Sachant que de nombreuses organisations envoient des éléments chiffrés dans leurs réseaux sans qu’ils n’aient été complètement inspectés, les personnes malintentionnées utilisent le chiffrement pour masquer des logiciels malveillants et lancer des attaques. Afin de maintenir des défenses solides tout en limitant le risque de failles de sécurité et de perte de données, il est nécessaire de déchiffrer, examiner et rechiffrer tout le trafic réseau.
Les algorithmes de chiffrement sont de plus en plus longs et de plus en plus complexes pour faire face aux piratages, c’est pourquoi les dispositifs de déchiffrement doivent être puissants. Un test réalisé il y a plusieurs années par NSS Labs, a révélé que le passage de 1024 à 2048 bits a entraîné une baisse de performance moyenne de 81% sur huit pares-feux de référence. Cependant, le déchiffrement SSL n’a pas besoin d’être réalisé sur un pare-feu. De nouvelles stratégies permettent de se passer du déchiffrement et d’envoyer du texte brut aux équipements, afin qu’ils puissent être plus efficaces et traiter davantage de trafic. Voici quatre stratégies pour rendre le déchiffrement plus simple, plus rapide et plus rentable.
De nombreuses adresses IP utilisées dans les cyberattaques sont réutilisées et connues dans l’univers de la sécurité. Des organisations suivent et vérifient quotidiennement les menaces cybernétiques connues, et renseignent ces informations dans une base de données.
En comparant les paquets entrants et sortants avec cette base de données, il devient possible d’identifier le trafic malveillant et le bloquer à partir du réseau. Et puisque la comparaison s’effectue au niveau des en-têtes des paquets qui sont au format texte, il n’est plus nécessaire de les déchiffrer. En éliminant le trafic associé aux attaques connues, qui générerait en temps normal une alerte de sécurité, les équipes vont pouvoir améliorer la productivité.
Le moyen le plus rapide de déployer cette stratégie consiste à installer, devant un pare-feu, un périphérique physique appelé « passerelle intelligente de menaces ». Cet appareil est conçu pour bloquer rapidement de forts volumes de menaces, y compris provenant de pays non approuvés, et est mis à jour en permanence via un flux intégré. Une fois cette passerelle installée, aucune autre intervention manuelle n’est requise et aucun filtre n’a besoin d’être créé ou maintenu. Le trafic malveillant peut être abandonné immédiatement ou placé dans une sandbox pour une analyse plus approfondie. Selon le secteur d’activité et la fréquence des attaques, on peut noter une réduction des alertes de sécurité jusqu’à 80%.
L’autre moyen aurait été de configurer des filtres personnalisés sur le pare-feu afin de bloquer les adresses IP spécifiées. Malheureusement, ces filtres devront être configurés et mis à jour manuellement. Par ailleurs, il existe une limite à la quantité de filtres pouvant être créés et l’explosion des périphériques connectés et des adresses IP compromises dépasse les capacités des pare-feux. Enfin, l’utilisation des cycles de traitement sur un périphérique avancé comme un pare-feu pour faire des comparaisons simples n’est pas un moyen rentable de bloquer le trafic.
Une fois que les paquets chiffrés se déplaçant depuis ou vers des sources malveillantes sont supprimés, un dispositif de déchiffrement est nécessaire pour traiter le reste. De nombreux outils de sécurité, tels que les pares-feux de nouvelle génération (NGFW) ou les systèmes de prévention des intrusions (IPS), incluent une fonction de déchiffrement SSL. Cependant, un article publié par NSS Labs notait que certains de ces outils peuvent ne pas être tout à fait à jour, manquer des communications SSL effectuées sur des ports non standard, ne pas déchiffrer au débit annoncé, et peuvent même rapidement transférer certaines connexions sans effectuer de déchiffrement du tout.
