quarta-feira, 7 de junho de 2017

Nunca é tarde para olhar para o lado obscuro do HTTPs

Vlamir Alem *
Publicada em 07 de junho de 2017 no site CIO

Ao longo dos últimos meses escutamos diferentes empresas e experientes profissionais apontando, através de relatórios e análises setoriais, que a inspeção HTTPS por empresas de segurança é na verdade um ato que fragiliza a segurança. Mas o posicionamento da SonicWall é exatamente o oposto. 
Conforme o último Relatório Anual de Ameaças 2017, a crescente adoção de HTTPs, que já responde hoje por mais de 62% de todo tráfego de internet, apresenta desafios importantes, a ponto de afirmar que apenas inspecionando com profundidade este tipo de tráfego será possível ter níveis adequados de segurança para empresas.
Para início de conversa, sugerimos que você examine a raiz deste desafio: o tráfego HTTPS e as razões de sua existência. 
Há diferentes diferentes motivos que justificam o fato de todos nós estarmos usando tráfego criptografado ao navegar na internet, incluindo aí as várias violações, os escândalos ou as preocupações de privacidade. A grande maioria dos sites nos quais navegamos na internet hoje usa criptografia. Isso inclui transações bancárias, acesso a sistemas públicos, e sites de comércio eletrônico, mas também inclui todas as redes sociais e também o tráfego de e-mail. Até mesmo uma simples pesquisa na internet está agora codificada através de uma sessão HTTPS. 
Alguns podem argumentar explicitamente e indefinidamente que este é um grande salto para a privacidade. O problema, é que isso obviamente também inclui potenciais meios de camuflagem para criminosos. A verdade é que a correria louca para criptografar todo tráfego de internet aparentemente também criptografou todas as ameaças. 
https
Se você pensar realmente nisso, cada importante violação de dados nos últimos cinco anos ou entrega de tráfego malicioso, ocorreu dentro de uma comunicação criptografada ou foi realizada contra o tráfego criptografado. Isso naturalmente inclui ataques como spear phising e ransomware incorporados a e-mails entregues através de tráfego criptografado. O mais notório ataque até hoje, explorando o WannaCry, promoveu estragados de bilhões de dólares em todo o mundo, em um ataque sincronizado nunca antes observado.
O Wannacry foi realizado entregando conteúdo malicioso através de comunicações normalmente criptografados. A parte desconcertante é que a grande maioria dessas brechas poderia ter sido evitada por procedimentos de segurança adequados,  treinamentos regulares para usuários finais e sobretudo, por inspeções proativas do trafégo de dados criptografados.
Aqui é onde as coisas ficam confusas. Para inspecionar conexões criptografadas ou pacotes de dados dentro da sessões criptografadas em si, os provedores de segurança devem agir como um "man-in-the-middle" e essencialmente quebrar a sessão criptografada entre um client e um local de destino. Este é o caminho pelo qual vários provedores tentam garantir a privacidade da conexão dos usuários, quando vêm um fornecedor de segurança quebrar a criptografia deliberadamente para inspecionar por potenciais violações. 
Este movimento de fechar e abrir pacotes criptografados é hoje é uma máxima em nossos dias.
Por outro lado, em alguns casos, este nível de inspecção é mesmo obrigatória por leis em diversos países. Por exemplo, é exigido o bloqueio de qualquer referência com pornografia em escolas elementares nos Estados Unidos, e qualquer falta neste sentido, aponta consequências graves para as organizações que não conseguem fazê-lo. No Brasil esta realidade é a mesma e, relação a temas como cyber-bullying. Não estou falando apenas sobre o bloqueio de URLs de sites populares, e sim garantir a análise de todo tráfego, não importa se está ou não criptografada, e isto em tempo real, para garantir que conteúdos inapropriados não cheguem desavisadamente a quem não deveriam.
Sim, tenho certeza, que iremos ouvir alguns dizendo que a privacidade dos usuários finais é mais importante até do que manter as crianças fora do alcance de algumas eventuais imagens com conteúdo adulto, mas apesar de discordarmos desta abordagem, propomos olhar sobre o lado obscuro do HTTPs sob um outro aspecto, o mundo corporativo.
Suponhamos que um grande banco que gerencia as economias de milhares de pessoas contrata um novo empregado empenhado em ficar rico rapidamente. E este é um cenário fácil de ocorrer. Um dia, enquanto trabalhava até tarde, este novo funcionário abriu um arquivo contendo as mil contas mais lucrativas e o enviou para sua unidade de armazenamento pessoal disponível em uma nuvem ou através de uma conta de webmail, ambos criptogrados via HTTPS. Como pode as políticas de segurança do banco serão eficientes se ele não puder inspecionar o tráfego HTTPS? 
A verdade sobre HTTPS é bastante simples, e a conclusão pode ser dolorosos. Se você não está fiscalizando suas comunicações criptografadas, então você está essencialmente cego para mais de 65% do seu uso da internet global. Significa que se você tiver uma conexão de Internet de 100 Mbps, você pode ter, em média, 65 Mbps que não estão sendo inspecionados da devida forma contra potenciais ameaças. Isso equivale a aproximadamente sete vezes a capacidade de dados de um DVD por hora. 
Então, a verdadeira pergunta que você deve fazer é, "estou realmente com sorte, certo?"
Inspecionar com profundidade e desempenho deve ser obrigatório para garantir que potenciais perdas de desemepenho sejam usadas como justificativa para que critérios de segurança não sejam adotados neste momento de tantas incertezas e volume crescente de novos ataques.

(*) Vlamir Além é líder de marketing da SonicWall para América Latina
- See more at: http://cio.com.br/opiniao/2017/06/07/nunca-e-tarde-para-olhar-para-o-lado-obscuro-do-https/#sthash.SUdIf7UF.dpuf

Nenhum comentário:

Postar um comentário