Jakie są główne zagrożenia związane z szyfrowaną transmisją danych i jakie technologie są obecnie stosowane do ich wykrywania?
Karol Goliszewski: Paradoksem procesu szyfrowania danych jest to, że jest to proces służący zabezpieczaniu – i w tym miejscu musimy postawić kropkę. Choć brzmi to jak zjawisko pozytywne, pożądane, oczywiście nie zawsze tak jest, ponieważ szyfrowanie przeprowadzane jest w celu ochrony danych i tożsamości… no właśnie, zarówno osoby uczciwej, jak i przestępców. Jest to broń obosieczna, ponieważ zapewnia spokojny sen ludzi prawych, dbających o swoje interesy, jak i tych, którym zależy na skutecznym ukrywaniu się przed organami ścigania.
W odniesieniu do gruntu MŚP, szyfrowanie pozwala na zachowanie poufności treści biznesowych – e-maili, plików, operacji bazodanowych, komunikacji audio i wideo, etc. Jednak dokładnie taką samą technikę wykorzystują oszuści, chcący zagrozić naszym interesom, ukrywając w szyfrowanej transmisji zagrożenia dla naszego biznesu: złośliwe załączniki w poczcie, malware czy tunele, którymi stopniowo penetrują nasze zasoby w celu zdobycia bezcennych informacji i wykorzystania ich później w celach zarobkowych – nie-ważne, czy to przez handel na czarnym rynku, czy przez szantażowane.
Nie możemy stuprocentowo uchronić się przed tym zjawiskiem, bo producenci zabezpieczeń, są o krok za przestępcami – a nie odwrotnie. Nie zmienia to faktu, że współczesne mechanizmy wykrywania zagrożeń w komunikacji szyfrowanej są niezwykle skuteczne. Warto więc się nad nimi pochylić i wdrożyć je w swojej organizacji.
Czołowi producenci urządzeń i systemów security w swoich produktach, jak firewalle klasy Next-Generation, czy systemy XDR, oferują złożone mechanizmy pozwalające na rozszyfrowanie transmisji, skanowanie jej (np. pod kątem wzorców ataków hacker-skich, złośliwego oprogramowania czy treści phishingowych) i ponowne zaszyfrowanie – a to wszystko w czasie rzeczywistym. W czasach, gdy lekko szacując 90% komunikacji odbywa się przy pomocy protokołów szyfrowanych, możliwość inspekcji takiego ruchu jest nie opcjonalna, ale wprost konieczna.
Firewalle Next-Generation – jakie są ich możliwości w zakresie ochrony ruchu szyfrowanego?
K.G.: Firewall klasy Next-Generation, w odróżnieniu od swoich tradycyjnych odpowiedników, oferuje wielowarstwową ochronę transmisji, także szyfrowanej. Jego zdolność do odczytywania komunikacji zaszyfrowanej jest kluczowa, aby móc w ogóle zajrzeć w jej treść i gruntownie ją zbadać nim podejmie się decyzję o tym, czy może ona trafić do odbiorcy, czy też powinna być z jakiegoś względu zablokowana.
Jak to wygląda „od kuchni”? Firewall, stojąc na styku sieci lokalnej z Internetem, jest pośrednikiem między serwerem zdalnym a klientem w sieci lokalnej. Odpowiada za jednoczesne zestawienie dwóch sesji: między sobą a klientem oraz między sobą a serwerem. Takie umiejscowienie daje mu pełną transparentność komunikacji w obu kierunkach, ponieważ szyfrowanie odbywa się nie w relacji klient-serwer, a klient-firewall oraz firewall-serwer, co skutkuje tym, że negocjacja połączenia szyfrowanego zachodzi de facto między firewallem a klientem oraz firewallem i serwerem.
