Risorse > Glossario dei termini sulla sicurezza > Che cos'è l'ispezione SSL

Che cos'è l'ispezione SSL?

 

Definizione di ispezione SSL

L'ispezione SSL è il processo con cui la comunicazione Internet criptata con SSL viene intercettata e verificata tra client e server. L'ispezione del traffico SSL è ormai di vitale importanza, poiché la stragrande maggioranza del traffico Internet è criptata con questo protocollo, inclusi i contenuti dannosi.

La crittografia SSL fa sì che i dati risultino illeggibili fino a quando non vengono decriptati. Questo ulteriore livello di sicurezza aiuta a proteggere le informazioni sensibili, ma può anche nascondere delle comunicazioni dannose che entrano in gioco durante attacchi informatici come phishing, violazioni dei dati, attacchi DDoS (Distributed Denial of Service) e altro.

In breve, lo stesso strumento che conferisce sicurezza può anche costituire un elemento di debolezza. Se i dati sensibili possono nascondersi nel traffico HTTPS, le minacce possono fare lo stesso. L'ispezione SSL è quindi essenziale per consentire a un'organizzazione di ispezionare completamente il contenuto del traffico decriptato, e bloccarlo o criptarlo nuovamente in modo che possa continuare il suo percorso.

Tra gennaio e settembre del 2021, Zscaler ha bloccato 20,7 miliardi di minacce sul canale HTTPS. Ciò rappresenta un aumento di oltre il 314% rispetto ai 6,6 miliardi di minacce bloccate nel 2020, a loro volta aumentate di quasi il 260% rispetto all'anno precedente.

ThreatLabz: lo stato degli attacchi criptati nel 2021

SSL e TLS a confronto

È tempo di fare chiarezza. Il Secure Sockets Layer (SSL) e il Transport Layer Security (TLS) sono entrambi protocolli crittografici che regolano la crittografia e la trasmissione dei dati tra due punti. Quindi, qual è la differenza?

L'ormai defunta Netscape sviluppò il protocollo SSL a metà degli anni '90, rilasciando l'SSL 3.0 alla fine del 1996. Il TLS 1.0, basato su una versione migliorata dell'SSL 3.0, è nato nel 1999. Il TLS 1.3, rilasciato dall'Internet Engineering Task Force (IETF) nel 2018, è la versione più recente e sicura di questo protocollo. L'SSL non viene più sviluppato o supportato dal 2015, e l'IETF ha dichiarato deprecate tutte le versioni dell'SSL, a causa delle vulnerabilità (ad esempio, agli attacchi man in the middle) e della mancanza di funzioni di sicurezza critiche.

Nonostante ciò e i decenni di cambiamento, e senza considerazione per il significato tecnico del termine, la maggior parte delle persone continua a usare "SSL" estendendolo in realtà a tutti i protocolli crittografici. In altre parole, quando si vedono SSL, TLS, SSL/TLS, HTTPS e così via, nella maggior parte dei casi hanno tutti lo stesso significato. Ai fini di questo articolo, lo specificheremo quando necessario.

 

I vantaggi dell'ispezione SSL

Un certificato SSL può conferire attendibilità e autorità, ma gli utenti malintenzionati che nascondono i loro attacchi nel traffico e nei canali criptati sfruttano a proprio vantaggio i punti di forza della crittografia e distruggono le basi dell'attendibilità stessa. Ecco perché le organizzazioni oggi devono implementare l'ispezione SSL per garantire la sicurezza di utenti finali, clienti e dati.

L'ispezione SSL può aiutare le organizzazioni moderne a:

  • Prevenire le violazioni dei dati, individuando i malware nascosti e impedendo agli hacker di eludere le difese
  • Identificare ciò che i dipendenti inviano al di fuori dell'organizzazione, intenzionalmente o accidentalmente, e rispondere di conseguenza
  • Soddisfare i requisiti di conformità alle normative garantendo che i dipendenti non mettano a rischio i dati riservati
  • Supportare una strategia di difesa multilivello, che preserva la sicurezza dell'intera organizzazione

Crittografia, privacy e protezione dei dati: un delicato equilibrio

Leggi il white paper
Crittografia, privacy e protezione dei dati: un delicato equilibrio

Set di servizi della sicurezza Zscaler come servizio con ispezione SSL illimitata

Consulta la scheda tecnica
Crittografia, privacy e protezione dei dati: un delicato equilibrio

L'importanza di ispezionare il traffico SSL aziendale

Leggi l'articolo sul blog
Crittografia, privacy e protezione dei dati: un delicato equilibrio

La necessità dell'ispezione SSL

Attualmente, la stragrande maggioranza del traffico web è criptata, e alcuni analisti della sicurezza informatica stimano che oltre il 90% dei malware oggi possa nascondersi nei canali criptati.

