Nie jest ┼éatwo by─ç hakeremÔÇŽ Zw┼éaszcza z TLS 1.3

Nie jest ┼éatwo by─ç hakeremÔÇŽ Zw┼éaszcza z TLS 1.3

Nadchodzi nowa era bezpiecze┼ästwa w Internecie. Gdy przegl─ůdarki, narz─Ödzia bezpiecze┼ästwa i dostawcy us┼éug przechodz─ů na obs┼éug─Ö nowego standardu szyfrowania, czy jeste┼Ť gotowy na to? W sierpniu tego roku Internet Engineering Task Force (IETF) wyda┼é protok├│┼é Transport Layer Security (TLS) w wersji 1.3. Nowa wersja, zaprojektowana dla ÔÇ×nowoczesnego internetuÔÇŁ, oferuje znacz─ůce ulepszenia w stosunku do poprzednich protoko┼é├│w szyfrowania w zakresie bezpiecze┼ästwa, wydajno┼Ťci i prywatno┼Ťci. Przede wszystkim, poprzednie opcjonalne u┼╝ycie Perfect Forward Secret (PFS) w 1.2 jest teraz wymagane dla wszystkich sesji w TLS 1.3.

PFS wymaga u┼╝ycia kryptografii klucza efemerycznego, kt├│ra generuje nowy klucz szyfrowania dla ka┼╝dej interakcji klient / serwer. Poprzednie i przysz┼ée sesje zachowuj─ů tajemnic─Ö, poniewa┼╝ ten sam klucz nigdy nie jest u┼╝ywany dwukrotnie. Oznacza to, ┼╝e nawet je┼Ťli hakerowi uda si─Ö z┼éama─ç zabezpieczenia jednej sesji, b─Ödzie mu trudno odszyfrowa─ç ca┼éy wra┼╝liwy ruch w Twojej sieci. Oznacza to, ┼╝e je┼Ťli Twoja sie─ç obs┼éuguje szyfry efemeryczne TLS 1.2 i 1.3. Poni┼╝ej znajduje si─Ö 6 wskaz├│wek dotycz─ůcych monitorowania i przetwarzania zaszyfrowanych danych w sieci, gdy PFS staje si─Ö norm─ů.