Bezpośrednio na firewallu transmisja jest szyfrowana, w związku z czym ruch można poddać dokładnej analizie przy udziale szeregu mechanizmów bezpieczeństwa, takich jak:
- IPS (Intrusion Prevention System), wykrywającym wzorce ataków hackerskich na podstawie znanych sygnatur ataków. Jeżeli jakiś hacker próbował się ukryć pod płaszczykiem szyfrowania, to ten mechanizm z pewnością go zdemaskuje i udaremni jego próby kompromitacji sieci,
- antimalware, sprawdzających transmisję na okoliczność występowania w niej złośliwego kodu, którego wzorce firewall zna i systematycznie aktualizuje,
- analiza treści, niedopuszczająca na przykład do uruchomienia stron internetowych zawierających określony kontekst, odebrania maili zawierającego konkretne słowa kluczowe czy linki, itp.,
- ochrona przed sabotażem poprzez rozpoznawanie kontekstu aplikacji i ich blokowanie, co jest na przykład przydatne w sytuacjach, gdy użytkownik lub hacker próbuje ominąć zabezpieczenia sieci przedsiębiorstwa, wykorzystując do tego oprogramowanie VPN lub proxy firm trzecich.
Jakie są potencjalne wady i ryzyka związane ze skanowaniem transmisji szyfrowanej? Czy istnieją sytuacje, w których skanowanie może prowadzić do naruszenia prywatności lub bezpieczeństwa danych?
K.G.: Zalety z wykorzystywania możliwości skanowania transmisji szyfrowanej są niezaprzeczalne, także dalece przewyższają korzyściami potencjalne ryzyko, które, choć niewielkie, istnieje, i którego należy być świadomym. Jakiekolwiek mechanizmy pośredniczące w transmisji między klientem a serwerem, niezależnie od tego, czy jest to firewall klasy Next-Generation, czy zdolne do analizy ruchu szyfrowanego programy XDR lub podobne, mają dostęp do odszyfrowanej, a zatem w pełni czytelnej, porcji danych.
Jeżeli wskutek błędu producenta takiego rozwiązania dojdzie do wycieku przesyłanych, zaszyfrowanych danych, lub będzie można w jakikolwiek sposób uzyskać do nich wgląd, będzie to stanowiło poważne zagrożenie dla bezpieczeństwa danych, ich poufności czy integralności. W takich przypadkach należy się obawiać ataków man-in-the-middle, których cechą charakterystyczną jest udział atakującego w procesie transmisji danych.
Dodatkowo należy mieć świadomość, że producentom rozwiązań security powierzamy pieczę nad danymi na tę krótką chwilę, podczas której np. firewall Next-Generation dokonuje inspekcji ruchu odszyfrowanego. Jeżeli boimy się sabotażu ze strony samego producenta, w myśl którego mógłby on wykorzystać bez naszej wiedzy odczytane przez swoje produkty dane, zawierające poufne dane firmy, przesyłane loginy i hasła, etc., to, technicznie rzecz biorąc, są one uzasadnione, ale patrząc na całokształt tego procesu – pozbawione są sensu.
Producenci tych rozwiązań zarabiają na ochronie danych, w dodatku silnie strzegą swojej reputacji. Jeżeli w ich szeregach nie ma naprawdę zmotywowanych i wyspecjalizowanych sabotażystów w zespołach programistycznych, tego typu teorie możemy pozostawić jedynie w sferze czystej abstrakcji.
Dlaczego, oprócz certyfikatów wystawianych przez zewnętrzne urzędy CA, warto mieć także własną, lokalną jednostkę tego typu?
K.G.: Lokalny urząd certyfikacji pozwala na udoskonalenie logowania, uzyskiwanie chronionego dostępu do poszczególnych elementów infrastruktury przedsiębiorstwa oraz weryfikowania tożsamości.
Infrastruktura klucza publicznego (PKI) sprawdza się doskonale w Internecie, np. do potwierdzenia autentyczności usługi serwerów bankowych, serwisów transakcyjnych. Dlaczego
jednak warto zainwestować w instalację i utrzymanie własnego rozwiązania typu PKI? Odpowiedź nie jest trudna: by wyprzeć ze środowiska infrastruktury lokalnej kłopotliwe hasła, których kradzież (np. wskutek phishingu) to najprostsza droga do wycieku i/lub utraty danych przedsiębiorstwa.
