Sebbene la finalità del protocollo HTTPS sia di proteggere le comunicazioni, gli hacker se ne servono sempre di più per nascondere malware, canali di tipo Command & Control (C&C) e attività dolose. Gli hacker sanno che i firewall di vecchia generazione, come quelli comunemente usati dalle imprese di medie dimensioni, spesso non sono in grado di controllare il traffico crittografato. Alcuni ceppi di ransomware, come Cryptowall e Locky, hanno dimostrato quanto possano essere ingenti i danni quando le minacce riescono a insinuarsi tra le ombre del traffico di rete crittografato, e i botnet sfruttano enormemente il protocollo HTTPS per contraffare le loro comunicazioni. Per questo motivo, l’ispezione HTTPS è essenziale per garantire la sicurezza nei moderni luoghi di lavoro.
Traffico HTTPS in cifre
Se una volta rappresentava solo una piccola percentuale del traffico, oggi il protocollo HTTPS è diffusissimo in Internet. Nel suo report sulla trasparenza Crittografia HTTPS sul Web, Google dichiara che metà delle pagine visitate da un utente medio utilizza il protocollo HTTPS e che un utente passa due terzi del suo tempo in rete su pagine HTTPS. Per l’utente medio, l’uso di HTTPS e la presenza dell’icona che indica la connessione sicura nell’angolo del browser sono fattori che infondono la sensazione di interagire con un soggetto affidabile. Ma gli hacker non si sono lasciati scoraggiare, infatti alcune ricerche dimostrano che quasi la metà dei siti di phishing scoperti nel 2018 hanno usato il protocollo HTTPS per apparire legittimi e crittografare la loro attività. Let’s Encrypt, che fornisce gratuitamente certificati SSL/TLS a chiunque desideri usare l’HTTPS nel proprio sito, ha abbassato le barriere a vantaggio degli hacker che in precedenza per procurarsi un certificato avrebbero dovuto acquistarlo. Di conseguenza, non avendo la possibilità di ispezionare questo traffico, molte aziende sono cadute nella trappola di malware e altri attacchi a causa di incauti clic fatti su pagine che i loro utenti credevano sicure.
Ispezione di contenuto TLS 1.3
La versione più recente del protocollo TLS, la 1.3, migliora la riservatezza e le prestazioni delle comunicazioni HTTPS ma complica il processo di ispezione HTTPS per molti fornitori di firewall. Dal punto di vista della sicurezza, il protocollo TLS 1.3 non prevede più il supporto di protocolli e testi cifrati obsoleti, che erano ancora in gran parte presenti nelle versioni precedenti a fini di compatibilità. Erano abbondantemente sfruttati da Logjam, FREAK, Lucky13, BEAST e POODLE, e questo ne ha reso necessaria la rimozione. TLS 1.3 elimina anche il supporto per lo scambio di chiavi RSA, di uso comune, e altre serie di testi cifrati non di tipo PFS (Perfect Forward Secrecy), noti per non essere all’altezza dei requisiti di sicurezza di oggi. Da quando il protocollo TLS 1.3 è stato reso pubblico nell’agosto del 2018 la sua adozione è cresciuta e prevediamo che in breve tempo accelererà. In parole povere, se un firewall non è in grado di ispezionare il protocollo TLS 1.3, lascerà scoperto un punto cieco che si allargherà sempre di più.
Ispezione in base alla categoria
Non tutto il traffico web è uguale e occorre accettare la realtà: alcune aree di Internet sono più rischiose di altre. È necessario cercare una soluzione che consenta di determinare con facilità quale traffico ispezionare, in base alla categoria del dominio. In questo modo è possibile evitare di ispezionare il traffico generato quando ad esempio un dipendente controlla il saldo del proprio conto in banca ed essere certi che venga invece controllato debitamente tutto il traffico verso pagine non sicure per la consultazione sul luogo di lavoro (NSFW, Not Suitable For Work). Le categorie dovrebbero essere predefinite, ma la soluzione dovrebbe anche lasciare la flessibilità di decidere cosa fare quando si incontrano domini non categorizzati.
Accelerazione dell’ispezione
Assicurare prestazioni elevate e velocità effettiva per l’ispezione HTTPS in un’appliance di protezione multifunzione è un compito impegnativo. Molti fornitori tendono a pubblicare cifre impressionanti sulla velocità effettiva dell’ispezione, che in realtà si riferiscono solo all’ispezione di base. Il tipo e il numero di applicazioni di sicurezza attive nel firewall possono ridurre sensibilmente la velocità effettiva del dispositivo.
Elenchi di eccezioni predefiniti e mirati
Creare e gestire elenchi di eccezioni per stabilire quali domini possano essere sottoposti a ispezione può essere un’attività lunga e noiosa. Omettendo questo passaggio, però, si lascia l’azienda esposta ai rischi e il traffico resta impantanato. È necessario cercare soluzioni che forniscano di base un elenco di eccezioni predefinito e ben congegnato, che includa domini di servizi come DropBox, Skype, Microsoft Office, Okta e tante altre applicazioni e servizi di uso comune. Dovrebbe inoltre essere aggiornato con regolarità perché sia sempre pronto rispetto alle ultime minacce.
Importazione di certificati firmati da un server CA Microsoft
Per esaminare il traffico HTTPS richiesto da un utente della rete, è necessario configurare il firewall perché decodifichi le informazioni e poi le crittografi con un certificato firmato da un’autorità di certificazione ritenuta affidabile da tutti i client della rete. Se l’organizzazione dispone già di un’infrastruttura a chiave pubblica (PKI) configurata con un’autorità di certificazione (CA) affidabile, dovrebbe essere possibile importare nel firewall un certificato firmato dall’autorità di certificazione interna dell’organizzazione. In questo modo si evita la necessità di importare ogni precedente certificato ed è possibile portare rapidamente il firewall nella catena di certificati.
Rifiuto di protocolli obsoleti e non sicuri
Per impostazione predefinita l’ispezione del contenuto HTTPS non deve supportare protocolli deboli e non funzionanti come SSLv2 e SSLv3. Purtroppo molte piattaforme per l’ispezione del contenuto HTTPS fanno ancora uso di questi protocolli, lasciando le organizzazioni esposte a causa di vulnerabilità note e facilmente sfruttabili. Quando un client richiede una connessione basata su un protocollo obsoleto, sarebbe opportuno negarla subito senza lasciare alcuna ulteriore possibilità di negoziazione con un protocollo diverso. Dovrebbe anche essere possibile determinare se un certificato è scaduto o non firmato da un’autorità di certificazione affidabile, utilizzando il Protocollo di stato del certificato online (OCSP) per convalidare il certificato originale del server.
Ripartizione del carico di lavoro SSL/TLS
Per ridurre il carico sui client interni, in alcuni casi può essere opportuno evitare di crittografare i contenuti che entrano nella rete. La ripartizione del carico SSL/TLS consente al firewall di eseguire l’ispezione del contenuto e di trasferire il traffico ispezionato alla destinazione desiderata senza eseguire ulteriori passaggi. Questo riduce il carico della CPU sul firewall e rimuove il peso della crittografia e decodifica TLS/SSL dal web server interno.