    Usu┼ä z┼éy ruch przed odszyfrowaniem. Brama analizy zagro┼╝e┼ä to urz─ůdzenie, kt├│re mo┼╝e wykry─ç i zablokowa─ç znany z┼éo┼Ťliwy ruch, zanim zostanie odszyfrowany. Poprzez odniesienie do bazy danych znanego z┼éo┼Ťliwego oprogramowania urz─ůdzenie bramy mo┼╝e rozpozna─ç niebezpieczne adresy IP w nag┼é├│wku pakietu i zablokowa─ç transmisj─Ö danych pakietu. Poniewa┼╝ nag┼é├│wek pakietu jest zwyk┼éym tekstem, odszyfrowanie nie jest konieczne. Rozwi─ůzanie do analizy zagro┼╝e┼ä zmniejsza liczb─Ö fa┼észywych alarm├│w w wykrywaniu zagro┼╝e┼ä, ma znacznie wi─Öksz─ů zdolno┼Ť─ç blokowania ni┼╝ inne narz─Ödzia bezpiecze┼ästwa i nie wymaga r─Öcznego tworzenia regu┼é w przypadku zmiany warunk├│w. Blokowanie z┼éo┼Ťliwego oprogramowania przed odszyfrowaniem umo┼╝liwia wydajniejsz─ů prac─Ö narz─Ödzi z dodatkow─ů ochron─ů.
    U┼╝yj deszyfrowania aktywnego SSL. Ro┼Ťnie ruch szyfrowany, podobnie jak szyfrowane z┼éo┼Ťliwe oprogramowanie. Wdro┼╝enie zabezpiecze┼ä powinno obejmowa─ç przynajmniej pasywne odszyfrowywanie SSL. Zalecane jest jednak przej┼Ťcie na aktywne odszyfrowywanie SSL. Aktywne odszyfrowywanie danych w sieci umo┼╝liwia systemowi zabezpiecze┼ä wykrywanie z┼éo┼Ťliwej aktywno┼Ťci w czasie rzeczywistym i zmniejsza zagro┼╝enia dla firmy.
    Miej samodzielne, dedykowane urz─ůdzenie. Wprowadzenie aktywnego SSL do wdro┼╝enia zabezpiecze┼ä mo┼╝e wymaga─ç gruntownej przebudowy infrastruktury sieciowej. Niekt├│re istniej─ůce urz─ůdzenia monitoruj─ůce, takie jak zapory nowej generacji, mog─ů obs┼éugiwa─ç aktywne odszyfrowywanie SSL, ale mog─ů negatywnie wp┼éywa─ç na wydajno┼Ť─ç sieci. W┼é─ůczenie aktywnego SSL w narz─Ödziach bezpiecze┼ästwa mo┼╝e zmniejszy─ç og├│ln─ů wydajno┼Ť─ç, zwi─Ökszy─ç op├│┼║nienia, zwi─Ökszy─ç przeci─ů┼╝enie i wymaga─ç dodatkowej mocy obliczeniowej. Ponadto zapory sieciowe, rozwi─ůzania IPS lub inne urz─ůdzenia zabezpieczaj─ůce mog─ů w og├│le nie by─ç w stanie odszyfrowa─ç ruchu. Posiadanie dedykowanego aktywnego rozwi─ůzania SSL do deszyfrowania / szyfrowania ruchu dla wszystkich narz─Ödzi poprawi wydajno┼Ť─ç podczas przetwarzania i zmniejszy obci─ů┼╝enie narz─Ödzi bezpiecze┼ästwa.
    Chro┼ä swoje dane w postaci zwyk┼éego tekstu. Po odszyfrowaniu danych zwyk┼éy tekst jest wysy┼éany do pozapasmowych narz─Ödzi monitorowania i analizy. Stwarza to nowe ryzyko, poniewa┼╝ wra┼╝liwe dane w postaci zwyk┼éego tekstu mog─ů zosta─ç przechwycone podczas transmisji lub dost─Öpne za po┼Ťrednictwem narz─Ödzia odbieraj─ůcego. Posiadanie urz─ůdzenia z funkcjami maskowania danych mo┼╝e zapewni─ç dodatkowe bezpiecze┼ästwo poufnych informacji, takich jak has┼éa, numery kart kredytowych, numery ubezpieczenia spo┼éecznego, adresy e-mail i dane dotycz─ůce opieki zdrowotnej. Inteligentne systemy maskowania danych mog─ů skanowa─ç pakiety danych w poszukiwaniu wzorc├│w zgodnych z przepisami dotycz─ůcymi prywatno┼Ťci i blokowa─ç wszystkie opr├│cz kilku ostatnich znak├│w w ci─ůgu.
    Sprawd┼║ mo┼╝liwo┼Ťci swoich urz─ůdze┼ä. Aby sprawdzi─ç, czy urz─ůdzenia zabezpieczaj─ůce dzia┼éaj─ů zgodnie z oczekiwaniami, nale┼╝y przeprowadzi─ç testy weryfikacyjne w sieci. Rozwi─ůzanie testowe, kt├│re mo┼╝e generowa─ç zaszyfrowane z┼éo┼Ťliwe oprogramowanie i inne ataki IT, pomo┼╝e ujawni─ç wszelkie s┼éabo┼Ťci we wdra┼╝aniu systemu bezpiecze┼ästwa. Ponadto mo┼╝esz ocenia─ç potencjalne rozwi─ůzania, udoskonala─ç konfiguracje i mierzy─ç wydajno┼Ť─ç istniej─ůcych narz─Ödzi.
    Zleci─ç projekt na zewn─ůtrz. Ze wzgl─Ödu na brak specjalist├│w IT i bezpiecze┼ästwa outsourcing planowania logistycznego i restrukturyzacji infrastruktury mo┼╝e by─ç najbardziej op┼éacalnym sposobem wdro┼╝enia TLS 1.3. Opr├│cz aktualizacji oprogramowania serwera WWW, urz─ůdzenia, kt├│re nie obs┼éuguj─ů nowego standardu, mog─ů wymaga─ç wymiany i przekierowania ruchu. Umo┼╝liwienie zaufanej stronie trzeciej opracowywania plan├│w, wybierania nowych dostawc├│w, optymalizacji konfiguracji i administrowania zmianami znacznie skraca czas wdro┼╝enia i zmniejsza ryzyko zwi─ůzane z wymian─ů sieci.

Zanim si─Ö zorientujesz, wi─Ökszo┼Ť─ç ruchu w Twojej sieci zostanie zaszyfrowana. Z nowym standardem wymagaj─ůcym doskona┼éej poufno┼Ťci przekazywania, Twoje wdro┼╝enie zabezpiecze┼ä musi obs┼éugiwa─ç protok├│┼é TLS 1.3, a tak┼╝e szybko i skutecznie odszyfrowywa─ç, przetwarza─ç i chroni─ç dane. Je┼Ťli chcesz zbudowa─ç solidn─ů architektur─Ö zabezpiecze┼ä dla swojej firmy i wdro┼╝y─ç protok├│┼é TLS 1.3, post─Öpuj zgodnie z tymi sugestiami, aby hakerzy nie mieli szans w walce z Twoj─ů sieci─ů.

Sarah Gross jest in┼╝ynierem ds. Marketingu produkt├│w w zakresie widoczno┼Ťci sieci i produkt├│w zabezpieczaj─ůcych w Keysight Technologies. Jej celem jest stworzenie pomocnych i aktualnych zasob├│w technicznych, aby po┼é─ůczy─ç specjalist├│w IT i in┼╝ynier├│w z rozwi─ůzaniami w zakresie widoczno┼Ťci i monitorowania.