دلایل ضرورت نظارت بر ترافیک رمزنگاری شده

مهاجمان سایبری بدافزارها را بین ترافیک رمزنگاری شده مخفی می‌کنند. بر اساس گزارش‌های جدید در سه ماهه دوم سال 2021، بیش از 90 درصد از بدافزارها از طریق ترافیک رمزنگاری شده منتقل شدند و این روند رو به افزایش است. پروتکل‌های رمزنگاری پیشرفته (مثل AES، TLS، QUIC، RDP، پوسته امن و غیره) با حفاظت از محرمانگی و جامعیت داده‌ها به تأمین امنیت و حریم خصوصی شبکه‌ها کمک می‌کنند اما از طرفی منجر به ایجاد هزینه‌های زیادی هم می‌شوند. این پروتکل‌ها کنترل نظارت تیم‌های امنیت سایبری را بر ترافیک شبکه محدود می‌کنند و مانع ایمن‌سازی مناسب سازمان می‌شوند. در این مطلب نحوه شناسایی بدافزارهای مخفی شده در ترافیک رمزنگاری شده و علت اهمیت آن را بررسی می‌کنیم.

ابزارهای امنیتی سنتی سعی می‌کنند با روش بررسی عمیق بسته‌های شبکه یا نظارت بر ترافیک رمزنگاری شده بر اساس قوانین از پیش تعریف شده با بدافزارها مقابله کنند. ترافیک رمزنگاری شده باعث ایجاد نقاط کور می‌شود و عملکرد ابزارهای امنیتی را خنثی می‌کند؛ از جمله ابزارهایی که برای بررسی محتوای بسته‌ها و شناسایی تهدیدات از تکنیک‌های بررسی بسته عمیق استفاده می‌کنند. امروزه این روش کافی نیست و همین موضوع منجر به ظهور حوزه تحلیل ترافیک رمزنگاری شده (ETA[1]) شده است. این طرح با بررسی انواع ویژگی‌های داده‌ها و از طریق نظارت غیرفعال و بدون نیاز به رمزگشایی داده‌ها همزمان با حفظ حریم خصوصی، به کسب اطلاعات درباره ترافیک رمزنگاری شده کمک می‌کند. در روش‌های ETA پیشرفته از تحلیل عمیق بسته (DPD[2]) برای اجرای تکنیک‌های یادگیری ماشینی و ناهنجاری رفتاری جهت شناسایی حملات پیچیده استفاده می‌شود. این روش به سازمان‌ها برای اطمینان از رعایت استانداردها و قوانین و حفاظت از آنها در برابر تهدیداتی مثل بدافزار، حملات MITM، فعالیت‌های مربوط به فرماندهی و کنترل و استخراج داده‌ها کمک می‌کند.

از طرفی بسیاری از برنامه‌های کاربردی و سرویس‌ها متکی بر پلتفرم‌های تحت وب و ابر هستند. این پلتفرم‌ها از پروتکل‌هایی مثل امنیت لایه حمل و نقل/ لایه سوکت‌های امن (SSL/TLS[3]) برای حفاظت از محرمانگی داده‌ها و حریم خصوصی کاربران استفاده می‌کنند. می‌توان برای نظارت بر ترافیک رمزنگاری شده از ابزارهای رمزگشایی و مرد میانی استفاده کرد ولی بکارگیری همزمان این پروتکل‌ها و ابزارها برای رمزگشایی، تحلیل و رمزنگاری مجدد به صورت انبوه، منجر به افت کارایی و ایجاد تأخیر می‌شود. بنابراین در چنین شرایط پیشرفته‌ای نیاز به اجرای روش‌های ETA پیشرفته‌ احساس می‌شود

موارد زیر تعدادی از دلایل مهم برای نظارت بر ترافیک رمزنگاری شده و کاربردهای ETA هستند:

1. هدف اصلی رمزنگاری، حفظ محرمانگی داده‌ها در یک ارتباط است. رمزگشایی از تراکنش‌های امن منجر به نقض هدف اصلی از رمزگشایی آنها یعنی حفظ امنیت و حریم خصوصی می‌شود. رمزگشایی باعث نقض حریم خصوصی کاربران و قوانینی می‌شود که سازمان‌ها ملزم به رعایت آنها هستند. همچنین رمزگشایی داده‌های مبادله شده بین کاربران منجر به افزایش پیچیدگی کارها و نیاز به کسب مجوزهای مختلف شده است. از طرفی از لحاظ عملیاتی انجام این کار همیشه ممکن نیست. ETA با برقراری توازن بین قابلیت دید بر شبکه و امنیت همزمان با حفظ محرمانگی اطلاعات کاربران به حل این مشکل کمک می‌کند. این کار با استفاده از دینامیک عمیق بسته (DPD[4]) انجام می‌شود. DPD بدون نیاز به رمزگشایی بسته‌ها و به صورت غیرفعال بر ترافیک شبکه نظارت کرده و ویژگی‌های رفتاری پیشرفته، ساده و ارتقا یافته هر اتصال شبکه را جمع‌آوری می‌کند. این فناوری به نظارت بر ترافیک شبکه از طریق بینش فراهم شده توسط یادگیری ماشینی و ترکیب اطلاعات سنتی مختلف (مثل آی‌پی، پورت‌ها، پروتکل‌ها، ابرداده‌های پیشرفته و غیره) کمک می‌کند. این قابلیت نظارت بر شبکه، با حذف پیچیدگی‌های رمزگشایی و تفسیر ترافیک به حفظ حریم خصوصی کاربران هم کمک می‌کند.
2. فعالیت مهاجمان روزبروز بیشتر می‌شود و با افزایش حجم ترافیک رمزنگاری شده، حملات مخفی شده در آن هم افزایش می‌یابد. مهاجمان همواره نیاز به دسترسی به شبکه‌های سازمانی دارند و با مخفی شدن در ترافیک رمزنگاری شده، از شناسایی خود پیشگیری می‌کنند. تشخیص فعالیت‌های مربوط به بدافزارها در بین ترافیک شبکه، نقش مهمی در حفاظت از امنیت سازمانی دارد. ETA با گردآوری اطلاعاتی درباره ترافیک رمزنگاری شده در یک شبکه، به حل این مشکل کمک می‌کند. نظارت بر استفاده از سرویس‌های رمزنگاری رسمی (TLS، SSH و غیره) از جمله ابرداده‌های مربوط به اتصالات شبکه و پروتکل‌های دست تکانی (handshake) اطلاعات مفیدی در رابطه با اینکه  چه دستگاه‌هایی از رمزنگاری استفاده می‌کنند، نوع رمزنگاری و منابع مورد استفاده چیست و این دستگاه‌ها با چه افراد یا دستگاه‌هایی در ارتباط هستند فراهم می‌کند. ETA با استفاده از یادگیری ماشینی حتی با وجود رمزنگاری، به تحلیلگران درباره ریسک‌هایی با اولویت بالا هشدار می‌دهد و با ایجاد قابلیت دید، به ارتقای سطح امنیت کمک می‌کند.
3. عدم استفاده صحیح از رمزنگاری می‌تواند باعث ایجاد حس امنیت کاذب شود در نتیجه سطح خطر برای سازمان‌ها افزایش پیدا می‌کند. اگرچه تصور می‌شود که فروشندگان در زنجیره تأمین در ایمن‌سازی محصولات خود خبره هستند اما ممکن است این محصولات حاوی نقاط ضعف باشند که مشتریان از آنها اطلاع ندارند؛ مثل ضعف رمزنگاری. در دنیای امروزی، فعال کردن رمزنگاری به تنهایی کافی نیست زیرا فعال کردن طرح‌های رمزنگاری با عملکرد فنی درست که قدرت لازم برای حفاظت از اطلاعات را ندارند، امکان تفسیر و سرقت اطلاعات مهم را برای هکرها فراهم می‌کند. ETA با فراهم کردن دیدی کامل در سطح شبکه به حل این مشکل کمک می‌کند.
4. تضمین رمزنگاری و قابلیت تشخیص تغییرات غیرمجاز (که معمولاً توسط تیم آی‌تی سایه‌ای انجام می‌شود) نقش مهمی در وضعیت امنیتی یک سازمان دارد. بسیاری از شرکت‌ها برای ارتباط کاربران با داده‌ها از شبکه‌های وی‌پی‌ان وسیع استفاده می‌کنند. این سازمان‌ها عموماً برای دسترسی راه دور از تونل‌های وی‌پی‌ان رمزنگاری شده استفاده می‌کنند بدون اینکه تضمینی بر رمزنگاری داده‌ها فراهم کنند. ETA این اطمینان را فراهم می‌کند که ترافیکی که قرار بوده رمزنگاری شود، رمزنگاری شده باقی می‌ماند. بعلاوه، ETA امکان تشخیص ارتباطات مربوط به دسترسی از راه دور را فراهم می‌کند که انجام این کار برای شناسایی دور زدن کانال‌های احراز هویت رسمی با هدف ایجاد دسترسی کاربران از راه دور بسیار مهم است.