Posiadając własne CA (Certification Authority) możemy sprawić, by nasi pracownicy logowali się do komputerów nie hasłem, a kartą inteligentną. Tą samą kartą zresztą możemy (posiadając system budynkowej kontroli dostępu) dać im możliwość dojścia do określonych pomieszczeń w budynku firmy.
Certyfikaty wygenerowane przez lokalne CA pomogą nam zabezpieczyć dostęp do sieci, ponieważ w oparciu o nie możemy ustawić uwierzytelnianie oraz autoryzację w systemach klasy NAC (Network Access Control). Zarządzanie certyfikatami i powiązanymi z nimi uprawnieniami w środowisku z własnym CA to trywialna sprawa. Jednym kliknięciem możemy uprawnienia dla użytkownika rozszerzać, ograniczać lub całkowicie zablokować.
A co z ochroną infrastruktury krytycznej? Działy IT szczególnie docenią fakt, że certyfikaty wygenerowane we własnym CA i zaimportowane do interfejsów managementowych urządzeń i systemów IT pozwolą na zabezpieczenie połączenia administracyjnego. Nie dopuszczą też do ataku man-in-the-middle, ponieważ każda próba podmiany połączenia przez hakera wygeneruje ostrzeżenie. W jego wyniku połączenie powinno zostać natychmiast rozłączone, a sieć uznana za skompromitowaną, co powinno uruchomić natychmiastowe czynniki zaradcze w postaci poszukiwania i wyeliminowania intruza i luki, którą się do nas dostał.
Jakie są wyzwania związane z zarządzaniem własnym urządzeniem certyfikacji (CA) i jakie praktyki najlepsze pomagają w ich przezwyciężeniu?
K.G.: Własny urząd certyfikacji jest stosunkowo bezproblemowy we wdrożeniu i utrzymaniu, ale przy założeniu, że administrator bardzo konsekwentnie będzie się trzymał kilku krytycznie istotnych reguł:
będzie ściśle chronił klucz prywatny urzędu, ponieważ jego wyciek oznacza nieodwracalną kompromitację struktury całego PKI,
nie dopuści do obsługi CA przez osoby do tego celu niepowołane (w myśl zasady: „nie powierzę nikomu niezaufanemu uniwersalnego klucza do wszystkich zamków”),
będzie dbał o ciągłość aktualności certyfikatów generowanych dla poszczególnych podmiotów,
skonstruuje redundantne środowisko usługi CA oraz zabezpieczy je najlepszą dostępną formą kopii zapasowej, jako usługę o najwyższym statusie krytyczności.
Wśród best practices dla CA znajdziemy także zapis o tym, by jedna z instancji (główna – root) miała postać maszyny fizycznej, w dodatku wyłączonej praktycznie na stałe – włączanej tylko w celu odnowienia certyfikatów dla podmiotów SubCA.
W jaki sposób certyfikaty cyfrowe wydawane przez CA pomagają w potwierdzaniu tożsamości stron podczas szyfrowanej komunikacji?
K.G.: Chcąc poświadczyć swoją tożsamość np. w banku czy podczas kontroli policyjnej, okazujemy na żądanie dokument tożsamości, np. dowód osobisty.
Stanowi on dowód na to, że jesteśmy tym, za kogo się podajemy. Pracownik banku lub policjant po jego obejrzeniu są przekonani, że rozmawiają z osobą upoważnioną do zawarcia umowy kredytowej lub z właścicielem pojazdu.
Niezbędną do wykonania dalszych czynności pewność uzyskują dlatego, że ufają urzędowi, który wystawił dla nas dowód osobisty – np. urzędowi miasta, która jako instytucja zaufania publicznego ma uprawnienia do wydawania tego typu dokumentów, których podstaw do podważania autentyczności (teoretycznie) nie ma.
Identycznie jest z CA (Certification Authority), który pełni rolę takiego urzędu. Jeżeli zatem np. firma posiadająca sklep internetowy sprzedający rowery chce, by był on w Internecie widoczny dla wszystkich jako sklep faktycznie należący do przedsiębiorstwa produkującego rowery, zwraca się ona do wybranego CA (jak do urzędu) o wystawienie certyfikatu (jak dowodu osobistego) potwierdzającego, że witryna sklep-rowerowy.com.pl należy do firmy „Rowery sp. z o.o.”.