Con l'attuale popolarità delle app SaaS e cloud, la quantità e la frequenza maggiore con cui i dati attraversano Internet espone questi ultimi a dei rischi più significativi. La crittografia è quindi un elemento essenziale per proteggere i dati riservati e sensibili. Ecco perché oggi la maggior parte dei browser, dei server web e delle app cloud cripta i dati in uscita e li scambia tramite connessioni HTTPS.

Nonostante l'aumento dell'uso della crittografia, molte aziende continuano a eseguire l'ispezione SSL/TLS solo su una parte del traffico, lasciando che quello proveniente da alcune fonti "attendibili" non venga ispezionato. Dato che Internet è in grado di mutare molto facilmente, questa tendenza può essere rischiosa. Ad esempio, i siti web possono attingere dinamicamente da più fonti per mostrare centinaia di oggetti, ciascuno dei quali può costituire una minaccia.

Allo stesso tempo, i creatori di malware utilizzano sempre più frequentemente la crittografia per nascondere i propri exploit. Con oltre 100 autorità attive di certificazione SSL in tutto il mondo, ottenere un certificato valido è facile ed economico. Circa il 70% del traffico elaborato dal cloud Zscaler è criptato, e questo sottolinea l'importanza di essere in grado di ispezionare il traffico SSL in entrata e in uscita.

E allora perché questa pratica non è adottata da tutti? Semplicemente perché servono moltissime risorse di calcolo per decriptare, ispezionare e ricodificare il traffico SSL, e senza la giusta tecnologia, l'impatto sulle prestazioni di rete potrebbe essere devastante. La maggior parte delle aziende non può permettersi di bloccare l'attività e i flussi di lavoro, e non ha altra scelta se non quella di bypassare l'ispezione HTTPS fornita da apparecchi fisici che non sono in grado di adattarsi alle esigenze di elaborazione.

 

La crittografia e le minacce moderne

Nel corso degli ultimi anni, la preoccupazione per la privacy dei dati è aumentata, e c'è stata una forte tendenza a criptare i dati per impostazione predefinita. Questo è ottimo per la privacy, ma i requisiti tecnici, e in molti casi i prezzi dell'hardware necessario, sono troppo elevati per molte organizzazioni. Di conseguenza, queste ultime non sono attrezzate per ispezionare il traffico criptato su larga scala.

Gli aggressori lo sanno molto bene, ed è per questo che le minacce basate sull'SSL sono in aumento. Gli hacker hanno trovato molti modi per infiltrarsi nei sistemi e rubare i dati, ma la violazione della crittografia è difficile e richiede molto tempo. Hanno quindi iniziato a sfruttarla direttamente per consegnare contenuti dannosi, nascondere malware ed eseguire attacchi senza essere rilevati.

 

Una certificazione non è sinonimo di sicurezza

Per anni, il simbolo di un lucchetto vicino all'indirizzo URL di un sito web ne ha indicato la sicurezza, ma oggi non rappresenta più una garanzia. Il traffico che si sposta attraverso i canali criptati non dovrebbe essere attendibile semplicemente in virtù di un certificato digitale. Il protocollo SSL, un tempo considerato la massima forma di protezione per i dati trasmessi su Internet, è invece diventato l'ennesimo strumento a disposizione dei criminali informatici.

 

Come funziona l'ispezione SSL?

Esistono diversi approcci all'intercettazione, alla decriptazione e all'ispezione del traffico SSL, ciascuno con specifici requisiti di configurazione e mezzi per la gestione delle connessioni SSL. Vediamo i più comuni.

Metodo di ispezione SSL

Modalità TAP (Terminal Access Point)

Firewall di nuova generazione (NGFW)

Proxy

Come funziona

Un semplice dispositivo hardware copia tutto il traffico di rete per l'analisi offline, inclusa l'ispezione SSL.

Le connessioni di rete passano attraverso un NGFW con una visibilità solo a livello di pacchetto, il che limita il rilevamento delle minacce.

