Segurança mais forte começa
com visibilidade da rede

Corrija a lacuna em sua arquitetura de segurança.

Você não pode proteger o que você não pode ver

Você planejou cuidadosamente sua arquitetura de segurança de rede e comprou as mais recentes e avançadas ferramentas de segurança. Mas isso não é suficiente.

  • Até 50% do tráfego nunca chega às suas ferramentas de segurança por causa de pacotes descartados ou pontos cegos
  • Malware pode se esconder dentro do tráfego SSL/TLS criptografado
  • Os atacantes agora usam a falsificação de portas para escapar da detecção do perímetro

Uma postura de segurança eficaz baseada em princípios de confiança zero requer ver todo o tráfego em sua rede — não apenas uma parte. Você também precisa saber quais são as ameaças e a melhor maneira de responder. O Gigamon Visibility and Analytics Fabric facilita, dando-lhe uma plataforma para visibilidade profunda e generalizada em toda a sua rede, e fornecendo insights para caça rápida de ameaças,investigação e forense.

SSL/TLS como um vetor de ameaça potencial

A criptografia SSL/TLS está aumentando à medida que as empresas enfrentam mandatos de segurança mais rigorosos, precisam garantir rankings de SEO ideais, implantar mais cargas de trabalho na nuvem e fazer uso mais amplo de aplicativos de software como serviço (SaaS). Na verdade, mais de 90% do tráfego de internet em todo o mundo está agora criptografado.[1]

Infelizmente, a criptografia não se limita a festas bem intencionadas. Considere que mais de 2,8 milhões de ataques cibernéticos em 2018 estavam escondidos no tráfego criptografado.[2] Os cibercriminosos usam criptografia para ocultar malware, ocultar o tráfego de comando e controle e camuflar a exfiltração de dados roubados.

Dada a quantidade de tráfego criptografado, inclusive com o mais recente protocolo criptográfico TLS 1.3, o vetor de ameaça que ele representa agora e a importância da inspeção de tráfego para uma Postura de Confiança Zero, você precisa de uma maneira de descriptografar eficientemente o tráfego SSL, compartilhá-lo com ferramentas e, em seguida, re-criptografá-lo.

O que é descriptografia ssl/tls descriptografia?

Para proteger dados vitais, empresas e outras organizações implementam o TLS (Transport Layer Security, segurança de camada de transporte), comumente referido como a SSL (Secure Socket Layer, camada segura” substituída, para criptografar dados à medida que são trocados por redes IP. O SSL/TLS cria um canal seguro entre o servidor e o computador do usuário final ou outros dispositivos à medida que trocam informações pela internet.

O TLS é um padrão do setor baseado em um sistema de regras e certificados confiáveis emitidos pelas autoridades de certificados e reconhecidos pelos servidores. O SSL foi substituído pelo padrão TLS em 2015. Em 2018, o TLS 1.3 foi padronizado, o que obriga o uso do Perfect Forward Secrecy para segurança máxima. Até 40% das grandes empresas já instituíram esta última encarnação.[3]

Ao mesmo tempo em que protege os dados, a criptografia também cega as ferramentas de segurança de rede e monitoramento de aplicativos. A descriptografia do tráfego SSL/TLS é crucial para essas ferramentas. No entanto, é extremamente computacionalmente intensivo e pode introduzir latência de rede.

A melhor arquitetura minimiza a descriptografia necessária para inspecionar todo o tráfego relevante, oferecendo controles legais e de privacidade. A abordagem centralizada para descriptografar o SSL oferecido pela Gigamon — descriptografar uma vez e alimentar todas as ferramentas — fornece tal arquitetura.

Descriptografar uma vez e dimensionar sua pilha de segurançav

A descriptografia do SSL é fundamental para proteger as redes corporativas atuais devido ao crescimento significativo de aplicativos e serviços usando tráfego criptografado. O malware usa cada vez mais sessões SSL/TLS para se esconder, confiante de que as ferramentas de segurança não inspecionarão nem bloquearão seu tráfego. Quando isso acontece, as sessões SSL/TLS podem se tornar uma responsabilidade, camuflando inadvertidamente o tráfego malicioso. Em outras palavras, a própria tecnologia que torna a internet segura pode se tornar um vetor de ameaça significativo.