Wówczas firma ta musi przejść szereg procesów weryfikujących. Jeżeli weryfikacja przebiegnie pomyślnie, urząd CA wydaje certyfikat (dowód osobisty) dla strony sklep-rowerowy.com.pl poświadczający, że jest to faktycznie witryna należąca do firmy „Rowery sp. z o.o.” i że transakcje dokonywane za pośrednictwem tego sklepu są bezpieczne dla kupującego, bo realizowane z prawdziwym, a nie podstawionym, kontrahentem.
Jeżeli użytkownik korzystający z witryny sklep-rowerowy.com.pl nadal ma wątpliwości, czy warto zostawić w tym sklepie internetowym jakieś pieniądze, może sprawdzić, czy CA, który wystawił certyfikat dla tego sklepu, jest zaufanym podmiotem w Internecie (czyli, jak w przypadku urzędu miasta, czy jest instytucją zaufania publicznego). Interpretację tego faktu najczęściej ułatwiają nam przeglądarki internetowe, które dokonując weryfikacji ważności certyfikatu dla strony, jego atrybutów oraz CA, który go wystawił, wyświetlają nam tzw. „zieloną kłódkę” przy połączeniach uważanych za w pełni bezpieczne i zaufane, oraz „czerwoną kłódkę” wraz z ostrzeżeniem, gdy okazuje się, że coś się nie zgadza, zatem może dojść do niebezpieczeństwa kradzieży naszych danych, tożsamości, haseł czy pieniędzy.
Czy takiemu mechanizmowi można ufać bezwzględnie? Nie zawsze, bo tego typu certyfikat wystawiony przez zaufanego w Internecie CA kosztuje niejednokrotnie grosze (nawet kilkadziesiąt złotych), więc w teorii można za kilkadziesiąt złotych podszyć się pod np. stronę bankową i wymuszać tym samym dane logowania do systemów bankowych od nieprzeczuwających zagrożenia użytkowników.
Ale to tak jak w życiu: dowód osobisty można przecież podrobić. W praktyce jednak nie jest to takie proste, bowiem oprócz CA sprawdzana jest (jak wspomniałem wcześniej) długa lista innych atrybutów, takich jak np. nazwa strony internetowej, która bardzo skutecznie udaremnia tego typu próby ataków phishingowych.
Konkluzja jest taka, że zwyczaje, instytucje i hierarchie znane nam z życia codziennego w tym przypadku zostały w sposób doskonały przeniesione do płaszczyzny Internetu i innych usług sieciowych, od wielu lat doskonale sprawdzając się w roli strażnika naszych danych i interesów w cyfrowej rzeczywistości.
Jakie są najnowsze trendy i innowacje w dziedzinie szyfrowania transmisji danych? Czy istnieją nowe technologie lub metody, które mogą zastąpić obecne praktyki?
K.G.: Szyfrowanie samo w sobie jest trendem, które w IT było obecne od zawsze, jednak na upowszechnienie się szyfrowania transmisji i danych w użytku komercyjnym, trzeba było czekać długo. Tak było choćby z przejściem z komunikacji przy użyciu protokołu HTTP na HTTPS. Dość powiedzieć, że dopiero w 2016 (!) roku przeglądarki zaczęły wyraźnie ostrzegać użytkowników o fakcie połączenia z serwerem WWW z wykorzystaniem nieszyfrowanego protokołu HTTP! Dopiero wówczas producent przeglądarki Chrome, firma Google, wprowadziła wyraźne i uciążliwe dla użytkownika ostrzeżenia, że przebywa na stronie internetowej, z serwerem której komunikacja jest nieszyfrowana.
Prawdopodobnie ten mały-wielki krok wykonany przez Google (i kontynuowany słusznym trendem przez pozostałych producentów przeglądarek internetowych) sprawił, że obecnie niemal nie sposób jest spotkać stronę w Internecie nie wykorzystującą szyfrowanego połączenia.