La fiabilité de la cryptographie repose sur le progrès qui permet d’avoir toujours un coup d’avance sur les attaquants. Les solutions de sécurité doivent donc prendre en charge les dernières normes de chiffrement, avoir accès à une grande variété de paramètres et d’algorithmes, et pouvoir déchiffrer le trafic à l’aide des (2048 et 4096 bits) nouvelles clés, plus grandes, comme Elliptic Curve. Alors que les technologies de sécurité se complexifient, les solutions doivent pouvoir y répondre en traitant le déchiffrement efficacement et de manière rentable, sans supprimer les paquets, sans introduire des erreurs ou sans effectuer une inspection complète.
Pour obtenir une visibilité totale du réseau, la qualité d’une solution de déchiffrement augmente à mesure que le volume de trafic SSL croît. En outre, le Defense in Depth est une pratique largement repandue, qui implique souvent de nombreux dispositifs de sécurité parmi les plus performants (comme un pare-feu séparé et un IPS). Que ces dispositifs déchiffrent et chiffrent le trafic séparément est très inefficace. Cela augmente la latence, réduit l’efficacité et la visibilité de bout en bout.
Une autre fonctionnalité clé est la facilité de création et de gestion des politiques liées au déchiffrement par les administrateurs. Ceci est important dans les secteurs qui doivent répondre aux contraintes liées à différentes normes. Les meilleures solutions fournissent une interface qui permette de créer des filtres, de transférer ou masquer de manière sélective des informations par simple glisser-déposer. Elles permettent aussi de garder un enregistrement complet de chaque chiffrement SSL utilisé et toutes les exceptions liées aux sessions abandonnées, les pannes SSL, les certifications non valides et les sessions non déchiffrées pour des raisons de politique. Ces journaux détaillés sont précieux dans le cadre d’audits, d’analyses détaillées, de dépannage du réseau et de planification de la capacité.
Au fur et à mesure que le volume de trafic chiffré augmente, l’impact du déchiffrement sur les performances de l’infrastructure de sécurité s’accroit. Il est donc intéressant de pouvoir le planifier à l’avance. Il peut sembler logique de simplement "activer" la fonction de déchiffrement SSL dans une solution de pare-feu ou de gestion de menace unifiée (UTM). Mais le déchiffrement est une fonction qui requiert de nombreux processus. À mesure que le trafic SSL augmente et que de plus en plus de cycles sont requis pour effectuer le déchiffrement, les performances commenceront à souffrir et les outils peuvent commencer à supprimer les paquets.
Pour augmenter le flux de trafic via un périphérique multifonction, la seule option est d’augmenter la capacité globale. L’ajout de capacité et s’assurer que l’appareil puisse gérer le déchiffrement, représente un coût supplémentaire.
La meilleure option consiste à utiliser une solution de visibilité réseau ou un Network Packet Broker avec décryptage SSL pour décharger les outils de sécurité. De nombreuses organisations utilisent les NPB pour agréger le trafic à travers le réseau, identifier les paquets pertinents et les distribuer à haute vitesse aux outils de sécurité. Les NPB utilisant l’accélération matérielle peuvent traiter le trafic à haute vitesse sans perte de paquet et équilibrer la charge automatiquement. Ils éliminent également l’exigence de plusieurs dispositifs en ligne pour effectuer chacun un déchiffrement / ré-chiffrement indépendant. Le coût d’un NPB est inférieur à celui de la plupart des appareils de sécurité et peut fournir un retour sur investissement rapide.
Puisqu’il y a toujours plus de trafic chiffré sur Internet, les attaques dans le SSL vont devenir plus fréquentes. Pour protéger les données et les réseaux contre les pirates informatiques et les cybercriminels, il est essentiel d’inspecter tout le trafic réseau chiffré. Une organisation qui ne développe pas une approche rigoureuse pour inspecter le trafic chiffré compromettra la sécurité de son réseau, créant ainsi un risque inacceptable de violation et de perte de données. Heureusement, de nouvelles solutions apparaissent pour améliorer l’efficacité et la rentabilité du décryptage SSL.