Zpedia 

/ O que é descriptografia SSL?

O que é descriptografia SSL?

Descriptografia SSL é o processo de decifrar o tráfego criptografado para verificar a existência de ameaças cibernéticas, como parte de um procedimento completo de inspeção SSL. É um recurso vital de segurança para redes de empresas modernas, já que a maior parte do tráfego na web agora é criptografado, e alguns analistas de cibersegurança estimam que atualmente mais de 90% dos malwares podem se esconder em canais criptografados.
Relatório: Entenda o estado dos ataques criptografados
Proteção contra ameaças cibernéticasProteção de dados
  1. Por que é importante
  2. SSL vs. TLS
  3. Benefícios
  4. Por que é necessário
  5. Como funciona
  6. Práticas recomendadas
  7. Zscaler e a descriptografia SSL
  8. Recursos sugeridos
  9. Tópicos relacionados

Por que a descriptografia SSL é importante?

Com a crescente popularidade da nuvem e dos aplicativos SaaS, fica mais provável que um determinado arquivo ou sequência de dados atravesse a Internet em algum momento. Se esses dados forem confidenciais ou sensíveis, eles podem ser um alvo. Portanto, a criptografia é essencial para manter a segurança de pessoas e dados. É por isso que, atualmente, a maioria dos navegadores, sites e aplicativos em nuvem criptografam os dados de saída, bem como trocam esses dados usando conexões criptografadas.

É claro que funciona nos dois sentidos — se a criptografia pode ser usada para ocultar dados sensíveis, também pode ser usada para ocultar ameaças. Isso torna o processo de descriptografia SSL igualmente essencial, pois permite que uma empresa inspecione totalmente o conteúdo do tráfego descriptografado antes de bloqueá-lo ou criptografá-lo novamente para que possa continuar seu caminho.

SSL vs. TLS

Hora de um esclarecimento. Secure Sockets Layer (SSL) e Transport Layer Security (TLS) são protocolos criptográficos que regem a criptografia e a transmissão de dados entre dois pontos. Então, qual é a diferença?

O agora extinto Netscape desenvolveu o SSL nos anos 90, lançando o SSL 3.0 no final de 1996. O TLS 1.0, baseado em uma versão melhorada do SSL 3.0, surgiu em 1999. O TLS 1.3, lançado pela Internet Engineering Task Force (IETF) em 2018, era a versão mais recente e segura no momento desta redação. Atualmente, o SSL não é mais desenvolvido ou suportado — até 2015, a IETF tinha declarado todas as versões do SSL como depreciadas devido a vulnerabilidades (por exemplo, para ataques indiretos, tipo 'man in the middle') e falta de recursos críticos de segurança.

Apesar disso e de décadas de mudanças, fora de um sentido estritamente técnico, a maioria das pessoas ainda usa "SSL" como um termo genérico para protocolos criptográficos. Em outras palavras, quando se vê as siglas SSL, TLS, SSL/TLS, HTTPS e similares, quase sempre todas significam a mesma coisa. Para os fins deste artigo, esclareceremos conforme necessário.

Benefícios da descriptografia SSL

Atualmente, implementar o recurso de descriptografia e inspeção SSL ajuda as empresas a manter a segurança de seus dados, clientes e usuários finais, com a capacidade de:

  • Evitar violações de dados, encontrando malware oculto e impedindo que hackers burlem as defesas
  • Ver e entender o que os funcionários estão enviando para fora da empresa, de forma intencional ou acidental
  • Atender aos requisitos de conformidade regulamentar, garantindo que os funcionários não estejam colocando dados confidenciais em risco
  • Apoiar uma estratégia de defesa de várias camadas que preserve a segurança de toda a empresa

Depoimento

Entre outubro de 2022 e setembro de 2023, a nuvem da Zscaler bloqueou 29,8 bilhões de ataques incorporados em tráfego criptografado (SSL/TLS). Isso representa um aumento de 24,3% em relação a 2022, que também sofreu um aumento de 20% em relação ao ano anterior.

zscaler threatLabz

Zscaler ThreatLabz 2023 — Relatório sobre o Estado de Ataques Criptografados

A necessidade da descriptografia SSL

Apesar do aumento no uso da criptografia, muitas empresas ainda inspecionam apenas parte do tráfego SSL/TLS, permitindo que o tráfego de redes de entrega de conteúdo (CDNs) e certos sites "confiáveis" fiquem sem inspeção. Isso pode ser arriscado, porque:

  • Páginas web podem mudar facilmente. Algumas utilizam várias fontes para exibir centenas de objetos, e cada um deles deve ser considerado não confiável, não importa sua origem.
  • Autores de malware geralmente usam criptografia para ocultar seus ataques. Com mais de 100 autoridades certificadoras em todo o mundo atualmente, é fácil e barato obter um certificado SSL válido.
  • A maior parte do tráfego é criptografado. A qualquer momento, cerca de 70% do tráfego que a Zscaler Cloud processa é criptografado, acentuando a importância de poder descriptografar o tráfego SSL.

Então, por que isso não é feito por todo mundo? Basicamente, é necessário muito cálculo para descriptografar, inspecionar, e recriptografar o tráfego SSL, e, sem a tecnologia certa, isso pode ter um impacto devastador no desempenho da rede. A maioria das empresas não pode se dar ao luxo de interromper os negócios e os fluxos de trabalho, portanto não há outra escolha a não ser desviar a inspeção de aparelhos que não conseguem acompanhar as demandas de processamento.

Como funciona a descriptografia SSL

Existem algumas abordagens diferentes para a descriptografia e inspeção SSL. Vamos analisar as mais comuns e as principais considerações para cada uma delas.