A habilitação do descriptografamento SSL usa o certificado raiz em máquinas clientes, atuando como Autoridade de Certificado para solicitações SSL. Esse processo permite descriptografar, realizar uma inspeção detalhada e, em seguida, reriptografar o tráfego SSL antes de enviá-lo para o seu destino. Isso ajuda a garantir que apenas o tráfego SSL autorizado esteja entrando na rede, e que o malware escondido nas sessões SSL/TLS seja exposto e tratado.

Descriptografia GigaSMART

GigaSMART SSL/TLS Decryption é um aplicativo licenciado que permite que equipes de segurança da informação, NetOps e aplicativos obtenham visibilidade completa no tráfego SSL/TLS, independentemente do protocolo ou aplicativo, para que possam monitorar o desempenho do aplicativo, analisar padrões de uso e proteger suas redes contra violações de dados e ameaças usando comunicações criptografadas. Gigamon suporta descriptografia inline/man-in-the middle e passiva/out-of-band do SSL/TLS, atendendo às diversas necessidades de sua organização. Gigamon suporta o mais recente TLS 1.3.®

  • Detecção de SSL/TLS em qualquer porta ou aplicativo
  • Suporte à interface de 10 Mb a 100Gb
  • Descriptografar uma vez, compartilhar com quaisquer ferramentas quantas vezes você precisar
  • Forte suporte cripto, incluindo Diffie-Hellman Ephemeral, curvas elípticas, Poly1305/ChaCha20
  • Controles de energia sobre validação de certificados, extensão de listas de revogação de certificados e Protocolo de Status de Certificado Online (OCSP)
  • Integração com a Plataforma de Proteção de Confiança Venafi™ centralizar o gerenciamento e validação de chaves
  • Atender aos requisitos de privacidade e conformidade: suporte incluído para categorização de URL e certificação FIPS 140-2 Nível 2

Port Spoofing: O perigo oculto para sua rede

Parafraseando o clássico anúncio do serviço público, são 10 p.m., você sabe o que está na sua rede? A dura realidade é que, se você está confiando em ferramentas de segurança que usam a atribuição do porto para determinar se o tráfego deve ser inspecionado e por quais ferramentas, então não, você provavelmente não sabe o que está em sua rede. Neste blog explicarei algumas razões pelas quais é assim, e como a Gigamon pode lidar com uma vulnerabilidade emergente.

Pacotes disfarçados
Vamos falar sobre uma maneira relativamente nova que os atacantes estão iludindo a detecção, especificamente através da falsificação de portas.

Spoofing de porta é uma forma de falsificação de rede. A falsificação de rede descreve um tipo específico de ataque cibernético, no qual um ator de ameaças tenta obter acesso a uma rede falsificando um usuário, dispositivo, porta de rede ou computador autorizado. Através da falsificação de porta/rede uma vez que o invasor tenha acesso, eles são capazes de se mover facilmente através de seus sistemas, comprometendo seus dados vitais.

Spoofing de porta é uma falsificação de rede que depende do uso de portas TCP/UDP de rede não padrão. Existem muitas variações e detalhes, mas a ideia básica é que um invasor tenta contornar as salvaguardas do perímetro direcionando o tráfego de rede com intenção maliciosa usando portas não padrão (leia-se: inesperada).

Exemplo: Port Spoofing SSH Traffic
Um dos exemplos mais comuns e perigosos, que vou investigar aqui, é a falsificação de tráfego de protocolo de conchas seguras (SSH). O SSH é geralmente atribuído à porta 22. As ferramentas de segurança supõem que o tráfego SSH usará a porta 22, e quase todas as equipes de rede do mundo mantêm essa porta completamente bloqueada. Eles não querem, afinal, estranhos aleatórios iniciando sessões SSH dentro de suas redes, controlando servidores e transferindo arquivos.

protegido. Direita?

Não é bem assim.

