Google Create Faster Storage Encrypition for All Low-End Device

Por Swati Khandelwal em 08/02/2019 no site The Hacker News.

Google has launched a new encryption algorithm that has been built specifically to run on mobile phones and smart IoT devices that don't have the specialized hardware to use current encryption methods to encrypt locally stored data efficiently.

Encryption has already become an integral part of our everyday digital activities.

However, it has long been known that encryption is expensive, as it causes performance issues, especially for low-end devices that don't have hardware support for making the encryption and decryption process faster.

Since data security concerns have recently become very important, not using encryption is no more a wise tradeoff, and at the same time, using a secure but slow device on which apps take much longer to launch is also not a great idea.

Currently Android OS supports AES-128-CBC-ESSIV for full-disk encryption and AES-256-XTS for file-based encryption, and Google has already made it mandatory for device manufacturers to include AES encryption on most devices shipped with Android 6.0 or later.

However, unfortunately, many low-end and other connected devices today available in the market are exempted from using encryption because of poor AES performance (50 MiB/s and below).

Adiantum: Fast Local Storage Encryption for Every Device

To solve this issue, Google has once again stepped forward, this time with "Adiantum," a new form of efficient storage encryption that has been designed to protect local data without slowing down devices that don't support hardware-accelerated cryptography.

"Adiantum allows us to use the ChaCha stream cipher in a length-preserving mode, by adapting ideas from AES-based proposals for length-preserving encryption such as HCTR and HCH," Google said.

"On ARM Cortex-A7, Adiantum encryption and decryption on 4096-byte sectors is about 10.6 cycles per byte, around 5x faster than AES-256-XTS."

For those unaware, the ChaCha stream cipher is extremely secure and much faster than Advanced Encryption Standard (AES) when hardware acceleration is unavailable, as it exclusively relies on operations that all CPUs natively support—additions, rotations, and XORs.

According to Google, Adiantum has primarily been designed to become the next widely accepted alternative that offers maximum security along with sufficient performance on lower-end ARM processors.

"Our hope is that Adiantum will democratize encryption for all devices," Eugene Liderman, Director of Mobile Security Strategy at Android Security and Privacy Team says. "Just like you would not buy a phone without text messaging, there'll be no excuse for compromising security for the sake of device performance."

With Adiantum, Google is looking forward to making the next generation of phones and smart devices more secure than their predecessors by allowing everything—from smartwatches to Internet-connected medical devices—to encrypt users' sensitive data without compromising on the performance.

For more technical details about Adiantum and how it works, you can head on to the Google Security blog post and a white paper (PDF and GitHub) published by the company with more information.

Proteção definitiva contra hackers tem poucos átomos de espessura

Redação do Site Inovação Tecnológica -  07/12/2017

As camadas atômicas individualmente emitem luz, mas em multicamadas as propriedades mudam, com regiões aleatórias que emitem ou bloqueiam a luz. Esse padrão aleatório pode ser traduzido em uma chave de autenticação. [Imagem: NYU Tandon/Althea Labre]

Criptografia no hardware

Muitos especialistas em ciência da computação e segurança da informação afirmam que só estaremos a salvo de hackers e roubos de informações quando a segurança for incorporada no hardware.

Até agora a indústria não encontrou uma forma de viabilizar essa nova camada de proteção aos usuários, por isso tem havido um interesse crescente no desenvolvimento de mecanismos que sejam baratos e que possam ser incorporados nos aparelhos eletrônicos convencionais.

Uma opção promissora acaba de ser desenvolvida por Abdullah Alharbi, da Universidade de Nova Iorque, nos EUA.

Ele usou cristais de molibdenita, um dos materiais mais promissores para o futuro da computação, para criar primitivas de cibersegurança virtualmente impossíveis de serem clonadas.

As estruturas em camadas incorporam a aleatoriedade, um comportamento essencial para a construção das primitivas de segurança que devem criptografar e proteger os dados do computador - fisicamente, direto no hardware, e não por programação.