Método de inspeção SSL

Modo Terminal Access Point (TAP)

Firewall de nova geração (NGFW)

Proxy

Um dispositivo de hardware simples copia todo o tráfego da rede para análisar offline, incluindo a inspeção de SSL.

As conexões de rede passam por um NGFW com visibilidade apenas em nível de pacote, o que limita a detecção de ameaças.

Duas conexões separadas são criadas entre o cliente e o servidor, com inspeção total do fluxo e das sessões da rede.

É necessário um hardware caro (por exemplo, TAPs de rede de 10G) para garantir que todo o tráfego seja copiado na conexão com velocidade máxima, sem perda de dados.

Os NGFWs veem apenas uma fração do malware, permitindo que ele seja distribuído em partes. Eles exigem uma funcionalidade de proxy fixa e tendem a ter um desempenho inferior quando recursos importantes são ativados, como prevenção contra ameaças.

Objetos inteiros podem ser remontados e verificados, permitindo a varredura por mecanismos de detecção de ameaças adicionais, tais como sandbox e DLP.

A inspeção de SSL retrospectiva não funciona mais devido ao “sigilo de encaminhamento perfeito”, que exige novas chaves para cada sessão SSL.

O desempenho cai consideravelmente devido aos requisitos de maior desempenho e dimensionamento das criptografias do TLS 1.3, exigindo uma atualização de hardware para superar isso.

No caso de um proxy de nuvem fornecido como serviço, não há necessidade de qualquer atualização do aparelho do lado do cliente para atender às necessidades de desempenho e dimensionamento do TLS 1.3.

Melhores práticas de descriptografia SSL

A necessidade de implementar um recurso de descriptografia e inspeção SSL para proteger sua empresa tornou-se grande demais para ignorar. Mesmo assim, ao implantar a inspeção SSL, há coisas importantes a considerar, algumas mais técnicas do que outras:

  • Comece com um pequeno local ou laboratório de testes para garantir que sua equipe compreenda o recurso e que ele funcione como pretendido antes de ativá-lo de forma mais ampla.
  • Para reduzir o trabalho de solução de problemas, considere atualizar suas notificações para usuários finais para informá-los sobre a nova política de inspeção SSL.
  • (Opcional) Ao definir a política de inspeção SSL, crie uma lista de URLs e categorias de URLs, bem como de aplicativos em nuvem e categorias de aplicativos em nuvem nos quais as transações SSL não serão descriptografadas.
  • No início, ative a inspeção somente para categorias de risco — conteúdo adulto e jogos de azar, por exemplo, ou que representem riscos de privacidade ou responsabilidade. Depois, quando estiver tudo pronto, ative a inspeção para todas as categorias de URL, com exceção de finanças e saúde, para aliviar as preocupações com privacidade.
  • Tome nota dos aplicativos que sua empresa utiliza que potencializam a validação de certificados, em que o aplicativo só aceita o certificado de um cliente específico. Esses aplicativos podem não funcionar com a inspeção SSL, então será necessário incluí-los na lista do que não deve ser descriptografado.
  • Ative a autenticação do usuário para permitir que seu serviço de inspeção SSL aplique políticas de usuário.

E quanto às implicações da inspeção SSL em termos de privacidade?

O recurso de descriptografia e inspeção SSL pode melhorar drasticamente a higiene de segurança, mas pode não ser tão simples quanto descriptografar tudo. Dependendo do seu setor, região e das leis e regulamentos vigentes, talvez você lide com determinado tráfego que não deve ser descriptografado, tais como dados médicos ou financeiros. Nesse caso, será necessário configurar filtros e políticas para manter a privacidade desses tipos de conexão.

Fora das preocupações legais e regulamentares, sua organização deve geralmente inspecionar o máximo de tráfego SSL possível para reduzir o risco e manter seus usuários e dados em segurança.

Zscaler e a descriptografia SSL

A plataforma Zscaler Zero Trust Exchange™ permite uma inspeção SSL completa em larga escala, sem latência ou limitações de capacidade. Ao combinar a inspeção SSL com nossa pilha de segurança completa como um serviço na nuvem, você obtém proteção superior sem as restrições dos aparelhos.

Capacidade ilimitada

Inspecione todo o tráfego SSL de seus usuários, dentro ou fora da rede, com um serviço dimensionado de forma elástica para atender às suas demandas de tráfego.

Administração mais enxuta

Pare de administrar certificados individualmente em todos os gateways. Os certificados carregados na Zscaler Cloud são imediatamente disponibilizados nos mais de 150 data centers da Zscaler em todo o mundo.

Controle granular de políticas

Garanta a conformidade com flexibilidade para excluir tráfego criptografado de usuários para categorias confidenciais do site, tais como a área de saúde ou finanças.

Segurança e proteção

Tenha cobertura sempre, com suporte para os mais recentes pacotes de criptografia AES/GCM e DHE para o sigilo de encaminhamento perfeito. Dados de usuários nunca são armazenados na nuvem.

Gerenciamento simplificado de certificados

Utilize os nossos certificados ou traga os seus próprios. Use nossa API para alternar facilmente seus certificados sempre que necessário.

Elimine dispositivos caros e inspecione 100% do tráfego criptografado sem limitações usando o Zscaler SSL Inspection.

Recursos sugeridos

Descubra o que está escondido no seu tráfego criptografado
Leia o relatório
Zscaler ThreatLabz 2023 — Relatório sobre o Estado de Ataques Criptografados
Leia o relatório
As políticas de inspeção TLS/SSL
Leia o blog