サイバーセキュリティのウェブサイトThirdCertainty.comで、Byron Acohidoが、検知ツールを回避するためのハッカーによる暗号化の使用と、こうした攻撃の必要性について、非常に重要な指摘をしている(検知 )。これは、Vectra 本部での水掛け論である。暗号化されたトラフィックは、攻撃者にとって格好の隠れ場所であり、組織にとっては対処が難しい。
しかし、このトラフィックを最初に復号化し、ディープ・パケット・インスペクションを実行し、その後再びラインレート速度で暗号化することで監視しようとするのは、専用のSSL復号化機能を使っても、特に長期的には問題がある。ここにはいくつかの要因がある。
プライバシーに対する世界的な欲求が高まる中、より多くのトラフィックがデフォルトで暗号化されている。クラウドアプリケーションの標準になりつつある。Sandvine Internet Phenomena Reportによると、昨年、北米では暗号化が倍増したという。
これは実は、特に消費者のプライバシーにとっては素晴らしいニュースだ。企業はすべてを暗号化する戦略を持っている。しかし、この暗号化では、SSL復号化を行おうとすると、大量の暗号化データが処理されることになる。
暗号化はトラフィック検査を弱体化させる
企業ネットワークにおける暗号化されたトラフィックの増加は、ディープ・パケット・インスペクション(DPI)に依存するセキュリティ技術に大きな影響を与えている。
さらに悪いことに、暗号化されたトラフィックを処理するための、中間者解読や検査といった従来のセキュリティ対応は、証明書や公開鍵のピン留めが増えるにつれて不可能になるだろう。
DPIに依存するデータ漏洩防止 (DLP) ソリューションの性能は最大95%低下する可能性があり、従来のシグネチャベースのIDSやIPSは最大80%の機能低下を被る。トラフィックを暗号化しないからといって、攻撃者の攻撃を防ぐことはできないからだ。
攻撃者の行動分析は暗号化されたトラフィックで機能する
その答えはネットワーク・トラフィックの挙動にある。パケットの中身を見るまでもなく、暗号化されたトラフィックには、攻撃者の行動を明らかにする多くの観察可能な特徴やパターンがあります。
パケットの特徴的な持続時間、タイミング、頻度、サイズを観察することで、ユーザーやホストデバイスが何をしているのかについて多くのことを知ることができます。トラフィックに適用されるデータ・サイエンス・モデルは、このような攻撃者の行動を明らかにします。データ・サイエンス・モデルをトラフィックに適用することで、こうした攻撃者の行動を明らかにすることができます。データ・サイエンス・モデルは、会話の主導権がどちらにあるのかを示し、特にそれが人間によるものなのか自動化されたものなのかを教えてくれます。
悪意のあるトラフィックの特徴的なパターンは、ボットネット、リモート・アクセス・トロイの木馬、マルウェアのアップデート、内部偵察行動、クレデンシャルの盗難、疑わしい認証、および攻撃者がサイバー犯罪を実行するために実行しなければならないその他のアクションを明らかにします。最も重要なのは、攻撃者がデータを流出させるために使用する、暗号化されたトラフィック内の隠れたトンネルを特定することです。
クリア・テキスト・ヘッダと組み合わせることで、ランダムなスナップショットやサンプルだけでなく、すべてのネットワーク・トラフィックの挙動にノンストップで焦点を当てることが、サイバー攻撃者の行動を検知する上で非常に効果的です。