Che cos'è l'ispezione SSL?

L'uso di SSL/TLS in HTTPS garantisce la sicurezza del traffico web contenente informazioni sensibili. Sebbene questo sia prezioso per la privacy degli utenti, è utile anche per i criminali informatici. Il malware utilizza sempre più spesso HTTPS per nascondere le comunicazioni di comando e controllo.

 

SSL/TLS è un protocollo di rete progettato per fornire una sicurezza aggiuntiva ad altri protocolli insicuri, utilizzando la crittografia. È comunemente utilizzato in HTTPS per proteggere il traffico web, ma l'uso diffuso di HTTPS da parte di malware rende le capacità di ispezione SSL un componente essenziale della strategia di cybersecurity di un'organizzazione.

Guida all'Acquisto NGFW

Che cos'è l'ispezione SSL?

Che cos'è l'HTTPS?

L'HyperText Transfer Protocol Secure (HTTPS) è ciò che rende possibile il web sicuro. Quando naviga sul web, qualsiasi pagina web che presenta l'icona del lucchetto nella barra degli indirizzi utilizza HTTPS per comunicare tra il computer che richiede la pagina e il server in cui è memorizzata.

HTTP vs HTTPS

HTTPS è una versione sicura del protocollo HTTP di base. HTTP è stato progettato per consentire la navigazione sul web, definendo il modo in cui un computer client e un server web devono dialogare tra loro.

 

La principale limitazione di HTTP è che è completamente insicuro. Tutto il traffico trasportato via HTTP è leggibile da chiunque lo origli. Poiché il web trasporta sempre più informazioni sensibili (a causa dell'e-commerce, delle cartelle cliniche online, dei social media, ecc.

 

HTTPS utilizza il protocollo Transport Layer Security (TLS) - precedentemente noto come Secure Sockets Layer (SSL) - per aggiungere sicurezza a HTTP. Con SSL/TLS, HTTPS è in grado di verificare l'identità del server web e di criptare tutto il traffico che scorre tra il client e il server.

Come funziona l'HTTPS?

HTTPS è implementato come due protocolli che lavorano insieme. SSL/TLS viene utilizzato per creare una connessione crittografata tra il client e il server. Una volta fatto questo, il traffico HTTP viene inviato attraverso questo tunnel, criptandolo e incorporandolo nella sezione dati dei pacchetti SSL/TLS. A destinazione, l'altro computer decifra i dati e li elabora in base al protocollo HTTP.

 

Affinché ciò sia possibile, il client e il server devono disporre di una chiave segreta condivisa per la crittografia. SSL/TLS crea questo utilizzando un protocollo di handshake in cui il client e il server concordano i parametri da utilizzare per la crittografia (algoritmo, ecc.) e condividono una chiave segreta utilizzando la crittografia asimmetrica o a chiave pubblica per proteggerla dalle intercettazioni.

Vantaggi di SSL/TLS

L'utilizzo di SSL/TLS rende HTTPS più lento e meno efficiente di HTTP. Tuttavia, il protocollo offre anche diversi vantaggi importanti, tra cui:

 

  • Privacy: L'HTTPS cripta il traffico web dell'utente, garantendo la privacy dei dati. Con la Perfect Forward Secrecy (PFS), protegge persino i messaggi dalla decrittazione se le chiavi vengono divulgate in futuro, utilizzando valori casuali che vengono cancellati al termine di una sessione.
  • Integrità dei dati: HTTPS utilizza i codici di autenticazione dei messaggi (MAC) per garantire che i dati non siano stati modificati durante il transito. Questo protegge sia dagli errori di trasmissione che dalle modifiche dannose.
  • Autenticazione: La fase di handshake di SSL/TLS utilizza il certificato digitale del server web, che verifica l'identità del server web. HTTPS può anche essere configurato per dimostrare l'identità del cliente.

HTTPS non è completamente sicuro

L'HTTPS è stato progettato per essere un'alternativa sicura all'HTTP. Tuttavia, la sua sicurezza ha dei limiti, tra cui:

 

  • Vulnerabilità del protocollo: il protocollo SSL/TLS è oggetto di continui miglioramenti. Molti degli aggiornamenti del protocollo includevano correzioni per vulnerabilità precedentemente scoperte, rendendo l'installazione di questi aggiornamenti essenziale per la sicurezza.
  • Siti web falsi: L'icona del lucchetto in HTTPS garantisce solo che il server web ha un certificato digitale rilasciato per l'URL. Non protegge dai siti di phishing che sono stati creati con un URL simile nel nome a un dominio affidabile.
  • Intercettazione SSL/TLS: SSL/TLS verifica che il certificato digitale di un sito web sia firmato da un'autorità di cui il cliente si fida. Se un aggressore riesce a creare un certificato falso e affidabile, può eseguire un attacco Man-in-the-Middle (MitM) per intercettare e leggere/modificare il traffico. Con questo attacco, l'aggressore crea una connessione SSL/TLS con il cliente, decifra il traffico per vedere il contenuto del pacchetto, quindi cripta il pacchetto verso il server web. I pacchetti di ritorno seguono lo stesso processo. Gli utenti potrebbero non accorgersi di ciò che accade, ma esistono soluzioni di sicurezza endpoint, browser e mobile che possono rilevare e prevenire gli attacchi MitM.
  • Contenuto dannoso criptato: La crittografia offerta da HTTPS rende impossibile l'ispezione dei contenuti del traffico. Il malware e il sito di phishing ne approfittano per eludere le difese informatiche di un'organizzazione.