Proteção física contra hackers

Normalmente a molibdenita é um material formado por apenas uma camada atômica, mas a equipe cultivou os cristais em camadas. Ao variar a espessura de cada camada, eles descobriram ser possível ajustar o tamanho e o tipo da estrutura da banda de energia (bandgap), que por sua vez afeta as propriedades do material.

"Na espessura de monocamada, este material tem as propriedades ópticas de um semicondutor que emite luz, mas em várias camadas as propriedades mudam e o material já não emite luz. Esta propriedade é exclusiva desse material," explica o professor Davood Shahrjerdi, coordenador da equipe.

Ajustando o processo de crescimento do material, o filme vai incorporando aleatoriamente regiões que emitem ou não emitem luz. Ao final, quando o material pronto é exposto à luz, esse padrão se traduz em uma chave de autenticação única que pode proteger componentes de hardware com um custo mínimo - não dá pra fazer outro igual.

Incorporadas em circuitos integrados, essas primitivas de segurança à prova de clonagem podem ser usadas para proteger ou autenticar fisicamente o próprio hardware ou as informações digitais. Elas interagem com um estímulo - neste caso, a luz - para produzir uma resposta única que pode servir como uma chave criptográfica.

"Não são necessários contatos metálicos e a produção pode ocorrer independentemente do processo de fabricação dos chips," destaca Shahrjerdi. "É segurança máxima com um investimento mínimo".

Bibliografia:

Physically Unclonable Cryptographic Primitives by Chemical Vapor Deposition of Layered MoS2

Abdullah Alharbi, Darren Armstrong, Somayah Alharbi, Davood Shahrjerdi

ACS Nano

Vol.: Article ASAP

DOI: 10.1021/acsnano.7b07568

Rede quântica segura demonstrada em condições urbanas reais

Redação do Site Inovação Tecnológica -  01/09/2017

A ilustração, feita sobre uma foto dos prédios da universidade onde a demonstração foi realizada, mostra a codificação de múltiplos bits por fóton. [Imagem: SQO team/University of Ottawa]

Rede global de criptografia quântica

Se os computadores quânticos estão demorando mais do que gostaríamos para se tornarem realidade, as redes de comunicação e a criptografia quânticas prosseguem firmes rumo à utilização prática.

Pela primeira vez, pesquisadores canadenses conseguiram enviar uma mensagem com criptografia quântica contendo mais de um bit de informações por fótonatravés do ar livre acima de uma cidade.

O experimento mostrou a possibilidade prática de usar a comunicação quântica de alta capacidade pelo espaço livre para criar links totalmente seguros entre redes terrestres e satélites, um requisito para a criação de uma rede global de criptografia quântica.

Criptografia quântica

A criptografia quântica usa fótons para codificar informações na forma de bits quânticos. Na sua forma mais simples, uma espécie de "criptografia 2D", cada fóton codifica um qubit.

Alicia Sit e seus colegas da Universidade de Ottawa demonstraram que é possível estabelecer uma comunicação óptica no espaço livre, em condições reais, usando esquemas nos quais um único fóton pode codificar mais informações - um conceito conhecido como criptografia quântica de alta dimensão.

Com oito bits necessários para codificar apenas uma letra, por exemplo, empacotar mais informações em cada fóton aumenta significativamente a velocidade de transmissão de dados.

"Nosso trabalho é o primeiro a enviar mensagens de modo seguro usando criptografia quântica de alta dimensão em condições urbanas realistas, incluindo a turbulência," disse o coordenador da equipe, professor Ebrahim Karimi. "O esquema de comunicação seguro e pelo espaço livre que demonstramos pode potencialmente conectar a Terra com os satélites, conectar de forma segura locais onde é muito caro instalar fibras ou ser usado para comunicação criptografada com um objeto em movimento, como um avião".

• Primeira transmissão quântica via satélite

Criptografia 4D

A equipe chama seu esquema de criptografia de alta dimensão de "criptografia 4D" porque cada fóton codifica dois bits de informação, o que fornece quatro possibilidades - 01, 10, 00 ou 11.