Não porto 22, mas porto 443
E se alguém falsificasse o tráfego da SSH? Digamos que eles enviem para a porta 443 em vez da porta 22. A porta 443 é amplamente utilizada para HTTPS/SSL/TLS. O tráfego HTTPS é totalmente onipresente na empresa moderna, tanto para atividades críticas aos negócios quanto para pessoas físicas. Os firewalls de TI não vão bloquear rotineiramente a porta 443/HTTPS, tornando-se assim um ponto de entrada ideal para atacantes.

Vulnerabilidade: Avaliação do tráfego apenas por porta
Você vê o problema: Se sua infraestrutura de segurança determinar o tráfego legítimo da Internet apenas por porta, então ele não notará nada incomum sobre esses pacotes falso-HTTPS que poderiam ser sessões SSH que abrigam malware disfarçado ou transportando dados confidenciais.

Para adicionar insulto à lesão, pensando que esse tráfego é HTTPS, a rede pode até enviar esse tráfego hostil de SSH para ferramentas irrelevantes em sua suíte (por exemplo, um firewall de aplicativo web) que são incapazes de analisá-lo. Se você fala uma língua estrangeira para mim, eu não vou compreender o significado. Da mesma forma, quando a maioria das ferramentas de segurança recebem o tipo errado de tráfego, eles não podem analisá-lo. Eles receberão SSH e o tratarão como HTTPS, dando de ombros e dizendo “Eu não sei o que é isso” antes de continuar a ignorá-lo.

SSH: Está chamando de dentro da casa
Isso é ruim porque o SSH é um dos protocolos mais arriscados que uma organização poderia permitir.

Quão ruim? Um ator mal-intencionado poderia usar spoofing para criar um cliente SSH dentro da rede corporativa, definindo-o para ouvir uma determinada porta externa. Então é uma questão simples enviar comandos para ele através de um servidor externo de comando e controle. O invasor pode causar todos os tipos de dano, seja para plantar malware, exfiltrar arquivos ou até mesmo redirecionar consultas internas de banco de dados para um banco de dados externo sob seu controle, sem nenhum mais sábio.

Outro agressor poderia subornar um membro da equipe de limpeza para esconder um Raspberry Pi debaixo do chão e conectá-lo à rede. A TI nota um aumento do tráfego “SSL” para um determinado endereço IP, mas, ei, isso é coisa de serviços web, então sem maior percepção das ferramentas de segurança, eles apenas assumem que os desenvolvedores estão trabalhando em algum projeto e deixam isso assim. Mais uma vez, o atacante tem carta branca para fazer o que quiser.

Isso pode estar acontecendo agora. Se suas ferramentas de monitoramento não são inteligentes o suficiente para olhar além de significantes superficiais como porta de destino, como você saberia?

Você não pode se esconder da inspeção de pacotes profundos
Não basta apenas monitorar o tráfego indo e vindo dos portos; você precisa de informações sobre o que esse tráfego realmente é — uma capacidade de olhar além do número da porta, usando dpi (Deep Packet Inspection, inspeção de pacotes profundos) para identificar corretamente aplicativos e protocolos. Na Gigamon, nos referimos a isso como inteligência de aplicativos.

A Gigamon introduziu recentemente o Application Filtering Intelligence, que identifica mais de 3.000 aplicativos comuns de negócios e consumidores usando inspeção profunda de pacotes. A Inteligência de Filtragem de Aplicativos não olha apenas para os cabeçalhos externos, mas também olha mais profundamente para o pacote. Analisamos profundamente as características únicas do pacote que definem um determinado aplicativo.

No caso de falsificação de porta, a Gigamon pode alertá-lo para o fato de que o tráfego de aplicativos SSH camuflado estava sendo enviado através da porta 443.

Então é fácil de resolver, quer isso signifique atualizar regras para bloquear esse tráfego ou alguma outra forma de remediação. O ator ruim pode tentar falsificar para qualquer porta que quiser, mas toda vez que a Inteligência filtrante de aplicativos Gigamon irá identificá-la corretamente.

Infelizmente, os atacantes estão continuamente evoluindo suas táticas. É provável que os atacantes passem para outros vetores assim que perceberem que as organizações estão em seu jogo de spoofing de porta. A Gigamon está comprometida em ajudá-lo a monitorar e controlar melhor o tráfego da rede, para que você esteja pronto para o que vem a seguir.