La necessità di un'ispezione HTTPS

L'uso di SSL/TLS in HTTPS garantisce la sicurezza del traffico web contenente informazioni sensibili. Sebbene questo sia prezioso per la privacy degli utenti, è utile anche per i criminali informatici. Il malware utilizza sempre più spesso HTTPS per nascondere le comunicazioni di comando e controllo.

 

L'ispezione SSL/TLS comporta l'esecuzione di un'intercettazione in stile MitM sulle connessioni SSL/TLS in entrata o in uscita dalla rete di un'organizzazione. Ciò consente all'organizzazione di ispezionare il traffico alla ricerca di contenuti dannosi.

Vantaggi dell'ispezione HTTPS

L'ispezione HTTPS offre diversi vantaggi in termini di prestazioni e sicurezza della rete, tra cui:

 

  • Migliore identificazione dell'applicazione: La decriptazione del traffico HTTPS consente all'azienda di identificare meglio l'applicazione che utilizza la connessione e di applicare politiche di sicurezza e di routing specifiche per l'applicazione.
  • Applicazione del filtro URL: L'ispezione del traffico HTTPS consente all'organizzazione di bloccare il traffico verso siti web non sicuri o inappropriati.
  • Filtro dei contenuti dannosi: L'ispezione HTTPS consente alle soluzioni di cybersecurity di analizzare i contenuti dannosi all'interno del traffico HTTPS. I contenuti possono essere testati in una sandbox e i contenuti dannosi possono essere rimossi dai file utilizzando le tecnologie Content Disarm and Reconstruction (CDR).

Impatto sulle prestazioni dell'ispezione HTTPS

L'ispezione HTTPS richiede che un Next Generation Firewall (NGFW) decifri una connessione, ispezioni i dati che contiene alla ricerca di contenuti dannosi e poi li cripti prima di inoltrarli a destinazione. Questo può creare una latenza di rete significativa, soprattutto se il NGFW non ha la capacità di eseguire l'ispezione a velocità di linea.

 

L'implementazione di una soluzione di sicurezza scalabile è essenziale per garantire che un'organizzazione possa adattarsi all'aumento della larghezza di banda del traffico. Una soluzione di rete hyperscale consente a un'organizzazione di aggiungere altre risorse per soddisfare la domanda, senza dover acquistare altri sistemi dedicati.

Le migliori pratiche per l'ispezione HTTPS di rete

L'ispezione HTTPS può migliorare notevolmente la sicurezza web di un'organizzazione. Quando seleziona e distribuisce un NGFW per l'ispezione HTTPS, implementa le seguenti best practice:

 

  • Ispezione in entrata vs ispezione in uscita: L'ispezione in entrata esamina il traffico che scorre verso il client, mentre l'ispezione in uscita monitora il traffico verso il server. L'ispezione in entrata può proteggere i server web interni applicando le protezioni IPS (Intrusion Prevention System).
  • Rispetta le legittime preoccupazioni sulla privacy: Alcuni tipi di dati sono protetti da normative come GDPR, PCI DSS e HIPAA. Le regole di ispezione HTTPS devono essere configurate in modo da ignorare il traffico che potrebbe contenere questi tipi di dati sensibili (ad esempio, verso istituzioni finanziarie, organizzazioni sanitarie, ecc.)
  • Elenco di bypass consigliati: L'ispezione HTTPS aumenta la latenza della rete e non è necessaria per alcuni siti affidabili. Un NGFW deve avere la capacità di utilizzare un elenco di bypass aggiornabile per determinare quale traffico non deve essere ispezionato.
  • Certificato del gateway: Importa il certificato del gateway, in modo che il browser dell'endpoint si fidi del certificato del gateway di sicurezza. Questo è essenziale per eliminare gli avvisi del browser e creare un sito user experience senza soluzione di continuità.

 

Un NGFW deve supportare queste funzionalità, oltre alle altre caratteristiche fondamentali descritte in questa guida all'acquisto di NGFW, tra cui:

 

  • Gestione facile da usare
  • Threat Prevention
  • ISPEZIONE E CONTROLLO DELLE APPLICAZIONI
  • ISPEZIONE E CONTROLLO BASATI SULL'IDENTITÀ
  • Prestazioni scalabili

 

I NGFW di Check Point offrono funzionalità di ispezione SSL/TLS scalabili e ad alte prestazioni. Per vederli in azione, può richiedere una demo gratuita.

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK