De aanname dat versleuteld verkeer veilig is in een wereld waar organisaties in toenemende mate vertrouwen op internet, is een misvatting. Terwijl tls-encryptie is ontwikkeld om verkeer te beschermen tegen buitenstaanders, zijn criminelen dit type verkeer gaan gebruiken om hun aanvallen te verbergen. Dit maakt van encryptie een potentiële dreiging.
Hoewel het scannen van al het verkeer van een organisatie veel uitdagingen met zich meebrengt, moet data wel beschermd worden. Zeker wanneer data onderweg zijn. En encryptie is nog steeds de meest praktische manier om die bescherming te bieden. Daarnaast is het, in de zakelijke omgeving van vandaag, niet alleen essentieel om de bedrijfsmiddelen te beschermen, maar ook om de privacy van individuen te bewaken. Tls-encryptie ondersteunt in beide missies.
Hoe werkt encryptie?
Secure sockets layer (ssl)-encryptie en zijn opvolger transport layer security (tls) brengen veilige tunnels tot stand tussen een browser en een bestemming met behulp van een door een derde partij gevalideerd ‘public-key’-certificaat. Deze certificaten, en de relatie die zij tot stand brengen, creëren een set van onderling verbonden ‘ketens van vertrouwen’. Als een organisatie een dergelijk certificaat koopt van een browser-recognized trust vendor, gaat de organisatie door als een vertrouwd lid van die keten. Als een werknemer vervolgens terechtkomt op een door tls beschermde site, wisselen de browser en de website credentials (het certificaat) uit zodat de daaropvolgende communicatie versleuteld is.
Cybercriminelen weten dat tls-encryptie de standaard is binnen de industrie voor het beschermen van data. Zij weten ook dat organisaties het merendeel van hun versleutelde verkeer nog steeds niet scannen. Uit een recent rapport, bleek dat de Zscaler-cloud tussen januari en september 2020, ruim zes miljard securitydreigingen blokkeerde die verborgen waren in versleuteld verkeer. Dit is een gemiddelde toename van 260 procent ten opzichte van 2019. Deze cijfers tonen het risico van versleuteld verkeer wanneer het zonder inspectie binnenkomt in het bedrijfsnetwerk. Om deze reden zou tls-scanning een belangrijk component moeten worden van de beveiligingsmaatregelen van elke organisatie.
Organisaties die ervoor kiezen hun encrypted verkeer niet te scannen, gebruiken vaak misleidende redeneringen voor hun besluit. Hieronder een aantal bezwaren tegen tls-scanning dat onwaarheden over encryptie in stand houdt:
- Mythe 1: Mijn organisatie is geen doelwit van hackers
De meest voor de hand liggende en potentieel de meest misleidende reden is dat organisaties hun verkeer niet scannen omdat dat zij zich simpelweg niet bewust zijn van het gevaar. Kwaadwillenden maken geen verschil tussen grote of kleine organisaties; zij zijn op zoek naar makkelijke doelwitten. Tegenwoordig is het niet langer de vraag of u ooit aangevallen wordt, maar wanneer. Elke organisatie moet daarom begrijpen wat er nodig is om zich te beschermen tegen malware dat verborgen zit in zijn versleuteld verkeer.
- Mythe 2: Encrypted verkeer mag niet onderschept worden omwille van privacy
Ja, het inspecteren van encrypted verkeer kan persoonlijke informatie onthullen, maar dit is niet zijn beoogde doel. Het is een balans tussen het beheren van de risico’s die de organisatie loopt en het respecteren van privacy. TLS-inspectie wordt gebruikt om potentiële dreigingen te identificeren die zijn verstopt in encrypted dataverkeer. Om deze dreigingen te identificeren ontsleutelt een inspectieapparaat de data, houdt het tegen een set van bekende kwetsbaarheden en inspecteert de datastroom om de dreigingsrisico’s te bepalen. Als de data geen bedreiging vormt, wordt het opnieuw verpakt en verder verzonden. Wanneer het scannen van dataverkeer op deze manier uitgevoerd wordt, is TLS-inspectie niet in strijd met privacyreguleringen omdat de data niet gedeeld worden. Evenmin maakt het inbreuk op individuele privacyrechten.