Eles fizeram a demonstração em uma rede óptica de espaço livre entre dois edifícios na Universidade de Ottawa, um localizado a 300 metros do outro.

O próximo passo será implementar o esquema em uma rede que incluirá três links a cerca de 5,6 quilômetros de distância. Para isso eles usarão uma tecnologia conhecida como óptica adaptativa para compensar a turbulência - a mesma óptica adaptativa usada em telescópios.

Mais à frente, eles pretendem conectar sua rede a outra montada na mesma cidade por uma equipe da Universidade de Waterloo. "Nosso objetivo de longo prazo é implementar uma rede de comunicação quântica com múltiplos links, mas usando mais de quatro dimensões e tentar contornar a turbulência," disse Sit.

• China lança primeira rede de comunicações quântica

Bibliografia:

High-Dimensional Intra-City Quantum Cryptography with Structured Photons
Alicia Sit, Frédéric Bouchard, Robert Fickler, Jérémie Gagnon-Bischoff, Hugo Larocque, Khabat Heshami, Dominique Elser, Christian Peuntinger, Kevin Günthner, Bettina Heim, Christoph Marquardt, Gerd Leuchs, Robert W. Boyd, Ebrahim Karimi
Optica
Vol.: 4, Issue 9, 1006-1010
DOI: 10.1364/optica.4.001006

Chinese Quantum Satellite Sends First ‘Unhackable’ Data to Earth

Wang Wei
Em 09/08/2017 no site The Hacker News

In what appears to be the world's first quantum satellite transmission, China has successfully sent an "unbreakable" code over a long distance from an orbiting satellite to the Earth, achieving a milestone in the next generation encryption based on "quantum cryptography."

In August last year, China launched the world's first quantum communication satellite into the Earth’s orbit aboard a Long March-2D rocket to test the fundamental laws of quantum mechanics at space.

Dubbed Quantum Science Satellite, nicknamed Micius or Mozi (Chinese: 墨子), the satellite was designed to establish a 'Hack-Proof' communications system in this age of global surveillance by transmitting unbreakable encryption keys from space to the ground.

Now, it has been reported that using this satellite, the Chinese scientists at the Quantum Experiments at Space Scale (QUESS) project were able to send secret "quantum key distribution" (QKD) data by beaming photons from the space to the ground stations over longer distances than ever before.

The Chinese scientists successfully sent quantum keys over a distance of 1,200 Km (745 miles) from space to Earth at a transmission rate up to 20 of magnitudes more efficient than that expected using an optical fibre of the same length, lead scientist Pan Jianwei told the official Xinhua news agency.

"That, for instance, can meet the demand of making an absolute safe phone call or transmitting a large amount of bank data," Jianwei said.

The Quantum Science Satellite could become the world's first transcontinental quantum key distribution network of its kind and China hopes to erect a global quantum cryptography-based communications network in 2030.

Theoretically, the use quantum cryptography for encryption is secure against any interception, as the information is encoded in a quantum particle in a way that it'll be destroyed as soon as the system detects any intrusion attempts.

"Satellite-based quantum key distribution can be linked to metropolitan quantum networks where fibres are sufficient and convenient to connect numerous users within a city over 100 km," Jianwei said. 

"We can thus envision a space-ground integrated quantum network, enabling quantum cryptography- most likely the first commercial application of quantum information- useful at a global scale."

China has largely been ambitious to realise the importance of Quantum technology that's believed to be a new era of faster and more powerful super computers.

From past two decades, Quantum technology has been a top strategic focus in China's 5-year economic development plan. While the U.S. invested about $200 Million a year in quantum research, China spent $101 Billion in quantum physics in 2015.

Desafio: Achar uma versão mais segura do Dropbox

Serge Malenkovich
Em 02/08/2017 no site Kaspersky Lab

Se você usa o Dropbox, Google Drive ou Yandex, deve ser do tipo que gosta de ter todos os arquivos ao alcance. Ou ainda ter a possibilidade de compartilhá-los em segundos. Contudo, há quem ache que existem falhas na segurança desses serviços populares, concedendo acesso sem autorização ao seu acervo pessoal.

