Ali vaši čuvaji pregledujejo šifriran mrežni promet?

Zagotavljanje informacijske varnosti v organizacijah predstavlja izziv za vsakega varnostnega inženirja. Tveganja, ki ogrožajo obstoj organizacije, so prisotna na dnevni ravni. Lahko so zunanja ali notranja, se udejanijo iz malomarnosti ali zlonamerno. Ne glede na izvor je treba delovati preventivno. Prvi korak je zavedanje, da tveganja obstajajo. Tako lahko postavljamo različne varnostne kontrole, ki preprečujejo ali omilijo posledice realizacije tveganj. Hkrati moramo biti pozorni, da pretirano ne omejimo dostopnosti podatkov. Poskušamo ujeti ravnovesje med omogočanjem nemotenega dela in zagotavljanjem varnega informacijskega okolja. Z različnimi ukrepi, tako organizacijskimi, kot tehničnimi gradimo sloje informacijske varnosti. Z njimi zagotavljamo bolj varno, zanesljivo in dobičkonosno organizacijo. Hkrati pridobivamo zaupanje posameznikov in organizacij, s katerimi želimo sodelovati.

Organizacijam je priporočeno, da implementirajo vrsto varnostnih kontrol, ki pripomorejo k jasnejši sliki dogajanja v organizaciji. Od dobro zastavljene politike ravnanja z informacijskimi sredstvi, posodabljanje informacijskih sredstev, nadzor in vidljivost znotraj omrežja. Organizacija z dobro zastavljenim SIEM (»Security information and event managment«) sistemom naredi veliko za varnost organizacije. Sama vidljivost nad dogajanjem omogoča lažje sledenje, reševanju najrazličnejših težav, preiskovanju varnostnih incidentov in nenazadnje tudi doseganje skladnosti z zakonodajo. Dobro zastavljen SIEM sistem ne pomeni vzpostavitev in upanje, da se bodo dogodki sami nadzirali. Čeprav lahko avtomatiziramo delovanje do neke stopnje je vseeno ključno dopolnjevanje, izpopolnjevanje in nadzor sistema. SIEM ni prva varnostna kontrola, ki jo želimo implementirati v organizacijo. Velikokrat ga namestimo, ko že imamo vzpostavljenih vrsto drugih varnostnih kontrol. Kot so naprave, ki nadzirajo vhod in izhod mrežnega prometa.

Požarna pregrada za veliko organizacij predstavlja prvo vrsto tehničnih ukrepov za zagotavljanje informacijske varnosti. S pregledovanjem preprečuje vstop neželenemu mrežnemu prometu. Z različnimi hierarhično zastavljenimi pravili določamo, kateri promet lahko vstopi v omrežje in kateri ne. Naslednji korak je pregledovanje dovoljenega prometa. Tudi, če smo določen promet pustili v omrežje je ta lahko zlonameren. Treba je pregledati, od kod paketki prihajajo, kam so namenjeni in vsebina. Če je katerikoli korak sporen, se paketek izloči in prepreči dostop do želene destinacije. Problematika je predvsem v paketkih, ki opravijo vse omenjene preglede in vseeno vsebujejo zlonamerno programsko kodo. Poleg tega je lahko celoten promet z izjemo izvora in destinacije šifriran s TLS/SSL kriptografskim protokolom. V takšnem primeru ne moremo pregledovati vsebine paketov. Primer takšne povezave je »https« protokol. Takšna povezava uporablja TLS ali SSL protokol, ki nam preprečuje pregledovanje vsebine paketov. Popularnost »https« povezav raste. Predvsem zato, ker zgolj »http« povezave skozi internet potujejo odkrito. Z nekaj znanja lahko takšne povezave prestrezamo in pregledamo. Poznamo tudi druge načine »http« povezav (http/ 1.1), kjer je dodana možnost šifriranja. Podobno kot »https«, vendar ni v širši uporabi.

Organizacijam je po eni strani v interesu uporaba »https« povezav, saj so takšni podatki šifrirani. Druga plat je onemogočeno pregledovanje prometa. Ravno v vsebini šifriranega prometa se lahko skriva zlonamerna programska koda. Kako naj se organizacija spoprijema s šifriranim prometom? Preprosta rešitev je prepoved vseh »https« povezav znotraj organizacije. To pomeni drastična omejitev dostopnosti podatkov, kar v realnosti ni sprejemljiva rešitev. Takšen promet lahko tudi v celoti spustimo v organizacijo in tvegamo prenos zlonamerne programske kode. Lahko se tudi odločimo, da le nekatere »https« povezave spustimo, ostale ne. V nekaterih primerih pod določenimi pogoji lahko izkoristimo (naša požarna pregrada mora tovrstne funkcije podpirati) eno iz med t. i »Next Generation« funkcij požarne pregrade, ki podpira pregledovanje »https« prometa. Posplošeno gre za proces dešifriranja in ponovnega šifriranja s strani požarne pregrade. Pri tem moramo izpolnjevati vrsto pogojev. Požarna pregrada prihajajoči promet dešifrira, pregleda vsebino, ponovno šifrira in pošlje na destinacijo. V takšnem primeru požarna pregrada izvaja legitimen »Man in the middle« napad.

Vseh »https« povezav ni možno pregledovati. Primer so tiste, ki uporabljajo »end to end encryption«, kjer je ključ za šifriranje in dešifriranje shranjen zgolj na končni napravi. S kombinacijo javnega ključa tako zagotavljamo povezavo, ki je v teoriji ni možno pregledati. Tudi če bi se dokopali do ključa shranjenega na eni napravi bi v najboljšem primeru lahko pregledovali le del komunikacije. Takšne povezave, če ni večjih zadržkov, pustimo mimo »https« pregleda.

Vprašanje je tudi same zakonitosti pregleda šifriranih povezav. S pregledovanjem določenih »https« povezav lahko pretirano posegamo v človekovo zasebnost. V takšnem primeru naj komunikacija ostane šifrirana ali pa jo v celoti prepovedana. Širjenje uporabe »https« povezave je pozitivna pridobitev za posameznika in organizacijo. Šifrirana komunikacija, ki vsebuje zlonamerno programsko kodo, ne sme predstavljati tako visokega tveganja kot alternativa. Hkrati poskusimo najti ravnovesje med pregledovanjem šifriranih povezav in  zasebnostjo.