TLS 1.3 и DoH ще променят контрола на сигурността

Два нови стандарта за криптиране поставят предизвикателства пред ИТ отделите
(снимка: CC0 Public Domain)

Специалистите по сигурност в корпоративните организации трябва да предприемат мерки за обезпечаване на ИТ контрола, преди да бъдат внедрени TLS 1.3 и DNS-над-HTTPS (DoH) – два нови стандарта за криптиране, които скоро ще започнат да се използват повсеместно. В противен случай няма да могат да анализират мрежовия трафик и да откриват навреме киберзаплахи, предупреди Forrester Research.

Защитата на транспортния слой (TLS) и DNS, два от основополагащите протоколи в интернет, наскоро претърпяха радикални промени в посока защита на поверителността на потребителите на браузъри. В същото време обаче те ще намалят т.нар. „сигурност на място” – в краткосрочен план. Затова в следващите няколко години специалистите по ИТ сигурност трябва да въведат инструменти за контрол, се посочва в нов доклад на Forrester Research.

„Докато [протоколите] прикриват активността на потребителите от търсещите очи на държавните органи и интернет доставчиците, те крият и ценни метаданни от инструментите за мрежова инспекция в организацията”, според старши анализатора на Forrester Research Дейвид Хоумс. „С настъпването на тези промени инструментите за наблюдение на сигурността ще се окажат „заслепени” относно съдържанието и местоназначението на трафика. Те няма да са в състояние да откриват заплахи. Мрежата ще бъде по-тъмна от когато и да било досега”.

Защитниците на поверителността и неприкосновеността работиха усилено заедно с експертите от Internet Engineering Task Force (IETF), за да осигурят мерки за противодействие срещу подслушването и събирането на данни, обясни Холмс, цитиран от Tech Republic. Резултатът от тази съвместна работа са последната версия TLS 1.3 и криптирането на системата от имена на домейни. Тези промени всъщност предизвикаха противоречия, защото:

Сферата на финансовите услуги е инвестирала много в т.нар. пасивно декриптиране, тъй като регулациите забраняват боравенето с некриптирани данни, дори в техните вътрешни мрежи. Защитниците на поверителността са проектирали TLS 1.3 така, че той може да се окаже несъвместим с архитектурата за проверките на сигурността на големи финансови услуги.

TLS 1.3 криптира сървърните сертификати, което означава, че екипите по сигурността вече не могат да прилагат мрежовите правила, забраняващи на потребителите да посещават сайтове с опасни сертификати, включително тези, които са с изтекъл срок, оттеглени или самоподписани.

DNS-over-HTTPS срива ИТ контрола. Защитниците на поверителността виждат текущата система от имена на домейни като „значителен теч” от гледна точка на поверителност и настояваха за криптиране на DNS върху HTTPS. Разработчиците на браузерите и операторите на мрежи за доставяне на съдържание (CDN) го възприеха възможно най-бързо, но това предизвика протестите на мнозина. Един от най-гласовитите опоненти, според Холмс, е Пол Викси – „кръстникът” на DNS.

Докладът на Forrester подчертава, че специалистите по сигурността трябва да са наясно с предстоящите промени. „Много средства за сигурност като корпоративни защитни стени, защитени уеб портали и брокери за сигурност в облака (CASBs) пречат на потребителите да посещават известни опасни уебсайтове, като изследват някои ключови метаданни в криптирания трафик”, написа Холмс. Тези метаданни скоро обаче ще „изчезнат” от мрежовия трафик.

„Повечето ни клиенти… наблюдават своите потребители, за да ги защитават, а не за да ги експлоатират. Настъпващите промени затрудняват живота им”, се казва в доклада.

Какво следва да се направи при това положение? Специалистите по сигурността и рисковете не могат да контролират браузърите или интернет, но те все пак са отговорни за опазване на корпоративната информационна среда, казва Холмс. Докато промените в TLS 1.3 и DoH все още са слабо разпространени, професионалистите имат известно време да се подготвят, но не бива да се бавят, предупреждава анализаторската компания. Като цяло може да се счита, че специалистите по ИТ сигурност имат две години да реагират на промените.

„Тъй като TLS 1.3 и DNS-over-HTTPS набират скорост, екипите трябва да планират още сега как да подобрят своите механизми за инспекция на мрежите”, написа Холмс. „Изрично разпишете програма за подобряване на видимостта или я закачете върху някаква по-мащабна програма за модернизация на мрежата или за дигитална трансформация. В рамките на тези по-мащабни усилия включете тактически подходи за възстановяване на мрежовите метаданни и загубените възможности за декриптиране”.

Понастоящем само един от всеки четири уебсайта предлага TLS 1.3.7, написа Холмс, позовавайки се на SSL Pulse от Qualys Labs. „Въпреки това специалистите по сигурността трябва да очакват възприемането на TLS 1.3 извън най-големите сайтове да се увеличава с по около 10% годишно”.

DNS-over-HTTPS пък вече се поддържа от всички основни браузъри и Active Directory на Microsoft, каза Холмс. Днес само Firefox го позволява по подразбиране, но до две години повечето съвременни браузъри ще последват този пример, каза той.

Тъй като TLS 1.3 и DNS-over-HTTPS ще станат преобладаващи в корпоративната мрежа и в публичните и частните облаци, специалистите по сигурността трябва да предприемат няколко стъпки, включително да създадат зони за пълна прокси проверка на входящия трафик, независимо дали на място или в облака, написа Холмс. Те трябва също да увеличат мрежовия си мониторинг, използвайки възможностите на машинното обучение, прилагано спрямо мрежовите метаданни.