet è criptato con SSL, inclusi i contenuti dannosi.

ThreatLabZ di Zscaler ha osservato un aumento di oltre il 400% negli attacchi di phishing erogati sul canale SSL nel 2018 rispetto al 2017. Gli aggressori continuano a sfruttare il canale crittografato per erogare malware, per attività C&C e per esfiltrare informazioni sensibili dalle loro vittime.

Zscaler™ Cloud Security Insights: un'analisi delle minacce basate su SSL/TLS, 2019

I pro e contro

Il protocollo di crittografia noto come Secure Sockets Layer (SSL), sviluppato per la prima volta nel 1994, e il suo successore Transport Layer Security (TLS) sono stati progettati per favorire le comunicazioni sicure e fornire alle organizzazioni tutta la tranquillità riguardo al traffico in entrata. Negli ultimi anni, con le crescenti preoccupazioni verso la privacy dei dati, c'è stata un'elevata tendenza verso le proprietà di Internet che includano la crittografia di default. Si tratta di un'ottima cosa per la privacy, ma rappresenta una sfida per la sicurezza IT. Decifrare, ispezionare e ricrittografare il traffico non è una cosa da poco, causa un degrado significativo delle prestazioni sui dispositivi di sicurezza tradizionali e la maggior parte delle organizzazioni non è attrezzata per ispezionare il traffico crittografato su larga scala.

Gli attori malevoli lo sanno bene, motivo per cui le minacce basate su SSL sono in aumento. Sebbene gli hacker abbiano trovato molti modi per infiltrarsi nei sistemi e rubare i dati, la violazione della crittografia rimane difficile e richiede tempo ed è, pertanto, un approccio inefficiente. Al contrario, hanno iniziato a utilizzare la crittografia per erogare contenuti dannosi, nascondere malware ed eseguire attacchi senza essere rilevati.

Per anni, il simbolo di un lucchetto vicino all'indirizzo URL di un sito web indicava che il sito era sicuro, ma oggi non rappresenta più una garanzia di sicurezza. Il traffico che si sposta attraverso i canali crittografati non dovrebbe essere attendibile semplicemente in virtù di un certificato digitale. Il protocollo SSL, un tempo considerato la massima protezione per i dati trasmessi su internet, è ormai diventato il principale terreno di gioco dei criminali informatici, che lo scelgono per eseguire i propri atti delittuosi.

 
Circa la metà dei nostri negozi utilizzano attualmente l'intercettazione SSL e prevediamo il lancio completo entro qualche mese. Alcune applicazioni di vendita al dettaglio non funzionano bene con l'ispezione SSL, perciò abbiamo dovuto assicurarci di non interrompere le nostre attività.
Jeff Johnson, Direttore operazioni di sicurezza, AutoNation
A giugno 2020, il 96% delle pagine su Google Chrome negli U.S.A. è stato caricato utilizzando la crittografia (HTTPS).
Rapporto sulla trasparenza di Google

Il processo dell'ispezione SSL

Il traffico criptato costituisce la maggior parte del traffico aziendale, ma diverse organizzazioni ne ispezionano solamente una parte, consentendo al traffico proveniente da reti per la distribuzione di contenuti (CDN) e da alcuni siti "affidabili" di passare inosservato. Questo può essere rischioso, poiché le pagine web non sono statiche. Vengono infatti prodotte con contenuti personalizzati, che possono includere centinaia di oggetti ottenuti da diverse fonti. Ciascun oggetto costituisce una minaccia potenziale e dovrebbe essere considerato non affidabile, indipendentemente dalla fonte.

Allo stesso tempo, i criminali informatici utilizzano la crittografia per nascondere i propri atti. È diventato molto facile (ed economico!) ottenere un certificato SSL valido, il che rende più facile per i malintenzionati nascondere il proprio contenuto dannoso. A tal punto che Zscaler Cloud ha bloccato 1,7 milioni di minacce nascoste nel traffico SSL in un periodo di sei mesi. Se si consente al traffico criptato di passare inosservato, non si è in grado di vedere il numero crescente di minacce potenziali.

Ma, come accennato, l'ispezione del traffico SSL è dispendiosa in termini di cicli di elaborazione e l'impatto sulle prestazioni di un'infrastruttura aziendale può risultare disastroso. Le aziende non possono permettersi di arrestare completamente la propria attività e i flussi di lavoro, perciò non hanno altra scelta che bypassare l'ispezione con apparecchi di applicazione che non riescono a stare al passo con la domanda di elaborazione o con il volume.

La seguente tabella mostra i modi più comuni di ispezionare il traffico SSL e alcune considerazioni chiave.

Metodo di ispezione SSL

Modalità TAP

Firewall di ultima generazione (NGFW)

Proxy

Come funziona

Un semplice dispositivo hardware copia tutto il traffico di rete per l'analisi offline, inclusa l'ispezione SSL.

Le connessioni di rete passano attraverso un apparecchio di applicazione NGFW con visibilità solo a livello di pacchetto, il che limita la rilevazione delle minacce.

Vengono create due diverse connessioni tra client e server, con ispezione completa nel flusso e nella sessione di rete.

Impatto dell'ispezione SSL

L'hardware TAP è particolarmente costoso (ad es. TAP di rete 10G) per garantire che tutto il traffico venga copiato a livello di riga completa senza alcuna perdita di dati.

È in grado di vedere solo una piccola parte dei malware, che può essere distribuito in segmenti ridotti. È necessaria una funzione proxy aggiuntiva (addizionale). Solitamente si verificano perdite nelle prestazioni quando si attiva una funzionalità aggiuntiva (ad es. prevenzione delle minacce).

Consente il riassemblaggio e la scansione di un intero oggetto. Consente la scansione tramite motori aggiuntivi per il rilevamento delle minacce, come sandbox e DLP.

Impatto di questi metodi con l'utilizzo di TLS 1.3

L'ispezione SSL retroattiva non funzionerà più a causa del "perfect forward secrecy", che richiede nuove chiavi per ciascuna sessione SSL ed è autorizzata da TLS 1.3.

Contribuisce alla perdita di prestazioni. È necessario aggiornare l'apparecchio di applicazione per ottenere le prestazioni originali, a causa di maggiori requisiti in termini di prestazioni e scalabilità dei nuovi codici TLS 1.3.

È necessario aggiornare l'apparecchio di applicazione per soddisfare le necessità di prestazioni e scalabilità del nuovo TLS 1.3.

Crittografia, privacy e protezione dei dati: un delicato equilibrio

Leggi il white paper
Crittografia, privacy e protezione dei dati: un delicato equilibrio

Set di servizi della sicurezza Zscaler come servizio con ispezione SSL illimitata

Consulta la scheda tecnica
Crittografia, privacy e protezione dei dati: un delicato equilibrio

L'importanza di ispezionare il traffico SSL aziendale

Leggi il blog
Crittografia, privacy e protezione dei dati: un delicato equilibrio

Metodologia di Zscaler

La piattaforma di Cloud Security Zscaler consente un'ispezione SSL completa su larga scala, senza latenza né limitazioni della capacità. Unendo l'ispezione SSL all'intero set di servizi della security di Zscaler, come servizio cloud, si ottiene una protezione migliorata, senza la limitazione dell'ispezione che incorre con gli apparecchi di applicazione.

Zscaler esegue un'analisi completa dei contenuti in entrata e in uscita e fornisce una capacità illimitata per ispezionare tutto il traffico, incluso l'SSL. Ogni utente, indipendentemente da dove si connette, all'interno o all'esterno della rete, riceve la stessa protezione.

 

Risorse aggiuntive: