Analýza šifrovaného provozu

Analýza šifrované komunikace (Encrypted Traffic Analysis, ETA) je metoda posouzení zabezpečených síťových spojení umožňující detekci malware, nebezpečného či nechtěného SSL provozu a zajištění souladu s předpisy.

Spustit Demo
Flowmon-Encrypted Traffic-630px

Dostaňte šifrovaný provoz pod kontrolu

99 % IT profesionálů považuje šifrovaný provoz za zdroj bezpečnostních rizik. Odhalte rizika skrývající se v SSL/TLS provozu. Bez narušení soukromí komunikace a dopadu na výkon infrastruktury.

Je vysoce škálovatelná, umožňuje monitorovat velký objem provozu, nedegraduje výkon infrastruktury a nedešifruje provoz, tudíž zachovává soukromí.

Jak funguje analýza šifrovaného provozu s Flowmonem

Pomocí pasivních síťových sond (NetFlow/IPFIX exportérů) Flowmon sbírá metadata síťového provozu a obohacuje je o další informace, včetně těch z protokolu TLS. Atributy šifrovaného spojení mezi klientem a serverem jsou dostupné bez ohledu na fyzické umístění klienta i to, zda je server provozován v datacentru nebo v cloudu.

Široké spektrum takto získaných informací lze využít pro identifikaci neaktuálních SSL certifikátů, certifikátů nekompatibilních s vnitřními politikami firmy, pro posouzení síly šifrování a odhalení starších TLS verzí obsahujících chyby či zranitelnosti. Pro detekci malware i dalších hrozeb v šifrovaném provozu řešení využívá strojového učení a pokročilé technologie pro analýzu chování a detekci anomálií.Tento přístup neporušuje soukromí ani nezhoršuje výkon. Poskytuje užitečné analytické informace bez ohledu na objem dat. Navíc, protože jsou data ukládána v agregované formě, šetří značné množství úložného prostoru, aniž by byla narušena věrnost informací.

Data jsou uchovávána v agregované podobě, což významně snižuje požadavky na storage, a to bez vlivu na přesnost získaných informací.

Vlastnosti řešení

Ochrana soukromí

Zpracování metadat síťového provozu bez dešifrování. Soukromí komunikace není kompromitováno.

Nulový vliv na latenci

ETA poskytuje monitoring bez dopadu na výkon a fungování sítě.

Analýza napříč prostředími

Vhled do šifrovaného provozu napříč on-premise, vzdáleným, hybridním a cloudovým prostředím.

Zkrácení reakční doby

Přehled všech relevantních událostí a detekcí bez zahlcení uživatele zbytečnými informacemi.

Vyřešte problémy se zabezpečením a zajistěte soulad s předpisy

Zajištění souladu s předpisy (compliance)

  • Identifikace propadlých a nedoporučených SSL certifikátů upozorní na potřebu aktualizovat aplikaci
  • Prověření délky a algoritmu klíče umožní zjistit sílu šifrování
  • Odhalení nežádoucích verzí TLS obsahujících zranitelnosti
  • Server name identification pro odhalení nekompatibilních klientů přistupujících k nežádoucím stranám

Detekce kybernetických hrozeb

  • Stanice infikované malwarem diagnostikujete díky identifikací anomálií v SSL parametrech
  • Komunikaci s C&C servery odhalíte metodou JA3 fingerprinting
  • Man-in-the-middle útoky detekujete identifikací neobvyklých nebo nelegitimních certifikátů
  • Potenciální vynášení dat pomůže odhalit identifikace packetů podezřelé velikosti

Jak využít metodu JA3 Fingerprinting (JA3 otisků)

Analýza JA3 otisků je jeden z nejjednodušších způsobů, jak detekovat malware a zpracovat tzv. indikátory kompromitace (IoC) značící možné riziko. JA3 otisk je unikátní identifikátor založený na kombinaci pět parametrů SSL/TLS komunikace - verze, šifry, rozšíření, eliptické křivky a jejích formátů - na základě kterých je vytvořen MD5 hash. Tyto informace jsou dostačující k identifikaci řady klientů, například "e7d705a3286e19ea42f587b344ee6865" je JA3 otisk pro standardního TOR klienta.

TLS JA3 Fingerprint záznam ve Flowmonu

Jelikož JA3 detekuje přímo klientskou aplikaci, lze malware odhalit již na základě toho, jak komunikuje, namísto toho, pomocí čeho komunikuje. Díky tomu může Flowmon, ve spolupráci s veřejně dostupnými databázemi JA3 otisků odhalit případné hrozby již na základě specifických otisků JA3 v šifrované komunikaci. Metoda JA3 je důležitou součástí analýzy šifrovaného provozu, pro více informací navštivte náš blog.