Disponibilizar acidentalmente fotos privadas ou fragmentos de códigos para colaboradores do serviço de hospedagem seria um erro terrível. Para minimizar esse risco, as informações no servidor precisam ser armazenadas criptografadas, de modo que apenas você consiga acessá-los! Como fazer isso acontecer?
A resposta está em outros serviços. Aqui, examinaremos as alternativas.

Antes de mais nada, analisemos os problemas que estamos tentando evitar.

1. Você envia o link de um arquivo para outra pessoa, mas ela pode compartilhá-lo com quem quiser.
2. Você perde seu computador ou celular, estranhos podem acessar seus dados.
3. Estranhos, colegas, governos ou hackers podem ver os dados que você armazena nesses serviços.

Só para deixar claro, você quer evitar tudo isso e manter o armazenamento no Dropbox. (O cenário mais seguro é não ter arquivos neste tipo de serviço, mas não estamos abordando filosofias de vida extremas.) Portanto, uma alternativa adequada para todas as suas informações em um computador, acesso offline aos arquivos específicos e capacidade de compartilhar links para baixá-los. Parece unânime dizer que queremos tudo isso, muito espaço e preço baixo.

Serviços padrão como Dropbox, Google Drive, OneDrive e outros não afirmam proteger o usuário dos riscos citados acima. Portanto, pessoas que se preocupam com a segurança de suas informações podem acabar optando por usá-los para armazenar apenas dados não sensíveis.  Diversos sites menos conhecidos e serviços alegam lutar contra esses problemas.

Ferramentas de criptografia para o Dropbox e outros serviços de nuvem comuns

Ferramentas como Boxcrypt e CloudFogger prometem criptografar seus arquivos no Dropbox – ou qualquer outro – impedindo acesso sem senha. Existem duas desvantagens nessa solução. Primeiro, você teria de usar dois serviços, ao invés de um (e talvez pagar por ambos). Segundo, lembrar de salvar no modo protegido, não no normal. Não discutiremos esse grupo detalhadamente, passaremos aos serviços criptografados de rede.

pCloud

US$48 dólares por ano para 500Gb; criptografia por US$4 ao mês (US$96/anual). Primeiros 20GB gratuitos; teste de 1 semana grátis para a ferramenta de criptografia;

Serviço que está se desenvolvendo dinamicamente, o pCloud oferece criptografia como ferramenta paga à parte. O serviço cria seu driver virtual em um computador, os arquivos ali salvos são enviados para a nuvem. Um usuário pode criar uma pasta criptografada separadamente no drive, seus conteúdos serão protegidos. No entanto, nem todos os recursos do pCloud estão disponíveis, usando essa funcionalidade de pastas.

Nem todos os arquivos no pCloud tem de estar fisicamente armazenados no computador; o aplicativo os transfere automaticamente quando o usuário precisa deles. Essa abordagem conserva espaço em disco, vital para laptops com SSDs de baixo volume. Porém, pode vir a ser um problema em qualquer situação sem cobertura de rede, como em um voo. Arquivos “favoritos” podem estar disponíveis offline, contudo esses não podem ser armazenados na pasta protegida.

O pCloud possui uma vantagem interessante: os dados no disco virtual não podem ser acessados até que você insira uma senha. Isso significa que se você perder seu laptop, quem achar não será capaz de acessar seus arquivos na nuvem. O aplicativo mobile perde para o Dropbox em sofisticação, mas é bem funcional e permite o download de fotos automaticamente, compartilhamento de links e documentos, armazena suas informações online, sem falar na função de Favoritos já citada. Todavia, a pasta criptografada não tem a funcionalidade de compartilhar os arquivos.

Sync.com

5GB gratuitos. US$96 por ano para 2TB de armazenamento na nuvem.

