Корпоративные проблемы с SSL

Бенжамин Лоу на ZDNet Asia написал о некоторых проблемах корпораций, которые возникают когда устанавливается SSL шифрование потока информации в их сетях. Хоть он и поднимает ряд довольно интересных вопросов, некоторые из его аргументов недостаточны.

Он перечисляет следующие «уязвимости HTTPS»:

  • Проверку на вирусы и фильтрацию содержимого невозможно применить к зашифрованным данным.
  • Фильтры исходящего содержимого для контроля распространения интеллектуальной собственности или конфиденциальной защищенной информации невозможно применить к зашифрованным данным.
  • Сертификаты могут быть украдены, подделаны, а так же могут быть устаревшими или отмененными.
  • Популярные браузеры, как известно, довольно уязвимы, и позволяют третьим лицам незаконным путем установить доверенное соединение через корпоративные сети.
  • Сотрудники имеют возможность решать, доверять ли сертификату, но часто не хватает необходимых знаний, чтобы провести необходимую проверку.
  • Легитимные сертификаты могут быть легко приобретены мошенниками, и этого часто достаточно для того, чтобы убедить пользователей, что передаваемая информация в безопасности.

Бенжамин приводит некоторые важные аргументы. Корпорации не могут отфильтровывать чувствительную информацию, когда используется SSL соединение. Существует несколько способов решения этих проблем. Вы можете гарантировать, что вредоносное ПО не будет проблемой, убедившись, что на компьютере каждого вашего работника установлен антивирус, который обновляется автоматически. Бенжамин приводит следующие решения для корпораций, которым необходимо постоянно контролировать интернет-траффик:

Одним из подходов является временное расшифрование содержимого SSL и фильтров с простым контентом, затем повторное шифрование прежде чем оно будет передано по SSL каналу. Ниже приведены варианты, которые фирмы могут использовать для мониторинга и контроля угроз, которые могут проникнуть через SSL.

  • Сканирование шлюза и антишпионское сканирование. Сканирование шлюза очень важно, поскольку оно останавливает вирусы и мобильный вредоносный код, прежде чем он пройдет через сеть. Однако, когда данные зашифрованы, сканировать их на шлюзе невозможно. При расшифровке HTTPS контента на уровне шлюза и сканировании на вирусы, компании могут рассчитывать на такой же уровень защиты для HTTPS, который доступен для HTTP, FTP и электронной почты.
  • Управление исходящим содержимым. Несколько продуктов ИТ безопасности предлагают управление исходящим содержимым, но оно неэффективно для зашифрованной информации. При первой расшифровке HTTPS файла, компания может более эффективно управлять и контролировать различные SSL каналы, по которым ранее информация могла свободно проходить и в, и из сети.
  • Управление сертификатами. Большинство предприятий пристально следит за компаниями, которые они выбирают в партнеры или с которыми разворачивают бизнес в реальном времени. Но когда такие фирмы проводят сделки онлайн, используя SSL сертификаты, процесс мониторинга усложняется. Централизованная сертификационная политика на шлюзе позволяет администраторам упростить этот процесс и обеспечивает последовательность действий.
  • Гибкая политика проверки. Весь поток информации, зашифрованный SSL должен быть проверен. Большинство организаций стремятся к тому, чтобы шифрование использовалось только для определенной категории пользователей. Например, исролнительный уровень управления может полностью освобождаться от SSL сканирования, в то время как для обычных пользователей SSL сканирование может быть отключено только в определенных случаях, например для проверенных банков или некоторых доверенных сайтов.

Имейте ввиду, что при открытии шлюза для дешифрования SSL трафика, вы открываете новые потенциальные «дыры» в безопасности. Но есть несколько недостатков в анализе Бенжамина. Например, поддельные, истекшие и отозванные сертификаты вызывают предупреждение любого браузера и все современные браузеры автоматически проверяют списки отозванных сертификатов.

Комментарии запрещены.