Sur le site web de cybersécurité ThirdCertainty.com, Byron Acohido soulève des points très importants concernant l'utilisation du cryptage par les pirates pour éviter les outils de détection et la nécessité de détecter ces attaques. Il s'agit d'une discussion autour d'une fontaine à eau au siège de Vectra . Le trafic crypté est une cachette facile pour les attaquants et difficile à gérer pour les organisations.
Cependant, essayer de surveiller ce trafic en le décryptant d'abord, en effectuant une inspection approfondie des paquets, puis en le recryptant à des vitesses de ligne est problématique, même avec un décryptage SSL dédié, en particulier à long terme. Plusieurs facteurs entrent en jeu.
Avec le désir croissant de protection de la vie privée dans le monde, le trafic est de plus en plus crypté par défaut. Il devient une norme pour les applications cloud . Le Sandvine Internet Phenomena Report indique que le cryptage a doublé l'année dernière en Amérique du Nord.
Il s'agit en fait d'une excellente nouvelle, en particulier pour la protection de la vie privée des consommateurs. Les entreprises ont pour stratégie de tout crypter. Cependant, avec ce cryptage, les tentatives de décryptage du SSL signifient qu'il y aura de grands volumes de données cryptées à traiter.
Le cryptage nuit à l'inspection du trafic
La croissance du trafic crypté dans les réseaux d'entreprise a un impact important sur les technologies de sécurité qui reposent sur l'inspection approfondie des paquets (DPI), dont l'efficacité est fortement réduite à mesure que le trafic est crypté.
Pire encore, les mesures de sécurité traditionnelles pour traiter le trafic crypté, telles que le décryptage et l'inspection de l'homme du milieu, deviendront impossibles à mettre en œuvre en raison de l'augmentation de l'épinglage des certificats et des clés publiques.
Les performances des solutions de prévention des fuites de données (DLP), qui reposent sur l'IAP, pourraient être dégradées jusqu'à 95 %, tandis que les IDS et IPS traditionnels basés sur des signatures subissent une perte de fonctionnalité pouvant aller jusqu'à 80 %. Cela ne signifie pas que la sécurité doive être la raison de ne pas crypter, car ne pas crypter le trafic n'empêche pas les attaquants de le faire de toute façon.
L'analyse du comportement des attaquants fonctionne sur le trafic crypté
La réponse réside dans le comportement du trafic réseau. Sans même regarder ce qui se trouve à l'intérieur d'un paquet, le trafic crypté présente de nombreuses caractéristiques et schémas observables qui révèlent les comportements des attaquants.
L'observation de la durée, du moment, de la fréquence et de la taille des paquets permet d'en savoir beaucoup sur ce que font les utilisateurs et les appareils hôtes. Les modèles de science des données appliqués au trafic révèlent ces comportements des attaquants. Ils montrent quelle partie contrôle une conversation et indiquent notamment s'il s'agit d'une conversation humaine ou automatisée.
Les schémas distinctifs du trafic malveillant mettent en évidence les réseaux de zombies, les chevaux de Troie d'accès à distance, les mises à jour de malware , les comportements de reconnaissance interne, le vol d'informations d'identification, l'authentification suspecte et d'autres actions que les attaquants doivent effectuer pour mener à bien une cybercriminalité. Plus important encore, ils identifient les tunnels cachés dans le trafic crypté que les attaquants utilisent pour exfiltrer des données.
En combinaison avec les en-têtes en texte clair, le fait de se concentrer en permanence sur le comportement de l'ensemble du trafic réseau - et pas seulement sur des instantanés et des échantillons aléatoires - est extrêmement efficace pour détecter les comportements des cyber-attaquants.