SSL - Säker kommunikation
SSL-Inspection är en funktion som används alltmer flitigt inom IT och kommer som en extra funktion på nya generationens Brandväggar. Kort innebär det att informationen mellan en dator och en server övervakas i klartext, även om kommunikationen är tänkt att vara krypterad.
Vi ser ett par identifierade problem med att använda SSL-inspection:
- Brandväggen utgör en risk eftersom den nu fungerar som NAV för krypterad kommunikation. Sällan analyseras trafiken som går ut på WAN-sidan, så vi vet inte om informationen lämnar verksamheten.
- Korrelationsdata är ett främmande ord. För att analysera och identifiera ett angrepp behöver vi all loggdata, alltså både från en endpoint (dator) men även brandväggens IDS-data. Vid incidenter gräver man manuellt i separata loggar och bygger ett händelseschema vilket är extremt tidskrävande. Inte särskilt proaktivt.
- SSL-inspection bryter "Chain-of-Trust". Ett exempel är när vi behöver ansluta säkert till en extern kund som kräver krypterad kommunikation; genom att låta vår verksamhets brandvägg läsa av kommunikationen som skulle vara krypterad bryter vi denna kedja.
- Undantag finns där implementering av SSL-inspection kan vara nödvändig, exempelvis på grund av produktionsmaskiner. Dessa maskiner är ofta specialanpassade och inte lämpliga för ändringar. Men en sådan lösning hanteras genom en separat intern proxyserver som övervakas separat.
Säkerhetsagent
Genom att använda vår säkerhetsagent och vår Next-Gen brandvägg bevarar vi Chain-of-Trust och förenklar korrelationsanalys.