O canadense Sync.com combina a ideologia do Dropbox com criptografia confiável. Uma pasta selecionada em um disco é sincronizada com o armazenamento na nuvem, e qualquer arquivo pode ser compartilhado com outras pessoas sem força-las a instalar qualquer aplicação. Para isso, o Syn.com usa um esquema elegante: a senha de criptografia para um arquivo transmitida por meio de um parâmetro especial dentro da URL (depois do “#”). Então, a senha se mantém desconhecida, e o destinatário é capaz de baixar e visualizar o arquivo.
O Sync.com para desktop tem interface um pouco antiquada, mas user-fiendly e intuitiva. Infelizmente, o mesmo não pode ser dito sobre o aplicativo mobile. Parece pouco adaptado ao Android e iOS, possui essencialmente três funções: baixar arquivos para o dispositivo sob solicitação, subir fotos para o servidor, e deletar arquivos. Você não pode escolher um arquivo para uso offline ou compartilhar um link criptografado sem baixa-lo.

Tresorit

100 euros por ano para 100GB. Teste gratuito de duas semanas.

A combinação poderosa do Tresorit entre facilidade de uso e segurança aproximam o produto da perfeição. Uma pasta criptografada no servidor tem o nome de “Tresor”, o programa recomenda a criação de diversas dessas para variados propósitos e grupos. Cada uma pode ser sincronizada com seu computador, bem como configurada para acesso compartilhado entre usuários.

As pastas Tresor, comuns e arquivos individuais são fáceis de compartilhar com terceiros mesmo que não tenham o Tresorit. Cada link pode ter uma data de validade, número de downloads e outras restrições. Um modo experimental chamado Tresorit Drive parecido com o do pCloud: ao habilitar essa função, as pastas Tresor tornam-se disponíveis em um disco virtual separado e tomam muito menos espaço se estivessem em um disco físico.

O aplicativo mobile do Tresorit tem o visual interessante e é user-friendly. Pode ser usado para indicar pastas Tresor ou arquivos individuais para armazenamento offline, gerar links para pastas, carregar fotos para a nuvem automaticamente, proteger o aplicativo com senha e mais.

Conclusões

Veja a tabela abaixo que compila informações úteis sobre as alternativas seguras ao Dropbox. É apenas um resumo: não conta a história completa. Por exemplo, o pClod possui vantagem única: protege dados em um computador, não apenas em seus servidores. Contudo, quando você leva tudo em consideração, o Tresorit se destaca. Embora não proteja arquivos localmente, outras ferramentas como BitLocker e VeraCryp podem ser mais interessantes.

Por fim, a perfeição não pode ser atingida, portanto, temos de escolher o que é mais importante.

	Dropbox	SpiderOak ONE	pCloud	Sync.com	Tresorit
Armazenamento gratuito	2GB	Não	20GB (sem criptografia)	5GB	Não
Plano pago mínimo	$100/1TB	$59/100GB	$96/500GB	$96/2TB per year	$125/100 GB
Proteção de arquivos compartilhados	Não	Sim	Não (Não disponível para pastas compartilhadas)	Sim	Sim
Proteção contra perdas	Não	Não	Sim	Não	Não
Criptografia no servidor	Não	Sim	Sim	Sim	Sim
Contas com autenticação de dois fatores	Sim	Sim	Não	Sim	Sim
Nossa nota de usabilidade para o aplicativo desktop (0 a 5)	5	3	4	4	5
Nossa nota para usabilidade do aplicativo mobile (0 a 5)	5	2	3	2	4

Quatro estratégias para evitar que a criptografia sequestre a rede

Lora O'Haver *

Publicada em 01 de agosto de 2017 no site CIO.

Netdeep Tecnologia

Embora a criptografia mantenha o seu tráfego de rede seguro contra ataques virtuais e criminosos cibernéticos, ela também pode impedir que as suas ferramentas de segurança e monitoramento visualizem o interior dos pacotes que passam pela sua rede. Cientes de que muitas empresas movimentam dados criptografados sem inspeção dentro das suas redes, os criminosos cibernéticos usam a criptografia para ocultar malwares e fazer ataques, efetivamente sequestrando a sua rede. Para manter as defesas fortalecidas e ao mesmo tempo limitar o risco de violações de segurança e de perdas de dados, é necessário descriptografar, examinar e recriptografar todo o tráfego de rede. 