- Mythe 3: Online-anonimiteit is niet langer gegarandeerd
Anonimiteit is een belangrijk onderdeel van internet, maar in een zakelijke omgeving zijn er grenzen. Werknemers verwachten dat browsen anoniem is voor hun collega’s, management en zelfs security-teams. Of tenminste, totdat een risico of dreiging de behoefte triggert om die anonimiteit te verwijderen. Alleen als er echt gevaar bestaat, heeft een organisatie het recht om te reageren. Een organisatie heeft zelfs een institutioneel en wettelijke verplichting om zijn middelen te beschermen. Dit betekent ook het beschermen van de communicatie tussen werknemers. Om tls-inspectie succesvol uit te voeren en om te voldoen aan privacy- en security-mandaten, moet encrypted verkeer tijdens de inspectie worden omgeleid naar een nieuwe tunnel tussen de browser en het te inspecteren apparaat. Als deze veilig is, moet er een nieuwe tunnel opgezet worden tussen het geïnspecteerde apparaat en de eindbestemming. Geen enkele organisatie kan voldoen aan privacyreguleringen als de AVG – laat staan dat zij hun werknemers en bedrijfsbelangen kunnen beschermen – zonder uitgebreide inspectie van encrypted dataverkeer.
- Mythe 4: Het overtuigen van data privacy officers zal een zware strijd zijn
Het bezwaar van data privacy officers is misschien wel de moeilijkste hindernis die overkomen moet worden. Er zijn echter een paar simpele regels om samen met juridische afdelingen tot een overeenkomst te komen en ze draaien voornamelijk om communicatie. Data privacy officers moeten kennis hebben van de gevoeligheid van de data en van de controles die geplaatst zijn om deze data te beschermen. Het is daarom goed om hen vanaf het begin te betrekken.
- Mythe 5: Vakbonden zullen het monitoren van werknemers verbieden
Vakbonden zullen vergelijkbare bezwaren hebben als juridische afdelingen als het gaat om het monitoren van werknemers op het werk. Educatie is daarom belangrijk om uit te leggen hoe tls-scanning werkt en waarom deze oplossing essentieel is. Vakbonden moeten begrijpen dat het doel niet is om inzicht te krijgen in wat een individu doet tijdens werkuren, maar dat het gaat om het beschermen van de data van de organisatie in het gevecht tegen malware. Het kan helpen om de technische details van tls-scanning uit te leggen. Wanneer verkeer ontsleuteld of gescand wordt op kwaadaardige activiteiten, worden de logs geanonimiseerd en kunnen zodoende niet snel gelinkt worden aan een individu. Zodra de inspectie van de data is voltooid, gaat de datastroom ongehinderd door, zonder dat de brongegevens worden bewaard. Alleen in het geval van een kritiek security-incident kan het zijn dat er verder gekeken wordt naar deze data.
- Mythe 6: De technologie kan niet worden geschaald om al het encrypted verkeer te scannen
Zelfs it-afdelingen hebben mogelijk bezwaren tegen het scannen van encrypted internetverkeer. Dit komt waarschijnlijk door hun kennis over de beschikbare security-infrastructuur en, in het bijzonder, zijn beperkingen. Het probleem is dat traditionele on-premises security-tools lastig de prestaties en capaciteit kunnen bieden die nodig zijn om verkeer effectief te decrypten, inspecteren en opnieuw te encrypten. Cloudgebaseerde oplossingen bieden hier uitkomst omdat ze de mogelijkheid bieden om op- en af te schalen.
- Mythe 7: Een derde partij kan niet vertrouwd worden met inspectie
Vertrouwen is een van de lastigste aspecten van security – wie of wat vertrouw je, waarom vertrouw je het, en het belangrijkste, hoe valideer en meet je dat vertrouwen? Op het eerste gezicht lijkt een cloudgebaseerde dienst een hogere mate van vertrouwen nodig te hebben terwijl deze providers in werkelijkheid in staat zouden moeten zijn hun auditresultaten met de organisatie te delen en te kunnen laten zien dat zij compliant zijn. Bovendien moet een clouddienst iedere dag werken voor dat vertrouwen: hun service is zo betrouwbaar als hun meest recente probleem of succes.
Conclusie
Door de dreiging van encrypted malware is tls-inspectie een essentieel onderdeel van de cybersecurity-posture van elke moderne onderneming geworden. De organisatie moet daarbij zelf zijn security-behoeften afwegen tegen de privacyrechten van hun werknemers.
Een organisatie die tls-verkeer niet inspecteert, stelt zichzelf bloot aan onnodige risico’s, waaronder blootstelling van persoonlijk identificeerbare informatie, gestolen intellectueel eigendom, industriële spionage of zelfs ransomware-infecties.
