Encrypted Traffic Management Verschlüsselten Datenverkehr auf Bedrohungen prüfen

Autor / Redakteur: Robert Arandjelovic* / Stephan Augsten

Die Verschlüsselung per SSL und TLS macht das Internet sicherer, erschwert aber die Erkennung von bösartigem Datenverkehr. Encrypted Traffic Management kann an dieser Stelle Abhilfe schaffen. Blue Coat erläutert, was es mit diesem Ansatz auf sich hat.

Firma zum Thema

Um alle Bedrohungen zu erkennen, muss man auch verschlüsselten Datenverkehr analysieren können.
Um alle Bedrohungen zu erkennen, muss man auch verschlüsselten Datenverkehr analysieren können.
(Bild: Archiv)

Das Internet Architecture Board (IAB) fordert in einer aktuellen „Erklärung zur Vertraulichkeit im Internet“, dass sämtlicher Internet-Datenverkehr vor Mitlesern geschützt werden soll. Verschlüsselung vom Transportprotokoll bis zu den Anwendungen soll das Ziel sein.

Viele Unternehmen unterschätzen jedoch das Risikopotenzial und sind schlichtweg nicht in der Lage, Bedrohungen zu identifizieren, die sich in diesem verschlüsselten Traffic verstecken. Denn zunehmend wird der Schutz der Verschlüsselung als Zugang zu sensiblen Daten genutzt.

Das Problem: Datenschutz- und Compliance-Vorgaben stellen die Unternehmens-IT vor große Herausforderungen, wenn es um verschlüsselte Daten geht. Häufig erschweren oder verhindern Richtlinien der Personal- und Rechtsabteilungen die Überprüfung von verschlüsseltem Traffic, um den Schutz der Privatsphäre nicht zu gefährden.

Da sich der verschlüsselte Internet-Datentransfer nur schwer prüfen lässt, können darin versteckte Advanced Threats ungehindert in das Unternehmensnetz gelangen, um Malware zu installieren. Ein jüngstes Beispiel dafür war der Inception-Angriff, bei dem SSL genutzt wurde, um darin „Command and Control“-Kommunikationskanäle oder das Auslesen von Daten zu verbergen. Einen neuen Ansatz, um diese Herausforderungen zu bewältigen, bietet das sogenannte Encrypted Traffic Management (ETM).

ETM umfasst alle Ebenen wie Informationen, Policies oder Prozesse. Dazu gehören zum Beispiel Anwendungen wie Web Gateways, Content Analysis, Global Intelligence Networks, Malware Analysis, SSL-Visibility, Security Analytics IDS-, IPS-, DLP-, SIEM-Lösungen und vieles mehr. Zudem reduzieren unternehmensweit geltende Sicherheitsrichtlinien zum Umgang mit verschlüsseltem Traffic bei Web-, Cloud- oder mobilen Anwendungen das Risiko.

Was ist Encrypted Traffic Management?

ETM-Lösungen sollen die blinden Flecken bei der Absicherung der IT-Infrastruktur beseitigen. Sie stellen Tools zur Abwehr von Bedrohungen bereit, mit denen SSL-verschlüsselter Traffic entschlüsselt und sicher einer weiteren Kontrolle durch die IT-Infrastruktursysteme eines Unternehmens (wie Antivirus, Sandboxing, Data-Loss-Prevention) zugeführt werden kann.

Selbst hochentwickelte Bedrohungen lassen sich damit ohne Performance-Verlust für das Netzwerk erkennen und stoppen. Der SSL-Traffic wird nur einmal entschlüsselt und gleichzeitig allen vorhanden Sicherheitslösungen zur Verfügung gestellt. Somit wird der häufigste Verbreitungsweg von Advanced Threats blockiert und die Security-Infrastruktur des Netzwerks verbessert.

Vier Schritte zur Minimierung von SSL-Risiken

Die Sicherheit lässt sich in vier Schritten verbessern:

  • 1. Bestandsaufnahme und Wachstumsplan: SSL-verschlüsselten Netzwerk-Traffic im Unternehmen analysieren und einordnen.
  • 2. Risiko durch ungeprüften Traffic bewerten: Erkenntnisse mit bestehenden Policies abgleichen, Diskrepanzen im Hinblick auf Security, Datenschutz und Compliance analysieren, Aktionsplan zur Schwachstellenbehebung entwickeln.
  • 3. Netzwerk-Security um ETM erweitern: Damit können vorhandene Lösungen wie Next Generation Firewall, IDS, IPS, Anti-Virus, DLP sowie Malware- und Security-Analysetools auch sämtliche im SSL-Verkehr versteckten Bedrohungen erkennen.
  • 4. Nutzungsrichtlinien für verschlüsselte Applikationen und verschlüsselten Traffic innerhalb und außerhalb des Netzwerks durchgehend beobachten, präzisieren und durchsetzen.

Wie akut ist das Risiko?

Unternehmen sollten bereits jetzt entsprechende Schritte planen, denn bösartiger, SSL-verschlüsselter Internet Traffic ist eine reale Bedrohung. So sind derzeit weltweit, laut einer Studie von NSS Labs, zwischen 25 und 35 Prozent des geschäftlichen Netzwerkverkehrs per SSL/TLS verschlüsselt. Bei Finanzinstituten oder anderen Unternehmen mit vielen sensiblen Daten dürfte der Anteil sogar schon wesentlich höher liegen

Gemäß Gartner wächst der verschlüsselte Datenverkehr um jährlich 20 Prozent. Cyberkriminelle wissen dies und nutzen bereits verschlüsselten Datenverkehr, um Erstinfektionen, „Command and Control“-Kommunikationskanäle oder das Auslesen von Daten geschickt zu verstecken und eine Entdeckung zu vermeiden. Laut Gartner werden 2017 bereits mehr als die Hälfte aller Netzwerkangriffe über SSL-Verschlüsselung geschehen.

Mit ETM können Unternehmen bereits jetzt entsprechende Policies durchsetzen und orchestrieren. Dann wird der SSL-verschlüsselte Netzwerkverkehr selektiv entschlüsselt, um das Sicherheitsrisiko durch Web-, Cloud- und mobile Anwendungen zu reduzieren – auch bei unterschiedlichen Protokollen wie HTTPS, SMTPS, IMAPS, POP3S oder FTPS.

Dabei werden Datenschutz und Compliance umfassend sichergestellt, auch bei strengen Vorgaben wie in Deutschland. Die bestehende Sicherheitslandschaft bleibt dabei bestehen und wird durch die neuen Lösungen erweitert.

* Robert Arandjelovic ist Director Product Marketing EMEA bei der Blue Coat Systems GmbH.

(ID:43171192)