O ônus da descriptografia

Dispositivos de descriptografia precisam ser muito poderosos. Os algoritmos de criptografia estão ficando cada vez mais longos e complexos, a fim de resistir aos ataques cibernéticos. Segundo um teste feito pelo NSS Labs anos atrás, a migração de cifras de 1024-bits para 2048-bits levou a uma queda de desempenho média de 81% em oito dos principais firewalls. No entanto, a descriptografia SSL não precisa ser executada em um firewall. Surgiram novas estratégias para descarregar e enviar textos simples para as ferramentas, permitindo que estas funcionem de maneira mais eficiente e processem um volume maior de tráfego. Abaixo estão quatro estratégias para tornar a descriptografia mais fácil, rápida e rentável.

Estratégia 1: Remova o tráfego malicioso antes de fazer a descriptografia

Muitos endereços de IP utilizados em ataques cibernéticos são reutilizados e conhecidos pela comunidade de segurança. Diariamente, organizações dedicadas a isso rastreiam e verificam ameaças cibernéticas conhecidas, mantendo essas informações num banco de dados. Ao comparar pacotes que entram e saem com essa base de dados, é possível identificar tráfego malicioso e bloqueá-lo da sua rede. Como a comparação é feita com cabeçalhos de pacote em formato de texto simples, essa estratégia elimina a necessidade de descriptografar os pacotes. Eliminar o tráfego associado a hackers conhecidos reduz o número de pacotes a serem descriptografados. A eliminação do tráfego que normalmente criaria um alerta de segurança ajuda a equipe de segurança a melhorar a produtividade.

A maneira mais rápida de implantar essa estratégia é instalar um aplicativo de hardware personalizado chamado “porta de ligação de informações de ameaça” em frente ao firewall. Este aplicativo é projetado para realizar um bloqueio rápido e em grande volume, incluindo de países não confiáveis, e é atualizado continuamente por um feed de informações de ameaça integrado. Uma vez instalada, a porta de ligação não requer intervenção manual e nem a criação ou manutenção de filtros. O tráfego malicioso pode ser eliminado imediatamente ou enviado a uma área de segurança para análise. Dependendo do setor de mercado ao qual a sua empresa pertence e da frequência com a qual ela é visada, é possível reduzir os alertas de segurança em até 80 por cento.

É possível também configurar filtros customizados no seu firewall para bloquear endereços de IP específicos. Infelizmente, os filtros de firewall devem ser configurados e mantidos manualmente e há um limite para o número de filtros que podem ser criados. A explosão de dispositivos conectados e de endereços de IP comprometidos excede a capacidade dos firewalls. Além disso, a utilização dos ciclos de processamento em um dispositivo avançado como um firewall para fazer comparações simples não é uma maneira rentável de bloquear o tráfego.

Estratégia 2: Procure recursos de descriptografia avançados

Após a remoção dos pacotes criptografados que se originam ou são destinados a fontes maliciosas, é necessário instalar um dispositivo de descriptografia para processar o restante dos dados. Muitas ferramentas de segurança, tais como firewalls de próxima geração (NGFW) ou sistemas de prevenção de invasão (IPS), incluem um recurso de descriptografia SSL. No entanto, um estudo publicado pela NSS Labs alertou sobre o fato de que algumas ferramentas não possuem as cifras mais recentes; deixam escapar comunicações de SSL que ocorrem em portos não padronizados; não conseguem descriptografar o volume prometido; e podem até oferecer acesso rápido a algumas conexões sem executar nenhum tipo de descriptografia.

A criptografia depende dos últimos avanços para ficar um passo à frente dos criminosos cibernéticos. As soluções de segurança precisam ser compatíveis com os padrões de criptografia mais recentes, ter acesso a uma ampla variedade de cifras e algoritmos e ter a capacidade de descriptografar tráfego com chaves maiores de 2048-bits e 4096-bits, assim como chaves mais novas Elliptic Curve. Conforme a tecnologia de segurança vai se tornando cada vez mais complexa, as soluções precisam processar a descriptografia de maneira eficiente e rentável, sem eliminar pacotes, introduzir erros ou falhar na conclusão de uma inspeção completa.