Vengono create due diverse connessioni tra client e server, e viene eseguita l'ispezione completa nel flusso di rete e nelle sessioni.

Impatto dell'ispezione SSL

È necessario un hardware costoso (ad esempio, TAP di rete 10G) per garantire che tutto il traffico venga copiato alla massima velocità della linea, senza incorrere alla perdita di dati.

Gli NGFW vedono solo una parte dei malware, i quali possono essere consegnati se scomposti in parti più piccole. Richiedono funzionalità proxy aggiuntive e forniscono prestazioni scadenti quando sono abilitate funzionalità chiave, come la prevenzione delle minacce.

Interi oggetti possono essere riassemblati e scansionati, consentendo la scansione da parte di ulteriori motori di rilevamento delle minacce, come sandbox e DLP.

Impatto di questi metodi con l'utilizzo di TLS 1.3

L'ispezione SSL retrospettiva non funziona più, a causa della "perfect forward secrecy", che richiede nuove chiavi per ogni sessione SSL.

Le prestazioni diminuiscono considerevolmente, a causa dei requisiti più elevati in termini di prestazioni e scalabilità delle suite di cifratura TLS 1.3, che, per funzionare, richiedono un aggiornamento hardware.

Nel caso di un proxy cloud fornito come servizio, non è necessario alcun aggiornamento degli apparecchi di applicazione da parte del cliente, per soddisfare le esigenze in termini di prestazioni e scalabilità del TLS 1.3.

Per una spiegazione più approfondita, possiamo analizzare nel dettaglio il funzionamento di questa procedura sulla piattaforma Zscaler. Quando si attiva l'ispezione SSL con Zscaler, il processo è il seguente:

  1. Un utente apre un browser e invia una richiesta HTTPS.

  2. Il servizio Zscaler intercetta la richiesta HTTPS. Attraverso un tunnel SSL separato, il servizio invia la propria richiesta HTTPS al server di destinazione e conduce negoziazioni SSL.

  3. Il server di destinazione invia al servizio Zscaler il suo certificato con la sua chiave pubblica.

  4. Il servizio Zscaler e il server di destinazione completano l'handshake SSL. I dati dell'applicazione e i messaggi successivi vengono inviati attraverso il tunnel SSL.

  5. Il servizio Zscaler conduce negoziazioni SSL con il browser dell'utente. Invia al browser il certificato intermedio Zscaler o il root intermedio personalizzato dell'organizzazione, nonché un certificato server firmato dall'autorità di certificazione intermedia di Zscaler. Il browser convalida la catena di certificati nell'archivio certificati del browser.

  6. Il servizio Zscaler e il browser completano l'handshake SSL. I dati dell'applicazione e i messaggi successivi vengono inviati attraverso il tunnel SSL.

 

Zscaler e l'ispezione SSL

Zero Trust Exchange™ di Zscaler offre un'ispezione SSL completa come funzionalità nativa del nostro set di soluzioni di sicurezza fornito sul cloud. Il risultato è una sicurezza sul cloud di livello superiore e scalabile, senza i vincoli degli apparecchi legacy.

L'ispezione SSL con il security cloud più grande del mondo offre:

Capacità illimitata
Ispeziona tutto il traffico SSL degli utenti, dentro o fuori dalla rete, con un servizio scalabile in modo elastico che si adatta al volume del traffico.

Amministrazione più snella
Non gestire più i certificati individualmente su tutti i gateway. I certificati caricati sul cloud Zscaler sono immediatamente disponibili negli oltre 150 data center di Zscaler situati in tutto il mondo.

Controllo granulare delle policy
Garantisci la conformità e ottieni la flessibilità necessaria per escludere il traffico criptato degli utenti per determinate categorie di siti sensibili, come quelli del settore sanitario o bancario.

Protezione e sicurezza
Usufruisci del supporto delle più recenti suite di cifratura AES/GCM e DHE, e ottieni un'ulteriore protezione con la perfect forward secrecy. I dati degli utenti non vengono mai archiviati nel cloud.

Gestione semplificata dei certificati
È possibile utilizzare i nostri certificati o quelli proprietari e utilizzare la nostra API per ruotare facilmente i certificati quando necessario.

 

Vuoi saperne di più su come ispezionare il traffico criptato senza limitazioni e apparecchi costosi? Scopri come l'ispezione SSL di Zscaler può esserti d'aiuto.