Visibilidade de confiança zero

Em um mundo onde a força de trabalho está mudando para um modelo de “trabalhar em qualquer lugar, trabalhar a qualquer hora”, mover-se para uma Arquitetura de Confiança Zero simplesmente faz sentido.

O princípio fundamental da Zero Trust é mover seu perímetro defensivo da borda da rede para ativos dentro da rede.

A visibilidade de todas as informações em movimento na rede é fundamental para apoiar uma estratégia abrangente do Zero Trust.

Como um primeiro passo crítico que você precisará:

  • Identifique e classifique seus dados
  • Mapear fluxos de seus dados confidenciais
  • Descriptografia do tráfego para visibilidade completa (Norte-Sul e Leste-Oeste)
  • Realizar segmentação básica de rede
  • Entenda sua topologia de rede
  • Dispositivos e aplicativos de inventário

Aproveite a visibilidade e a malha de análise™ com descriptografia centralizada do SSL/TLS para eliminar pontos cegos de rede e obter informações sobre seus ativos de rede.

Você precisa de visibilidade. Período.

O tecido de visibilidade e análise de Gigamon™ vai além de qualquer corretor de pacotes de rede para fornecer uma abordagem mais inteligente e proativa para gerenciamento de rede, monitoramento e segurança. Ele fornece dados otimizados e de fidelidade total às ferramentas de segurança e monitoramento de desempenho, melhorando drasticamente a eficácia e a eficiência da ferramenta. A detecção e resposta de ameaças de alta velocidade proporciona paz de espírito, enquanto a orquestração e automação avançadas permitem que suas equipes netOps e InfoSec façam mais, mais rápido.

É por isso que as empresas globais 1000 recorreram à Gigamon para uma rede mais resiliente e segura. Construído para as infraestruturas híbridas atuais, o Gigamon Visibility and Analytics Fabric fornece uma arquitetura de visibilidade unificada em ambientes físicos, virtuais e em nuvem.

  • Escalável: Visibilidade em todos os dados em trânsito, desde pacotes brutos até aplicativos, em qualquer velocidade de rede
  • Smart: Recursos automatizados e de ponta a ponta desde acesso, agregação e transformação até detecção e resposta a ameaças
  • Pervasivo: Uma arquitetura comum abrange redes físicas, virtuais e em nuvem para eliminar pontos cegos e simplificar o gerenciamento

Elementos da malha de Visibilidade e Análise

Adeus Network Blind Spots. Olá Dados de Fidelidade Total.

O primeiro passo para a visibilidade da rede é coletar dados de fidelidade total. Seja na nuvem, contêineres ou no local. A aquisição de dados confiáveis pode ser complicada porque as configurações da porta SPAN geralmente ficam sobrecarregadas, levando a pacotes descartados. Além disso, o NetFlow é frequentemente amostrado, para evitar cargas excessivas em roteadores e switches. Simplifique e desafogue sua rede com TAPs gigamon e nodes de agregação.

TaPs e acenos de agregação da rede Gigamon

  • TAPs físicos gigamon
  • TAPs virtuais gigamon (GvTAPs)
  • Aparelhos de visibilidade GigaVUE®
  • GigaVUE Virtual Nodes

Reduzir o risco em ambientes altamente dinâmicos

As redes atuais estão mudando rapidamente, e funcionários, dispositivos e infraestruturas estão mais distribuídos do que nunca. Gigamon ThreatINSIGHT™ é a primeira solução de detecção e resposta de rede (NDR) nativa da nuvem e de alta velocidade que é construída com propósito para permitir que você fique na frente dessa transformação.

  • Encontre ameaças ocultas na rede. Descubra ameaças em comunicações criptografadas e melhore sua higiene geral de segurança.
  • Automatize investigações e respostas de segurança. Priorize e classifique incidentes para se concentrar nos incidentes e ativos mais arriscados.
  • Otimize os fluxos de trabalho e o rastreamento de segurança. Ir de reativa para rastreamento e mitigação proativas, rastreando ameaças mesmo durante a mudança.