Conforme o volume de tráfego SSL cresce, a qualidade das soluções de descriptografia se torna cada vez mais importante para a obtenção de visibilidade total da rede.  Além disso, a defesa em profundidade é uma boa prática muito difundida, que frequentemente envolve múltiplos dispositivos de segurança da melhor qualidade (tais como um firewall e IPS separados). É extremamente ineficiente que cada um desses dispositivos descriptografe e recriptografe o tráfego separadamente, pois isso aumenta a latência e reduz a eficácia das diretrizes e da visibilidade total. 

Estratégia 3: Escolha ferramentas de operacionalidade simples

Outro recurso importante é a facilidade com a qual os administradores podem criar e gerenciar diretrizes relacionadas à descriptografia. Isto é importante para empresas que precisam seguir as normas Health Insurance Portability and Accountability Act (HIPAA), Federal Information Security Management Act (FISMA), Payment Card Industry Data Security Standard (PCI DSS), Sarbanes- Oxley Act (SOX) e outras similares. As melhores soluções oferecem uma interface de arrastar e soltar para a criação de filtros e o recurso de enviar ou mascarar informações de forma seletiva com base no reconhecimento de padrões (tais como números de previdência social). Essas soluções também facilitam a manutenção de um registro completo de cada uma das cifras de SSL utilizadas e de todas as exceções relacionadas a sessões interrompidas, falhas de SSL, certificados inválidos e sessões não descriptografadas devido a questões de diretriz. Esses registros detalhados são valiosos para auditorias, análises forenses e resolução de problemas na rede e planejamento de recursos.

Estratégia 4: Plano para atingir uma escalabilidade rentável

Conforme o volume de tráfego criptografado aumenta, a descriptografia terá um impacto cada vez maior no desempenho de sua infraestrutura de segurança. Por isso, vale a pena planejar com antecedência. Embora pareça lógico simplesmente “ligar” o recurso de descriptografia SSL no firewall ou na solução de Unified Threat Management (UTM) solution, a descriptografia é uma função de processo intensivo. Conforme o tráfego de SSL aumenta e cada vez mais ciclos são necessários para a descriptografia, isto afetará o desempenho e as ferramentas podem começar a excluir pacotes. 

Para aumentar o fluxo de tráfego através de um dispositivo multifuncional, a única opção é aumentar a capacidade total. Esse acréscimo de capacidade gera um custo de capital significativo e alguns recursos possuem um custo extra para garantir que o dispositivo aceite a descriptografia.

Uma opção melhor é usar uma solução de visibilidade de rede ou um network packet broker (NPB) com descriptografia SSL para o descarregamento de ferramentas de segurança. Muitas empresas utilizam o NPB para agregar tráfego na rede, identificar pacotes relevantes e distribuí-los para as ferramentas de segurança em alta velocidade. Os NPBs que utilizam aceleração de hardware podem processar tráfego com taxas de linha sem perda de pacote e carregar o balanço automaticamente. Elas também eliminam a necessidade de múltiplos dispositivos embutidos executando a descriptografia/recriptografia de forma independente.  Além de ter um custo de expansão mais baixo do que a maioria dos aplicativos de segurança, o NPB oferece um retorno mais rápido sobre o investimento. 

Conclusão

Conforme a Internet tender cada vez mais para o tráfego criptografado, os ataques no tráfego SSL se tornarão mais comuns. Por isso, para proteger os dados e as redes contra os hackers e criminosos cibernéticos, é essencial inspecionar todo o tráfego de rede criptografado. As empresas que não adotarem uma inspeção rigorosa do tráfego criptografado estarão arriscando a segurança de rede e criando um risco inaceitável de violações e perda de dados. Felizmente, estão surgindo novas soluções para melhorar a eficiência e a rentabilidade da descriptografia de SSL.

(*) Lora O'Haver é gerente Sênior de Marketing de Soluções da Ixia