Niewiele, bo raptem kilka lat wcześniej, wprowadzono szyfrowanie danych w telefonach komórkowych oraz komputerowych systemach operacyjnych. Nie zawsze jednak była to opcja domyślna bądź nie zawsze sprzęt pozwalał na uruchomienie takiego szyfrowania.
Dopiero od kilku lat możemy mówić o tym, że szyfrowanie w urządzeniach konsumenckich – domowych, biurowych, itp. upowszechniło się na dobre. Producenci komputerów i telefonów komórkowych domyślnie szyfrują zawartość pamięci i tylko w nielicznych przypadkach, intencjonalnie da się ją wyłączyć.
Przeglądanie Internetu poprzez HTTPS, komunikacja z systemami poczty elektronicznej poprzez szyfrowane protokoły pocztowe, szyfrowanie transmisji głosu i wideo podczas wideokonferencji – to wszystko to trendy oczywiste dzisiaj, ale praktycznie niestosowane (choć techniczne możliwości w zasadzie były!) jeszcze dekadę temu.
Odpowiadając na pytanie: najnowszym trendem w dziedzinie szyfrowania transmisji danych oraz danych samych w sobie jest… po prostu stosowanie szyfrowania. Współcześnie niemal każdy protokół komunikacji musi być w standardzie szyfrowany. Starsze protokoły komunikacji posiadają już swoje szyfrowane odpowiedniki. Należy więc zacząć od własnego środowiska i odpowiedzieć sobie na pytanie: czy na pewno stosuję szyfrowanie tam, gdzie się da? Jeśli tak, to czy algorytmy szyfrujące, które stosuję, nie posiadają podatności? Jeśli nie, to z czego to wynika? Z nieprzystosowanego sprzętu? Z przestarzałego systemu?
Dążmy do tego, by te niebezpieczne cechy wyeliminować raz na zawsze. Z jakich nośników korzystać do przenoszenia i przechowywania danych? Warto stosować takie, które szyfrują zawartość. To tak powszechne rozwiązania, że powinny być jedynym słusznym standardem. Obecne praktyki w zakresie szyfrowania, transmisji czy przechowywania danych, są słuszne i – dopiero teraz to można powiedzieć – nareszcie dojrzały. Trzeba je tylko konsekwentnie stosować lub stosować w ogóle.
Jakie są najważniejsze kroki, które organizacje powinny podjąć, aby zapewnić skuteczną ochronę danych i szyfrowanie w obliczu rosnących zagrożeń cybernetycznych?
K.G.: Przede wszystkim zacząć szyfrować dane i transmisję, jeśli wciąż tego nie robią. Po drugie: tam, gdzie się da, przejść na logowanie z użyciem certyfikatów. Po trzecie: zacząć powszechnie stosować mechanizmy uwierzytelniania wieloskładnikowego (MFA) lub przynajmniej dwuskładnikowego (2FA). Czynnik ludzki bywa zawodny, czasami zdarza się nam wpaść w sidła phishingu, czasami padniemy ofiarą ataku socjotechnicznego. W każdym z przypadków osoba nieupoważniona wchodzi w posiadanie naszego loginu i hasła, osiągając swój cel. Dodatkowy czynnik logowania pozwoli nam uchronić się przed phishingiem, nie dopuści do uskutecznienia próby logowania w przypadku wycieku hasła i dzięki temu pozwoli nam spać spokojniej.
Po czwarte: zadbać o bezpieczeństwo pracy zdalnej. Sprzęt pracowników, niezależnie od miejsca, w którym aktualnie pracują, powinien być chroniony przez firmowego firewalla poprzez zawijanie całego ruchu sieciowego właśnie przez niego, przy użyciu szyfrowanego VPN-a. Wówczas mamy pewność, że nawet po podłączeniu do publicznej sieci Wi-Fi w jakimś podejrzanym zakątku świata, nikt nie będzie w stanie podsłuchać naszej transmisji.
Dziękuję za inspirującą rozmowę.
