SSL-Inspektion

6 Tipps zur Vermeidung von SSL-Blind-Spots

| Redakteur: Peter Schmitz

Bei der Bewertung möglicher Lösungen zur SSL-Überwachung sollten Unternehmen vor allem auf Kriterien wie Performance, Compliance, Verfügbarkeit und Sicherheit achten.
Bei der Bewertung möglicher Lösungen zur SSL-Überwachung sollten Unternehmen vor allem auf Kriterien wie Performance, Compliance, Verfügbarkeit und Sicherheit achten. (Bild: A10 Networks)

Die SSL-Nutzung nimmt mit jedem Jahr kontinuierlich zu, und auch Hacker nutzen diese Technologie, um Angriffe zu verbergen. Obwohl viele Firewalls und Security-Lösungen zum Schutz vor Bedrohungen den SSL-Verkehr entschlüsseln können, sind sie oft nicht in der Lage, mit den schnell wachsenden Entschlüsselungs­anforderungen Schritt zu halten.

Gelingt es Cyberkriminellen, in das System eines Unternehmens einzudringen, kann dies Ausfallzeiten, entgangene Umsätze, negative Kundenreaktionen und den Verlust geistigen Eigentums zur Folge haben. Darüber hinaus verursachen die Behebung der Sicherheitsverletzungen und die Wiederherstellung des geschädigten Rufs hohe Kosten. Ohne SSL-Inspektion sind Unternehmen angreifbar. Hacker, die ihre Machenschaften hinter verschlüsseltem Datenverkehr verbergen, können unentdeckt in die Netzwerke eindringen, Malware installieren und Daten an mehreren Endpunkten stehlen. Bei der Bewertung möglicher Lösungen zur SSL-Überwachung sollten Unternehmen vor allem auf Kriterien wie Performance, Compliance, Verfügbarkeit und Sicherheit achten. Eine effektive SSL-Überwachungsplattform zeichnet sich nach Ansicht des netzwerkexperten A10 Networks durch folgende Leistungsmerkmale aus:

TLS 1.3 - Viel heiße Luft oder ein großer Wurf?

Transportverschlüsselung Teil 1

TLS 1.3 - Viel heiße Luft oder ein großer Wurf?

29.05.18 - Die Bedeutung der Datenverschlüsselung hat in den vergangenen Jahren massiv zugenommen. Beim Entwurf von TLS 1.3 bestand das Ziel darin, der aufkeimenden Bedrohung durch das Quantencomputing mit einer anspruchsvolleren Verschlüsselung gegenzusteuern, ohne dabei die User-Agents zu überfordern und gleichzeitig eine höhere Performance für latenzsensible IoT-Anwendungen zu liefern. lesen

1. SSL-Performance-Anforderungen erfüllen

Performance ist entscheidend bei der Auswahl jeder neuen Lösung für Unternehmen. Dies gilt jedoch insbesondere, wenn die Lösung mit ständig zunehmender Auslastung Schritt halten muss. Performance-Anforderungen einer SSL-Überwachung:

  • Test der SSL-Überwachungsgeschwindigkeit mit 2048-Bit- und 4096-Bit-SSL-Schlüsseln und Evaluation des Datenverkehrs, der zur Verschlüsselung den Elliptic Curve Diffie-Hellmann-Algorithmus nutzt.
  • Plattform muss Durchsatzanforderungen erfüllen und zusätzlichen Spielraum für Spitzenbelastungen bieten

2. Compliance-Vorgaben einhalten

Mit lokalen Gesetzen zum Datenschutz wie Vorschriften zu HIPAA oder SOX und dem Electronic Communications Privacy Act (ECPA) stehen Unternehmen heute vor der Herausforderung, zahlreiche verschiedene Compliance-Standards erfüllen zu müssen. Die Einhaltung dieser Gesetze bedeutet, dass viele Unternehmen – beispielsweise aus der Finanz- oder Gesundheitsbranche – vertraulichen Datenverkehr passieren lassen müssen. Um Compliance-Vorgaben zu erfüllen und gleichzeitig SSL-Datenverkehr zu inspizieren, sollten IT-Sicherheitsteams nach Plattformen suchen, die folgende Aktivitäten durchführen können:

  • Webverkehr nach Typ kategorisieren und sicherstellen, dass vertrauliche Daten, die auf Websites von Banken und dem Gesundheitswesen weitergeleitet werden, verschlüsselt bleiben
  • Automatisch aktualisierte und manuell definierte URL-Bypasslisten unterstützen
Webmaster in der HTTPS-Pflicht

Transportverschlüsselung Teil 2

Webmaster in der HTTPS-Pflicht

04.06.18 - Als ob die DSGVO alleine vielen Administratoren nicht schon genug schlaflose Nächte verursacht hätte, möchte Google unter Androhung eigener Sanktionen das Internet zwangsweise auf HTTPS umstellen. IT-Verantwortliche geraten einmal wieder in Zugzwang, wenn sie nicht riskieren wollen durch Google abgestraft zu werden und dadurch wertvollen Traffic aus Deutschlands meistgenutzter Websuche zu verlieren. lesen

3. Komplexe Installationsanforderungen unterstützen

Bei dem Versuch, alle wesentlichen Sicherheitsaspekte abzudecken, installieren die meisten Unternehmen ein breites Spektrum an Sicherheitsgeräten verschiedener Anbieter. Plattformen zur SSL-Überwachung sollten Datenverkehr für all diese Geräte entschlüsseln können.

