منو سایت

دلایل نظارت بر ترافیک رمزگذاری شده

 تاریخ انتشار :
/
  اخبار استارتاپ
دلایل نظارت بر ترافیک رمزگذاری شده

مهاجمان سایبری بدافزار را بین ترافیک رمزگذاری شده پنهان می کنند. بر اساس گزارش های جدید، در سه ماهه دوم سال 2021، بیش از 90 درصد بدافزارها از طریق ترافیک رمزگذاری شده منتقل شده اند و این روند رو به افزایش است. پروتکل‌های رمزنگاری پیشرفته (مانند AES، TLS، QUIC، RDP، Secure Shell و غیره) با محافظت از حریم خصوصی و یکپارچگی داده‌ها به تضمین امنیت و حریم خصوصی شبکه‌ها کمک می‌کنند، اما از سوی دیگر منجر به هزینه‌های بالایی نیز می‌شوند. . این پروتکل‌ها کنترل نظارت تیم‌های امنیت سایبری بر ترافیک شبکه را محدود می‌کنند و مانع از محافظت صحیح سازمان از خود می‌شوند. در این مقاله، نحوه شناسایی بدافزار پنهان شده در ترافیک رمزگذاری شده و چرایی اهمیت آن را بررسی خواهیم کرد.

ابزارهای امنیتی سنتی سعی می کنند با بازرسی عمیق بسته های شبکه یا نظارت بر ترافیک رمزگذاری شده بر اساس قوانین از پیش تعریف شده، با بدافزار مقابله کنند. ترافیک رمزگذاری شده نقاط کور ایجاد می کند و کارایی ابزارهای امنیتی را مختل می کند. از جمله ابزارهایی که از تکنیک های بازرسی عمیق بسته برای بررسی محتویات بسته و شناسایی تهدیدها استفاده می کنند. امروزه این روش کافی نیست و همین امر منجر به ظهور تحلیل ترافیک رمزگذاری شده (ETA[1]) شده است این طرح با بررسی ویژگی های داده های مختلف و با نظارت غیرفعال بدون نیاز به رمزگشایی داده ها با حفظ حریم خصوصی به کسب اطلاعات در مورد ترافیک رمزگذاری شده کمک می کند. در روش های پیشرفته ETA از تجزیه و تحلیل بسته های عمیق (DPD[2]) برای اعمال تکنیک های یادگیری ماشین و ناهنجاری های رفتاری برای شناسایی حملات پیچیده استفاده می شود. این روش به سازمان ها کمک می کند تا از رعایت استانداردها و مقررات و محافظت در برابر تهدیداتی مانند بدافزار، حملات MITM، فعالیت های فرماندهی و کنترل و داده کاوی اطمینان حاصل کنند.

از سوی دیگر، بسیاری از اپلیکیشن ها و خدمات به پلتفرم های وب و ابری متکی هستند. این پلتفرم ها از پروتکل هایی مانند لایه انتقال امنیت/لایه سوکت های امن (SSL/TLS) استفاده می کنند.[3]) برای محافظت از حریم خصوصی داده ها و حریم خصوصی کاربر استفاده می شود. از ابزارهای رمزگشایی و پراکسی می توان برای نظارت بر ترافیک رمزگذاری شده استفاده کرد، اما استفاده همزمان از این پروتکل ها و ابزارها برای رمزگشایی انبوه، تجزیه و تحلیل و رمزگذاری مجدد منجر به از دست دادن کارایی و تاخیر می شود. بنابراین در چنین شرایط پیشرفته ای نیاز به اعمال روش های پیشرفته ETA احساس می شود

در زیر چند دلیل مهم برای نظارت بر ترافیک رمزگذاری شده و برنامه های ETA آورده شده است:

