O documento discute os riscos crescentes das ameaças criptografadas e a necessidade de inspecionar o tráfego HTTPS para proteção. Ele explica como a arquitetura da SonicWall permite a inspeção de SSL/TLS sem penalidades de desempenho, identificando ameaças criptografadas com sandbox de nuvem e bloqueando arquivos desconhecidos até a análise. A visão da SonicWall é fornecer prevenção contra violações em tempo real para qualquer ameaça, veículo ou rede.
Webinar Riverbed: Seja o Super-Herói da Nuvem para seu Negócio e Abra Caminho...
O lado obscuro do HTTPS: Combata ameaças criptografadas com segurança de rede adaptável
1. 1
The Dark Side of HTTPS• Fight hidden threats with adaptive network security
2. Atualmente, muitos sites são acessíveis via HTTPS.
O acesso entre o cliente e o servidor é criptografado.
3. Então o Firewall não pode inspecionar o tráfego.
E se não pode inspecionar, não pode proteger.
4. 2015 2016
trilhões
5.3
trilhões
7.3
Total de acessos SSL / TLS
CRESCIMENTO 34%
2015 2016
trilhões
88
trilhões
118
CRESCIMENTO * 43%
2017
trilhões
126
Uso Total do Aplicativo Cloud
* desde 2015
O tráfego criptografado com SSL / TLS cresceu 34%, parcialmente em resposta à crescente
adoção de aplicativos na nuvem
Fonte: Relatório Anual de Ameaças 2017 SonicWall
Criptografia SSL/TLS
5. By Jeremy Kirk, IDG News Service, Jul 27, 2015
“… O código de redirecionamento
plantado nos anúncios maliciosos
usa SSL/TLS (Secure Sockets Layer
/ Camada de Transporte,…”
E a mídia tem reportado estes ataques em escala Global
(no Brasil, as noticias são escassas por falta de regulamentação)
6. Mas por que as organizações
não estão inspecionando o
tráfego criptografado? A penalidade de
desempenho em um
sistema de segurança
quando a inspeção
SSL está ativa pode
chegar a até 81%.
Fonte: SSL Performance Problems, NSS Labs, 2013
7. U.S. Patents 7,310,815; 7,600,257; 7,738,380; 7,835,361
CPU 1
CPU 2
CPU 3
CPU 4
CPU n
n = 1024
Packet assembly-based process
(Processo baseado em montagem de pacotes)
Reassembly-Free Deep Packet Inspection® (RFDPI)
A arquitetura de inspeção correta é fundamental
para resolver qualquer problemas de performance
https://www.bravotecnologia.com.br/blog/111-
qual-e-o-futuro-dos-fabricantes-de-firewall-
baseados-em-asic.html
8. Confidential7/31/2018
• Design Massivo Multicore
de Alto Desempenho
• Até 96 núcleos de
processador / 77Ghz
• Interconexão de 240
Gbps
• Latência ultra baixa
Design ultra-multi-core para
redes de alto desempenho
9. HTTPS, SMTPS, NNTPS, LDAPS, FTPS, TelnetS, IMAPS,
IRCS e POPS — e independentemente da porta
SonicWall NGFW
SSL/TLS
SSL/TLS SSL/TLS SSL/TLS SSL/TLS
As organizações precisam de proteção de próxima geração
para eliminar os pontos cegos no tráfego SSL / TLS
O SSL/TLS é
decriptografado e
escaneado
Reencriptografado
SSL/TLS
Documento
ou Site Web
Criptografado Criptografado Criptografado Criptografado
10. Enviar alerta e
cancelar conexão1% 99%
99%
Download
Corrompido
Proteção contra malware
baseada em rede
1% de Download restante
50%https://hackerbay.com/ransomware/foo.exe
SonicWALL DPI-SSL Inspection
foo.exe
Reassembly-Free Deep Packet
Inspection (RFDPI) process
Inspecionando fluxos de pacotes antes que eles se
remontem para fazer coisas ruins em sua empresa
11. C&C e Exfiltração Dados (HHTPS)
11
Site "Bom"
comprometido
Servidor de
hospedagem
de malware
Visita à página via HTTPS