برای پیاده‌سازی یک راهکار ETA، باید به چهار حوزه کلیدی توجه کنید. اولاً بسیاری از حملات همچنان بر ضد سیستم‌های درون سازمانی انجام می‌شوند. با وجود انتقال بسیاری از کارهای تولیدی به بستر ابر توسط سازمان‌ها، مهاجمان از فیشینگ و اعتبارنامه‌های کاربری به سرقت رفته برای دسترسی از راه دور به شبکه‌ها استفاده می‌کنند. برای حفظ امنیت اطلاعات در محیط درون سازمانی، لبه شبکه، محیط‌های چند ابری و غیره باید از همان ابتدا ابزارهای ETA را در استراتژی ترافیک رمزنگاری شده خود در نظر بگیرید. همچنین باید دیدی فراتر از JA3(S) داشته باشید. JA3(S) که معمولاً به عنوان اولین رویکرد برای تحلیل ترافیک رمزنگاری شده در نظر گرفته می‌شود، دارای همان محدودیت‌های روش‌های مبتنی بر امضا است که متکی بر تهدیدات یا لیست‌های سیاه از پیش شناسایی شده هستند.

بعلاوه تحلیل گواهینامه رمزنگاری می‌تواند برای جرم شناسایی دیجیتال هم مفید است اما مهاجمان حرفه‌ای سعی می‌کنند جهت زیرساخت‌های هک خودشان از گواهینامه‌های معتبر استفاده کنند که این کار با روش‌هایی مثل ایجاد یک زیرساخت معتبر برای خودشان، به دست آوردن گواهینامه دامنه‌هایی که متعلق به خود آنها نیست و هک سرورهایی با گواهینامه معتبر انجام می‌شود. در نهایت، از یک استراتژی ETA استفاده کنید که در آن برای ارتقای قدرت تشخیص، زمان واکنش و اولویت بندی تهدیدات و ریسک‌ها از یادگیری ماشینی استفاده شده باشد.

متأسفانه افزایش استفاده از پروتکل‌های رمزنگاری شده منجر به ایجاد محدودیت در امکان دید بر ترافیک شبکه می‌شود اما صنعت امنیت سایبری با استفاده از ETA پیشرفته که تکنیک جایگزین مناسبی برای نظارت بر ترافیک شبکه است، در حال تلاش برای حل این چالش است. ترکیب DPD با یادگیری ماشینی و با به کارگیری الگوریتم‌های قدرتمند جهت تشخیص الگو در داده‌های شبکه، روش‌های کلاسیک تحلیل رمزنگاری را متحول می‌کند.

[1] Encrypted Traffic Analysis

[2] Deep Packet Analysis

[3] Secure Sockets Layer/Transport Layer Security

[4] Deep Packet Dynamics