  1. هدف اصلی رمزگذاری حفظ محرمانه بودن داده ها در ارتباطات است. رمزگشایی تراکنش های ایمن، هدف اصلی رمزگشایی آنها، که حفظ امنیت و حریم خصوصی است، را نقض می کند. رمزگشایی حریم خصوصی کاربر و قوانینی را که سازمان ها ملزم به رعایت آن هستند، نقض می کند. علاوه بر این، رمزگشایی داده های رد و بدل شده بین کاربران منجر به افزایش پیچیدگی کار و نیاز به اخذ مجوزهای مختلف شد. از سوی دیگر، همیشه نمی توان این کار را به صورت عملیاتی انجام داد. ETA با حفظ تعادل بین دید و امنیت شبکه و حفظ حریم خصوصی کاربر به حل این مشکل کمک می کند. این کار با استفاده از Deep Packet Dynamics (DPD) انجام می شود[4]DPD به صورت غیر فعال ترافیک شبکه را بدون نیاز به رمزگشایی بسته ها نظارت می کند و ویژگی های رفتاری پیشرفته، ساده شده و پیشرفته هر اتصال شبکه را جمع آوری می کند. این فناوری به نظارت بر ترافیک شبکه از طریق بینش های ارائه شده توسط یادگیری ماشین و ترکیب اطلاعات مختلف سنتی (مانند IP، پورت ها، پروتکل ها، ابرداده های توسعه یافته و غیره) کمک می کند. این قابلیت نظارت شبکه همچنین با حذف پیچیدگی رمزگشایی و تفسیر ترافیک به محافظت از حریم خصوصی کاربر کمک می کند.
  2. فعالیت مهاجمان روز به روز در حال افزایش است و با افزایش حجم ترافیک رمزگذاری شده، حملات پنهان در آن نیز افزایش می یابد. مهاجمان همیشه نیاز به دسترسی به شبکه های شرکتی دارند و با پنهان شدن در ترافیک رمزگذاری شده از شناسایی جلوگیری می کنند. شناسایی بدافزار در بین ترافیک شبکه نقش مهمی در حفاظت از امنیت سازمان ایفا می کند. ETA با جمع آوری اطلاعات در مورد ترافیک رمزگذاری شده در شبکه به حل این مشکل کمک می کند. نظارت بر استفاده از سرویس‌های رمزگذاری رسمی (TLS، SSH، و غیره)، از جمله ابرداده در مورد اتصالات شبکه و پروتکل‌های دست دادن اطلاعات مفید در مورد اینکه کدام دستگاه‌ها از رمزگذاری استفاده می‌کنند، چه نوع رمزگذاری و منابعی استفاده می‌شوند، و چه افراد یا دستگاه‌هایی را ارائه می‌کند. دستگاه ها به با استفاده از یادگیری ماشینی، حتی با رمزگذاری، ETA به تحلیلگران از خطرات با اولویت بالا هشدار می دهد و با ارائه دید به بهبود امنیت کمک می کند.
  3. استفاده نادرست از رمزگذاری می تواند احساس امنیت کاذب ایجاد کند و در نتیجه سطح ریسک را برای سازمان ها افزایش دهد. اگرچه اعتقاد بر این است که تامین کنندگان در زنجیره تامین در تامین امنیت محصولات خود متخصص هستند، این محصولات ممکن است دارای آسیب‌پذیری‌هایی باشند که مشتریان از آن بی‌اطلاع باشند. مانند رمزگذاری ضعیف. در دنیای امروز، فعال کردن رمزگذاری به تنهایی کافی نیست، زیرا فعال کردن طرح‌های رمزنگاری با عملکرد فنی مناسب که به اندازه کافی قوی برای محافظت از اطلاعات نیستند، به هکرها امکان تفسیر و سرقت اطلاعات مهم را می‌دهد. ETA با ارائه یک نمای کامل در سطح شبکه به حل این مشکل کمک می کند.
  4. امنیت رمزنگاری و توانایی تشخیص دستکاری (معمولا توسط تیم سایه IT انجام می شود) نقش مهمی در وضعیت امنیتی یک سازمان دارد. بسیاری از شرکت ها از شبکه های عظیم VPN برای اتصال کاربران به داده ها استفاده می کنند. این سازمان ها معمولاً از تونل های VPN رمزگذاری شده برای دسترسی از راه دور بدون ارائه هیچ گونه تضمینی برای رمزگذاری داده ها استفاده می کنند. ETA تضمین می کند که ترافیک در نظر گرفته شده برای رمزگذاری رمزگذاری شده باقی می ماند. علاوه بر این، ETA تشخیص ارتباطات دسترسی از راه دور را امکان پذیر می کند، که برای تشخیص دور زدن کانال های رسمی احراز هویت با هدف اجازه دسترسی کاربر از راه دور بسیار مهم است.

برای پیاده سازی راه حل ETA، چهار حوزه کلیدی باید در نظر گرفته شود. اولاً، هنوز بسیاری از حملات علیه سیستم های داخلی انجام می شود. از آنجایی که سازمان‌ها بسیاری از مشاغل تولیدی را به ابر منتقل می‌کنند، مهاجمان از فیشینگ و اطلاعات کاربری سرقت شده برای دسترسی از راه دور به شبکه‌ها استفاده می‌کنند. برای ایمن نگه داشتن اطلاعات در محیط داخلی، لبه شبکه، محیط های چند ابری و غیره، باید از همان ابتدا ابزارهای ETA را در استراتژی ترافیک رمزگذاری شده خود در نظر بگیرید. شما همچنین باید فراتر از JA3 (S) نگاه کنید. JA3(S) که به طور کلی اولین رویکرد برای تجزیه و تحلیل ترافیک رمزگذاری شده در نظر گرفته می شود، دارای محدودیت های مشابه روش های مبتنی بر امضا است که بر تهدیدات یا لیست های سیاه از پیش شناسایی شده تکیه می کنند.

علاوه بر این، تجزیه و تحلیل گواهی رمزنگاری می تواند برای جرایم هویت دیجیتال نیز مفید باشد، اما مهاجمان حرفه ای سعی می کنند از گواهینامه های معتبر برای زیرساخت هک خود استفاده کنند که این کار از طریق روش هایی مانند ایجاد زیرساخت معتبر برای خود، دریافت گواهی برای دامنه هایی انجام می شود که این کار را انجام نمی دهند. متعلق به آنهاست و سرورها با گواهینامه معتبر هک می شوند. در نهایت، از یک استراتژی ETA استفاده کنید که از یادگیری ماشینی برای بهبود تشخیص، زمان پاسخگویی و اولویت بندی تهدیدها و خطرات استفاده می کند.

متاسفانه استفاده روزافزون از پروتکل های رمزگذاری شده منجر به محدودیت در دید ترافیک شبکه می شود، اما صنعت امنیت سایبری در تلاش است تا با استفاده از ETA پیشرفته که یک تکنیک جایگزین برای نظارت بر ترافیک شبکه است، این چالش را حل کند. ترکیب DPD با یادگیری ماشین و با استفاده از الگوریتم‌های قدرتمند برای تشخیص الگوها در داده‌های شبکه، روش‌های تحلیل رمزنگاری کلاسیک را متحول کرده است.

[۱] تجزیه و تحلیل ترافیک رمزگذاری شده

[۲] تجزیه و تحلیل بسته عمیق

[۳] امنیت لایه سوکت های ایمن/لایه حمل و نقل

[۴] پویایی بسته عمیق