HTTPS, SSL- und TLS-Verschlüsselungen zählen heute zu den Standardprotokollen, um sicher durchs Netz zu surfen. Was viele nicht wissen – oder gar ignorieren: Cyber-Kriminelle nutzen den verschlüsselten Datenverkehr zu ihren Gunsten und verbreiten darüber Malware. Wie sie das machen und warum Netzwerksichtbarkeit unter IT- und Security-Entscheidern kein Fremdwort sein sollte, erklärt Ali Moniri, Senior Sales Engineer bei Gigamon.
Cisco hat es bereits 2018 vorhergesagt und heute ist es traurige Realität: Web-Verschlüsselungen sind unter Cyber-Kriminellen mittlerweile zu einem beliebten Angriffs-Tool avanciert. Das bestätigen auch die Zahlen von Watchguard Threat Lab. Hinter SSL- oder TLS-Verschlüsselungen verbirgt sich sage und schreibe 93 Prozent der Malware. Eine beunruhigende Entwicklung, von der sich IT- und Security-Entscheider augenscheinlich nicht sonderlich beeindrucken lassen. Denn laut einer aktuellen Studie von Gigamon wissen nur 21 Prozent von ihnen, was verschlüsselter Traffic in ihr Netzwerk bringt. Der Rest verzichtet darauf, ihn auf potenzielle Bedrohungen hin zu überprüfen, wodurch Blind-Spots entstehen.
Dies könnte unter anderem daran liegen, dass die Entschlüsselung, Analyse und Rückverschlüsselung des Datenverkehrs nicht nur zeitintensiv ist, sondern auch enorme Rechenleistung und folglich auch Kosten verschlingt. Gleichzeitig leidet auch das Sicherheitsniveau, wenn IT- und Security-Entscheider der Verschlüsselung blind vertrauen.
Web-Verschlüsselung als Angriffsvektor
Wer regelmäßig im Internet unterwegs ist, weiß: Das „s“ in HTTPS steht für secure. Dank fortschrittlicher SSL- und TLS-Verschlüsselung schützt das Web-Protokoll die Übertragungsdaten vor ungewollten Eingriffen durch Dritte. Auf diese Weise wahrt es zudem Authentizität und Integrität der Informationen. So groß das Sicherheitsgefühl auch ist, welches mit dem „s“ vermittelt wird, so allgegenwärtig ist die potenzielle Gefahr, die mittlerweile davon ausgeht.
Denn Cyber-Kriminelle nutzen diese Sicherheitsmechanismen, um ihre bösartigen Machenschaften zu realisieren. Dafür kreieren sie eine authentisch wirkende HTTPS-Webseite – einschließlich SSL- oder TLS-Verschlüsselung. Allerdings beinhaltet diese Malware. Via Phishing-E-Mail senden sie einen Link an Unternehmen; ahnungslose Empfänger gehen von einer legitimen Nachricht aus, rufen die Webseite auf und öffnen der Malware damit alle Türen zum Netzwerk. In der Regel schenken weder IT- und Security-Entscheider noch herkömmliche Sicherheitslösungen dem verschlüsselten Datenverkehr Beachtung. Erstere vertrauen ihm bedingungslos, letztere sind zumeist gar nicht in der Lage, diese Daten zu erfassen und zu analysieren. Sobald die Malware ihr Ziel erreicht hat, bewegt sie sich ungehindert durch das Netzwerk, infiziert weitere Systeme und begünstigt den Diebstahl von (sensiblen) Daten.
Als ob die Gefahr aus dem Netz nicht schon genug wäre, erschweren IT-Landschaften, die immer komplexer werden, die Suche nach Bedrohungen. Die Anzahl neuer, auf verschiedene Umgebungen verteilter Technologien, Anwendungen und Daten steigt stetig und sorgt so für eine eingeschränkte Sicht. Nur 28 Prozent der IT- und Security-Entscheider berichten laut Gigamon-Studie von vollständiger Einsicht. Diese Intransparenz hindert Unternehmen daran, Sicherheitsarchitekturen wie Zero-Trust effektiv umzusetzen. Schließlich müssen sie dafür genau nachvollziehen können, wo welche Daten liegen und wer oder was Zugriff darauf hat.
Keine Chance für unsichtbare Gefahren
Die Lösung für dieses Problem liegt somit auf der Hand. Da Sicherheitslösungen allein aufgrund ihrer eingeschränkten Funktionalität nicht bis hinunter zur Netzwerkebene greifen, müssen IT- und Security-Entscheider auf anderem Weg für eine höhere Sichtbarkeit sorgen, die den verschlüsselten Datenverkehr mit einschießt.
Eine Möglichkeit bieten Decryption-Lösungen. Sie entschlüsseln den Traffic, analysieren dessen Inhalte und verschlüsseln die Daten wieder. Diese Methode erlaubt es IT- und Security-Mitarbeitenden, Gefahren zu identifizieren, die der Datenverkehr unbemerkt einzuschleusen versucht. Allerdings ist dieses Vorgehen nicht nur umständlich, sondern auch kostspielig. Eine ressourcenschonende Alternative bieten Network-Visibility-Lösungen, die die Transparenz innerhalb der IT-Umgebung bis auf Netzwerkebene gewährleisten (Deep-Observability). Dafür sorgen Funktionen wie das Application-Filtering oder die Deduplizierung. Beim Application-Filtering werden die eingehenden Datenpakete aus unbekannten/riskanten sowie bekannten/vertrauenswürdigen/weniger riskanten Quellen aufgeteilt. Daten, die unter die letztere Kategorie fallen, werden nicht entschlüsselt und analysiert, was die Rechenleistung und gleichzeitig die Kosten senkt. Deduplizierung funktioniert ähnlich, wobei einzigartige Datenpakete priorisiert werden. Verfügt die Lösung über Precryption-Technologie, entfallen die Entschlüsselungs- und Rückverschlüsselungsprozesse sogar gänzlich. Im Rahmen dieser Monitoring-Methode werden die Daten noch vor der Verschlüsselung automatisch erfasst, was sämtliche Gefahren aufdeckt, die sich im Traffic befinden.
Intransparenz ist keine Option mehr
Wer auf Monitoring und Analysen von verschlüsseltem Web-Traffic verzichtet, riskiert langfristig, dass Cyber-Kriminelle über diesen mittlerweile sehr beliebten Weg Malware unbemerkt ins Unternehmensnetzwerk schleusen. Nur mit vollständiger Sichtbarkeit bis hinunter auf Netzwerkebene können IT- und Security-Entscheider Blind-Spots aufdecken und dieser Gefahr entgegenwirken.
#Gigamon