  • Ausgehenden Internetverkehr und auf Unternehmensserver eingehenden Verkehr entschlüsseln
  • Datenverkehr auf intelligente Weise mit Advanced Traffic Steering auf verschiedene Security-Geräte routen
  • Integrierbar in verschiedene Sicherheitslösungen von führenden Anbietern sein

4. Verfügbarkeit und Kapazität der Sicherheitsinfrastruktur maximieren

Die Sicherheitsinfrastruktur muss betriebsbereit und vollständig verfügbar sein, um Cyberangriffe wirksam abzuwehren und unrechtmäßige Datenabflüsse zu verhindern. Bei einem Ausfall von Sicherheitsinfrastrukturen bleiben Bedrohungen möglicherweise unentdeckt, was zu verheerenden Angriffen, Umsatzverlusten und einer Rufschädigung der Marke führen kann. Eine effektive SSL-Inspektionsplattform sollte das Angriffsrisiko senken, indem sie die Verfügbarkeit der bestehenden Sicherheitsinfrastruktur maximiert. Leistungsmerkmale einer guten Plattform sind:

  • Skalierbarkeit von Sicherheitsinstallationen mit Lastverteilung
  • Vermeidung von Netzwerkausfällen durch Erkennen und Umgehen von ausgefallenen Sicherheitssystemen
  • Unterstützung moderner Überwachungstechnologien, um Netzwerk- oder Anwendungsfehler schnell zu identifizieren
HTTPS mit TLS 1.3 in der Praxis

Transportverschlüsselung Teil 3

HTTPS mit TLS 1.3 in der Praxis

11.06.18 - Wem die Sicherheit von HTTPS-Verbindungen am Herzen liegt, der ist gut beraten, die TLS-Konfiguration zu überdenken, denn ohne eine moderne Transportverschlüsselung sind gute Vorsätze beim Datenschutz nur ein Papiertiger. Zwar ist TLS 1.3 nun offiziell aus den Startlöchern, aber die Implementierung ist leider voller Tücken und Überraschungen. lesen

5. SSL-Zertifikate und -Schlüssel sicher verwalten

SSL-Zertifikate und -Schlüssel bilden die Grundlage für die Vertraulichkeit von Daten in verschlüsselter Kommunikation. Bei einer erfolgreichen Infektion kann der Angreifer Daten entwenden und missbrauchen. Damit SSL-Überwachungsplattformen eingehenden und ausgehenden SSL-Verkehr sichtbar machen können, müssen sie Hunderte oder Tausende von SSL-Zertifikaten und -Schlüsseln sicher verwalten können. Eine effektive SSL-Inspektionsplattform sollte folgende Leistungsmerkmale bieten:

  • Schutz vor SSL-Schlüsseln, die auf der SSL-Überwachungsplattform gespeichert sind
  • Integration mit Drittanbieterlösungen zur SSL-Zertifikatsverwaltung, die Zertifikate erkennen und kontrollieren
  • Unterstützung für die Schlüsselverwaltung nach FIPS 140-2 Level 2 und Level 3

6. Entschlüsseln des gesamten, standardkonform verschlüsselten Datenverkehrs

Nicht nur das Volumen von verschlüsseltem Datenverkehr nimmt kontinuierlich zu, sondern auch die Komplexität der Verschlüsselung. Methoden wie 4096-Bit-SSL-Schlüssel, Chiffren auf Basis elliptischer Kurven, Perfect Forward Secrecy (PFS) und weitere werden eingesetzt, um Schutz vor neugierigen Blicken zu bieten. Um mit dieser Entwicklung Schritt zu halten, müssen SSL-Überwachungsplattformen folgende Leistungsmerkmale aufweisen:

  • Unterstützung von 4096-Bit-SSL-Schlüssellängen und modernen SSL- und TLS-Chiffren
  • Entschlüsselung aller Daten, einschließlich SSL-Neuübertragungen
  • Benachrichtigung bei fehlgeschlagener Entschlüsselung
Immer mehr Malware nutzt SSL und TLS-Verschlüsselung

ThreatLabZ-Studie von Zscaler

Immer mehr Malware nutzt SSL und TLS-Verschlüsselung

25.08.17 - Sicherheitsexperten vermelden die rasche Zunahme von Schadcode, der in SSL-verschlüsselten Daten transportiert wird. Laut der ThreatLabZ-Studie sind bereits durchschnittlich 60 Prozent der bearbeiteten Transaktionen in der Zscaler Security Cloud SSL oder TLS verschlüsselt. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45627311 / Protokolle und Standards)