SSL/TLS é um protocolo de rede projetado para oferecer segurança adicional a outros protocolos usando criptografia. É comumente usado em HTTPS para proteger o tráfego Web, mas o recente uso de HTTPS por malwares tornou os recursos de inspeção SSL um componente essencial na estratégia de segurança cibernética de uma organização.
O que é HTTPS e como funciona a inspeção SSL/TLS?
O HyperText Transfer Protocol Secure (HTTPS) é uma versão segura do protocolo HTTP básico. Ao navegar na internet, qualquer página que tenha o ícone de cadeado na barra de endereço está usando HTTPS para se comunicar entre o computador que solicita a página e o servidor onde ela está armazenada.
HTTPS usa o protocolo Transport Layer Security (TLS) – anteriormente conhecido como Secure Sockets Layer (SSL) – para adicionar segurança ao HTTP. Com SSL/TLS, HTTPS é capaz de verificar a identidade do servidor web e criptografar todo o tráfego que flui entre o cliente e o servidor.
Com a conexão estabelecida, o tráfego HTTP é enviado através deste túnel, criptografando-o e incorporando-o na seção de dados dos pacotes SSL/TLS. Em seu destino, o outro computador descriptografa os dados e os processa com base no protocolo HTTP.
Para que isso seja possível, o cliente e o servidor precisam ter uma chave secreta compartilhada para criptografia. O SSL/TLS cria isso usando um protocolo de handshake onde o cliente e o servidor concordam com os parâmetros a serem usados e compartilham uma chave secreta usando criptografia de chave pública ou assimétrica para protegê-lo de espionagem.
Benefícios do SSL/TLS
O uso de SSL/TLS torna o HTTPS mais lento e menos eficiente que o HTTP. No entanto, o protocolo também oferece vários benefícios importantes:
Privacidade: HTTPS criptografa o tráfego web de um usuário, garantindo a privacidade dos dados. Com Perfect Forward Secrecy (PFS), ele ainda protege as mensagens de serem descriptografadas se as chaves vazarem no futuro usando valores aleatórios que são excluídos após o término de uma sessão.
Integridade de dados: HTTPS usa códigos de autenticação de mensagem (MACs) para garantir que os dados não tenham sido modificados em trânsito. Isso protege contra erros de transmissão e modificações maliciosas.
Autenticação: A fase de handshake do SSL/TLS usa o certificado digital do servidor web, que verifica a identidade do servidor. HTTPS também pode ser configurado para provar a identidade do cliente.
A necessidade de inspeção SSL/TLS
O uso de SSL/TLS em HTTPS oferece segurança para o tráfego Web que contém informações confidenciais. Embora isso seja valioso para a privacidade do usuário, também é útil para os cibercriminosos. Malwares estão usando cada vez mais HTTPS para ocultar atividades de C&C (Command and Control).
A inspeção SSL/TLS envolve a execução de uma interceptação do tipo MitM (Man-in-the-Middle) em conexões que entram ou saem da rede de uma organização. Isso permite que a o tráfego seja inspecionado em busca de conteúdo malicioso.
Benefícios da inspeção HTTPS
A inspeção HTTPS oferece vários benefícios de segurança e desempenho de rede, incluindo:
Melhor identificação de aplicativos: Descriptografar o tráfego HTTPS permite que uma organização identifique os aplicativos usando a conexão e aplique políticas de roteamento e segurança específicas para cada um deles.
Aplicação de filtragem de URL: A inspeção do tráfego HTTPS permite que uma organização bloqueie o tráfego para sites inseguros ou inadequados.
Filtragem de conteúdo malicioso: A inspeção HTTPS permite que soluções de segurança cibernética verifiquem conteúdo malicioso. O conteúdo pode ser testado em uma sandbox e o conteúdo malicioso pode ser removido de arquivos usando tecnologias de desarme e reconstrução de conteúdo (CDR).
Impacto no desempenho da inspeção HTTPS
A inspeção HTTPS requer um firewall de próxima geração (NGFW) para descriptografar uma conexão, inspecionar os dados que ela contém em busca de conteúdo malicioso e, em seguida, criptografá-lo antes de encaminhá-lo para seu destino. Isso pode criar uma latência de rede significativa, especialmente se o NGFW não tiver a capacidade de realizar inspeção em tempo real.
A implementação de uma solução de segurança escalável é essencial para garantir que uma organização possa se adaptar ao aumento da largura de banda do tráfego. Uma solução de rede em hiperescala permite que uma organização adicione mais recursos para atender à demanda sem adquirir sistemas dedicados adicionais.
SAIBA MAIS: NGFW: O que é o Next Generation Firewall?
Práticas recomendadas para inspeção HTTPS de rede
A inspeção HTTPS pode melhorar drasticamente a segurança Web de uma organização. Ao implementar um NGFW para inspeção HTTPS, adote as seguintes práticas:
Inspeção de entrada x saída: A inspeção de entrada analisa o tráfego que flui para o cliente, enquanto a inspeção de saída monitora o tráfego para o servidor. A inspeção de entrada pode proteger servidores web internos aplicando proteções IPS (Intrusion Prevention System).
Respeite as preocupações legítimas de privacidade: Alguns tipos de dados são protegidos por regulamentações como LGPD, GDPR, PCI DSS e HIPAA. As regras de inspeção HTTPS devem ser configuradas para ignorar o tráfego que provavelmente contém esses tipos de dados confidenciais (ou seja, para instituições financeiras, organizações de saúde etc.).
Lista de Bypass: A inspeção HTTPS aumenta a latência da rede e é desnecessária para determinados sites confiáveis. Um NGFW deve ter a capacidade de usar uma lista de bypass atualizável para determinar qual tráfego não deve ser inspecionado.
Certificado do Gateway: Importe o certificado do gateway para que o navegador do terminal confie no certificado de segurança. Isso é essencial para eliminar os avisos do navegador e criar uma melhor experiência de usuário.
Um NGFW deve oferecer suporte a esses recursos, além dos outros importantes, como por exemplo:
Gerenciamento User-Friendly
Prevenção contra ameaças
Inspeção e controle de aplicativos
Inspeção e controle com base em identidade
Desempenho escalável
Fonte: Check Point
Conheça o Next Generation Firewall da Check Point
A Check Point Software Technologies é uma fornecedora líder de soluções de segurança cibernética para governos e empresas corporativas em todo o mundo. As soluções da Check Point protegem os clientes contra ataques cibernéticos de 5ª geração.
Obtenha o melhor gerenciamento de segurança unificado. Gerencie todas as soluções de segurança com uma política unificada, reunindo redes, nuvens, dispositivos móveis, endpoints e workloads. Descubra, investigue e impeça ataques rapidamente, com 99,9% de precisão.
Teste a solução gratuitamente! Oferecemos demonstrações individuais de nossas soluções. Entre em contato com nossos especialistas para testar Check Point em seu ambiente.
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