Pedido de Malware (HTTPS)
Execução de exploração (HTTPS)
Infecção por Malware (HTTPS)
DPI-SSL
(Descriptografia)
Servidor C&C
Servidor de
repositório
Vítima A
Vítima B
Espalha
Um exemplo de um ataque baseado em HTTPS que
passa por suas defesas atuais em “várias ocasiões”
12. 1 O cliente inicia o handshake SSL / TLS com
o servidor
2 O NGFW intercepta a solicitação e estabelece a
sessão usando seu próprio certificado no lugar do
servidor
3 O NGFW inicia o handshake SSL / TLS com o
servidor em nome do cliente usando o certificado
SSL / TLS definido pelo administrador
4 O servidor conclui o handshake e cria um túnel
seguro entre ele mesmo e o NGFW
5 O NGFW descriptografa e inspeciona todo o
tráfego vindo ou indo para o cliente em busca de
ameaças criptografadas
6 O NGFW criptografa novamente o tráfego seguro
e envia para o cliente e bloqueia as ameaças
criptografadas
O processo de decriptografar e inspecionar o tráfego
13. C&C e Exfiltração Dados (HHTPS)
13
Site "Bom"
comprometido
Servidor de
hospedagem
de malware
Visita à página via HTTPS
Pedido de Malware (HTTPS)
Execução de exploração (HTTPS)
Infecção por Malware (HTTPS)
DPI-SSL
(Descriptografia)
Servidor C&C
Servidor de
repositório
Vítima A
Vítima B
Espalha
Quebrando o ciclo da ameaça criptografada
Filtragem de URL
Antivírus de
Endpoint
Prevenção
contra intrusões
AntiMalware de
Rede
AntiMalware de
Nuvem
Filtro de Botnet
GeoIP
Filtro de Botnet
API de terceiros
SandboxingdeRede
16. • Análise de ameaças avançadas com vários mecanismos detecta mais ameaças, não pode ser evitada
• Sandbox virtualizado
• Full system emulation
• Análise do nível de hipervisor
• Análise ampla de tipos de arquivos
e de sistemas operacionais
• PE, MS Office, PDF, archives, JAR, APK
• Bloqueia no gateway até o veredicto
SonicWall “Capture - Advanced Threat Protection Service”
SonicWall NGFW
Ameaças avançados exigem múltiplas
e sofisticadas técnicas de identificação
17. • Equipe de pesquisa de
ameaças
• Rede de resposta
inteligente de resposta
global (GRID)
• Responsividade líder na
indústria
Inteligência Contínua de Contra-Ameaça
18. MaximumDPIConnections
4K–200K375K–1.25M2.5M–10M
Deep Packet Inspection Throughput Performance
Enterprise / Data Center
NSA Series
Carrier / ISP
SMB / Distributed Enterprise
50 - 3000 Mbps 3,500 - 12,000 Mbps
TZ Series
40M+
Branch/Campus
SuperMassive 9000
Series
SuperMassive E10000
Series
Firewall Sandwich Design
40,000 – 100,000+ Mbps
Linha de Produtos SonicWall NGFW
19. 19
A visão do SonicWall: prevenção contra violação em tempo real
O desafio
Ameaças Avançadas
A necessidade
Prevenção contra
Violações em Tempo Real
Facilitadores
• Next-generation
firewall escalável
• Capture:
Triple-engine cloud
sandbox for both
network and email
• High performance SSL
inspection
• Wireless/mobile access
security
• Email security
A solução
O valor da plataforma
SonicWall
Ransomware
Zero-Day
Malvertising
Encrypted
Malware
DDoS
Phishing
Qualquer veículo
• Email, Browser,
Apps, Arquivos
Inspecione todo o
tráfego SSL /
criptografado
Sandbox de nuvem
com vários motores,
todos os modelos (*)
Bloquear arquivos
desconhecidos até
que um veredicto seja
alcançado quase em
tempo real
(*) exceto SOHO
Qualquer dispositivo
• PC, Tablet, Phone,
IoT
Qualquer tráfego
• Criptografado,
não criptografado
Qualquer rede
• Cabeada, Wireless,
Mobile, Cloud
Componentes
Críticos