*Por José Vicente Jonas França, Analista de Redes e Segurança da Informação na Infomach
Temos uma falsa sensação de segurança ao navegar pela internet quando visualizamos o cadeado verde de segurança, ao final, se é verde é bom, podemos ir clicando e acessando que estaremos seguros! Mas essa não é a realidade, as ameaças se adaptaram e estão utilizando desta segurança para fins maliciosos.
O Tráfego criptografado SSL/TLS está se tornando cada vez mais utilizado por toda internet. Segundo a NSS Labs, 75% da internet será criptografada até 2019.
O desafio: como manter a segurança da rede atualmente?
Vamos fazer uma analogia com a imagem acima: um policial (firewall) controlando o fluxo de tráfego. Ele consegue ver os carros (pacotes) e as placas (cabeçalhos). Ele consegue determinar quem pode prosseguir ou não pelo cruzamento (perímetro). Porém, ele não consegue ver se o carro possui uma bomba em seu porta-malas (payload).
Sem saber sobre a bomba (malware), o policial deixará a ameaça passar sob sua supervisão, sem saber o que está acontecendo.
Como resolver o problema?
Como podemos dar super poderes ao policial, para que seja possível olhar dentro do porta-malas e prevenir a ameaça, mesmo que esta bomba esteja dentro de um cofre (SSL/TLS)?
O Super-Policial (SonicWALL) consegue identificar as ameaças utilizando sua tecnlogia de RFDPI com inspeção de trafego criptografado e sandbox.
Esta tecnologia patenteada pela SonicWALL é capaz de identificar e prevenir as ameças conhecidas e desconhecidas, afinal de contas ninguém quer ser o paciente zero.
Todos conhecemos alguém que já foi vítima de sequestro de dados: Ransomware. Esta ameaça é uma fantástica fábrica de dinheiro para hackers ou qualquer pessoa mal-intencionada. Hoje, é possível contratar uma espécie de “serviço”, onde é possível enviar estas ameaças e fazer dinheiro com bitcoins com apenas alguns cliques. O Ransomware utiliza um túnel de comunicação SSL em seu centro de comando para iniciar a criptografia dos dados e pedir o resgate dos seus dados
Segundo a empresa Cybersecurity Venture, os danos provocados por Ransomware superam $5 Bilhões de dólares em 2017.
Como prevenir o ransomware e outras ameaças criptografadas com SonicWall?
As configurações são fáceis de serem ativadas, porém exigem ajustes para se adaptar as necessidades de cada rede.
- Assinatura do AGSS
- Ativar Gateway Antivirus
- Ativar Intrusion Prevention
- Ativer Geo-IP Filter
- Ativar Botnet Filter
- Ativar DPI-SSL Client Inspection
- Configurar Content Filtering Service
- Ativar e configurar Application Firewall Rules
- Ativar Capture(Sandbox)
Ponto de atenção: Aplicações com Certificate and Public Key Pinning
Estas aplicações não irão funcionar com a Inspeção SSL ativada. Considere configurar exclusões para seu funcionamento, porém estará abrindo uma brecha para malwares.
Exemplo: Dropbox Cliente, utiliza cert pinning, quando ativado dpi-ssl o cliente não irá sincronizar os arquivos. Criando uma exclusão o cliente irá funcionar, porém nenhum arquivo será inspecionado pelo SonicWall.
Solução alternativa: Utilizar a página do Dropbox para upload e download dos arquivos. Funcionará normalmente inspecionado pelo DPI-SSL, ou seja, com segurança.
Considerações finais
- Faça uma avaliação de risco e segurança para identificar suas necessidades
- Faça o upgrade para uma solução capaz de inspecionar todo o trafego SSL com Sandbox
- Atualize suas políticas de segurança para inspeção do tráfego SSL
- Treine constantemente sua equipe e colaboradores sobre o perigo de phishing e spams, engenharia social, sites maliciosos e downloads
- Nunca aceite certificados auto assinados ou inválidos para navegação
- Mantenha atualizados todos os softwares e sistemas operacionais. Isto irá corrigir vulnerabilidades de SSL já corrigidos.
