De verborgen veiligheidsrisico's van exploderend https-verkeer

  1. 11 mrt 2015
  2. 0 reacties
DEN HAAG - WATCHGUARD - PORTRETTEN

Op het moment dat een bedrijfsnetwerk niet is voorbereid op een forse groei van het HTTPS-verkeer, loopt de organisatie grote beveiligingsrisico's. Dat klinkt wellicht tegenstrijdig. HTTPS is immers een beveiligingsmaatregel. Het is de met SSL/TLS beveiligde versie van het Hypertext Transfer Protocol (http). Het versleutelt het webverkeer. Het weert ongewenste meekijkers tijdens bijvoorbeeld onlinebankieren.

Security professionals wilden altijd dat meer webapplicaties gebruikmaakten van HTTPS. Die wens lijkt te worden verhoord. Inmiddels is vijftig procent van het webverkeer versleuteld. Veel websites als Google, Facebook en Youtube gebruiken het protocol nu standaard. Bovendien heeft Google plannen om alle niet-HTTPS-pagina's als onveilig te markeren. Dat zou het HTTPS-gebruik verder stimuleren.

Snowden-effect

Er zijn waarschijnlijk vele factoren die momenteel bijdragen aan de populariteit van HTTPS, maar ik verwacht dat het 'Snowden-effect' de belangrijkste oorzaak is. Technici beseften altijd al wel hoe gemakkelijk het was om mee te luisteren met onbeveiligd webverkeer. Maar door de door Snowden gelekte documenten besefte het grote publiek het risico van 'man-in-the-middle'-technieken en dat overheden daar bovendien gretig in participeerden. Nu we weten dat iemand meeluistert, nemen we privacy veel serieuzer.

In principe is de toename in HTTPS-verkeer een goede ontwikkeling. Maar er zijn twee addertjes onder het gras:

  • 1. Cybercriminelen gebruiken ook HTTPS
  • 2. Beveiliging daartegen werpt performance-kosten op

Hackers profiteren net zo sterk van de voordelen van HTTPS. De techniek komt hen goed van pas bij het verbergen van hun communicatiestromen. Bijvoorbeeld voor het afschermen van malware downloads of hun command&control-kanalen die hun malware gebruikt om “naar huis te bellen”. Cybercriminelen beseffen maar al te goed dat HTTPS vaak een zwart gat is in de netwerkbeveiliging en visibility tools. Dus gebruiken ze het voor hun kwaadaardige activiteiten.

Daarom is HTTPS-beveiliging belangrijker dan ooit. Je hebt securityvoorzieningen nodig die binnenin HTTPS-stromen kijken en daar de typische scans uitvoeren.

Een kijkje binnenin

Gelukkig is er een oplossing voor dit probleem. Veel moderne netwerksecurityvoorzieningen, zoals UTM-appliances, Next Generation Firewalls en andere securityvoorzieningen hebben opties als 'HTTPS application layer gateways' of 'deep packet inspection' aan boord. Feitelijk voeren zij een goedaardige MitM-aanval uit op HTTPS om zo deze stroom tijdelijk te ontcijferen. De appliance versleutelt vervolgens het verkeer weer voordat het de data doorgeeft. Zonder daarbij de privacy van de gebruikers te schenden.

Er is echter één maar: HTTPS-verkeer vertraagt de performance. Het versleutelen kost rekenkracht en vergroot het dataverkeer. Voor wie daarvan het fijne wil weten: de paper die ik hier al eerder linkte, biedt waardevolle inzichten. Op zich is die performance-dip niet kinderachtig, maar tegenwoordig hebben we voldoende rekenkracht en netwerkbronnen. Althans, tot de beveiliging erbij komt kijken.

Verdubbeling van overhead

Zoals al eerder gezegd, kunnen sommige securityvoorzieningen HTTPS-verkeer ontcijferen. Dat verdubbelt echter de HTTPS-overhead: het beveiligingsapparaat moet immers niet alleen het verkeer ontcijferen, maar ook weer versleutelen.

Bovendien willen organisatie in het huidige dreigende landschap veel beveiligingslagen. Denk aan IPS, antivirus, C&C-detectie, enzovoorts. Als je voor iedere beveiligingslaag een aparte securityvoorzieining hebt, dan zal het verkeer iedere keer opnieuw een vertraging oplopen. En als vijftig procent van al het verkeer op die manier geïnspecteerd moet worden, is dat een behoorlijke bottleneck.

De oplossing? Gebruik all-in-one veiligheidsvoorzieningen die ontworpen zijn voor een vlotte afhandeling van HTTPS-verkeer. Een van de voordelen van UTM en NFGW-apparaten is dat de securitylagen allemaal binnen een enkele voorziening toegevoegd worden. Let er wel op dat dit enkele apparaat dan ook geknipt is om grote hoeveelheden HTTPS-verkeer vlot te verwerken. Met HTTPS DPI op 'aan' moet het meer dan voldoende performance leveren. Alleen dan kom je er achter of het de explosieve groei in HTTPS-verkeer ook daadwerkelijk aankan.

De explosieve groei van HTTPS is fantastisch voor de veiligheid van het web. Zorg er wel voor dat de apparatuur ook bedreigingen herkent en voorkomt die zijn verscholen binnen die versleutelde verkeersstromen. En zorg dat de performance daar niet onder lijdt. Want dat kan natuurlijk nooit de bedoeling van Snowden zijn geweest.

Etienne van der Woude is Regional Sales Manager Benelux van Watchguard Technologies

 
Dossiers