A criptografia dificulta significativamente os sistemas de detecção de intrusões (IDs) que dependem de inspecionar o conteúdo
do tráfego de rede . Aqui está um detalhamento do porquê e das áreas específicas afetadas:
*
Detecção baseada em assinatura: * Este método depende do reconhecimento de padrões ou assinaturas conhecidas nos pacotes de rede. Se o conteúdo for criptografado, as assinaturas estarão ocultas, tornando essa abordagem ineficaz.
* Por exemplo, um IDS pode detectar uma string específica conhecida por fazer parte de um malware executável. Se esse executável for transmitido por uma conexão criptografada (https, ssh, vpn), os IDs não verão a string e, portanto, não acionarão um alerta.
* Análise do protocolo
: * Muitos protocolos (por exemplo, HTTP, SMTP, FTP) têm estruturas e comandos específicos que um IDS pode analisar para anomalias. A criptografia obscurece essas estruturas, dificultando ou impossível a análise de protocolo.
* Mesmo que a própria conexão seja criptografada, os metadados dentro do protocolo podem fornecer pistas sobre o tipo de tráfego. Por exemplo, a indicação do nome do servidor (SNI) pode revelar o nome do host que está sendo acessado via HTTPS. O SNI criptografado (ESNI) e o cliente criptografado Hello (ECH) visa criptografar esse metadado, dificultando ainda mais a detecção.
*
Detecção de anomalia: * Embora a detecção de anomalia ainda possa funcionar com o tráfego criptografado, sua eficácia é reduzida.
* Se o IDS for treinado em dados não criptografados, não saberá como será "normal" no fluxo criptografado. Pode detectar padrões de tráfego incomuns com base no tamanho, tempo ou frequência do pacote, mas não será capaz de identificar o conteúdo específico que causa a anomalia. Esse risco aumentado de falsos positivos e falsos negativos.
Áreas específicas onde a eficiência diminui: *
Detectando downloads de malware: Os sistemas IDS que procuram arquivos executáveis ou scripts maliciosos sendo baixados sobre HTTP/FTP serão cegos se o tráfego for criptografado.
*
Identificando os dados da exfiltração: Se os dados sensíveis forem criptografados antes de serem enviados para fora da rede, os IDs não poderão detectá -los com base no conteúdo dos dados.
*
Reconhecendo comandos maliciosos: Se um invasor estiver usando um canal criptografado (por exemplo, SSH) para emitir comandos para uma máquina comprometida, os IDs não poderão ver os próprios comandos.
*
Monitorando ataques de aplicativos da web: Os ataques comuns de aplicativos da Web (por exemplo, injeção de SQL, scripts entre sites) são frequentemente transmitidos dentro do corpo de solicitação HTTP. Se https for usado, os IDs não poderão inspecionar o corpo da solicitação.
O que ainda funciona (até certo ponto) com criptografia: *
Análise de tráfego de rede (metadados): Mesmo com a criptografia, um IDS ainda pode analisar metadados como:
* Endereços IP e portas
* Tamanho e frequência do pacote
* Tempo das conexões
* Informações de certificado TLS/SSL (SNI, emissor, etc.)
* Duração da conexão
* Bytes transferidos
* Strings agentes do usuário (embora estes possam ser falsificados)
* JA3/s Assinaturas
* Suítes cifras usadas
Esse metadados pode ser usado para detectar padrões de comunicação suspeitos, mesmo que o conteúdo esteja oculto. Por exemplo, um aumento repentino no tráfego para um endereço IP malicioso conhecido ou uso incomum de certificados pode ser sinalizador para uma investigação mais aprofundada.
*
Detecção e resposta do terminal (EDR): As soluções EDR operam nos computadores individuais dentro da rede, para que não sejam tão afetados pela criptografia. Eles podem monitorar processos, atividades do sistema de arquivos e alterações no registro para detectar comportamentos maliciosos, mesmo que o tráfego da rede seja criptografado.
* Análise comportamental: Isso envolve a análise do comportamento do usuário e da entidade dentro da rede para identificar desvios de padrões normais. Isso pode ser eficaz mesmo com a criptografia, pois se concentra no "quem", "o quê", "onde" e "quando" da atividade, em vez de "como".
em resumo: A criptografia reduz a capacidade dos sistemas tradicionais de detecção de intrusões de inspecionar o conteúdo do tráfego de rede, dificultando a detecção de ataques baseados em assinatura, anomalias de protocolo e tipos específicos de exfiltração de dados. Os sistemas de IDS precisam se adaptar ao concentrar -se na análise de metadados, análise comportamental e integração com as soluções de detecção e resposta de terminais para manter a eficácia em ambientes criptografados. A ascensão do cliente criptografado Hello (ECH) e outras tecnologias de aprimoramento da privacidade exigem ainda mais abordagens inovadoras para o monitoramento da segurança da rede.
