
مهاجمان سایبری بدافزارها را بین ترافیک رمزنگاری شده مخفی میکنند. بر اساس گزارشهای جدید در سه ماهه دوم سال 2021، بیش از 90 درصد از بدافزارها از طریق ترافیک رمزنگاری شده منتقل شدند و این روند رو به افزایش است. پروتکلهای رمزنگاری پیشرفته (مثل AES، TLS، QUIC، RDP، پوسته امن و غیره) با حفاظت از محرمانگی و جامعیت دادهها به تأمین امنیت و حریم خصوصی شبکهها کمک میکنند اما از طرفی منجر به ایجاد هزینههای زیادی هم میشوند. این پروتکلها کنترل نظارت تیمهای امنیت سایبری را بر ترافیک شبکه محدود میکنند و مانع ایمنسازی مناسب سازمان میشوند. در این مطلب نحوه شناسایی بدافزارهای مخفی شده در ترافیک رمزنگاری شده و علت اهمیت آن را بررسی میکنیم.
ابزارهای امنیتی سنتی سعی میکنند با روش بررسی عمیق بستههای شبکه یا نظارت بر ترافیک رمزنگاری شده بر اساس قوانین از پیش تعریف شده با بدافزارها مقابله کنند. ترافیک رمزنگاری شده باعث ایجاد نقاط کور میشود و عملکرد ابزارهای امنیتی را خنثی میکند؛ از جمله ابزارهایی که برای بررسی محتوای بستهها و شناسایی تهدیدات از تکنیکهای بررسی بسته عمیق استفاده میکنند. امروزه این روش کافی نیست و همین موضوع منجر به ظهور حوزه تحلیل ترافیک رمزنگاری شده (ETA[1]) شده است. این طرح با بررسی انواع ویژگیهای دادهها و از طریق نظارت غیرفعال و بدون نیاز به رمزگشایی دادهها همزمان با حفظ حریم خصوصی، به کسب اطلاعات درباره ترافیک رمزنگاری شده کمک میکند. در روشهای ETA پیشرفته از تحلیل عمیق بسته (DPD[2]) برای اجرای تکنیکهای یادگیری ماشینی و ناهنجاری رفتاری جهت شناسایی حملات پیچیده استفاده میشود. این روش به سازمانها برای اطمینان از رعایت استانداردها و قوانین و حفاظت از آنها در برابر تهدیداتی مثل بدافزار، حملات MITM، فعالیتهای مربوط به فرماندهی و کنترل و استخراج دادهها کمک میکند.
از طرفی بسیاری از برنامههای کاربردی و سرویسها متکی بر پلتفرمهای تحت وب و ابر هستند. این پلتفرمها از پروتکلهایی مثل امنیت لایه حمل و نقل/ لایه سوکتهای امن (SSL/TLS[3]) برای حفاظت از محرمانگی دادهها و حریم خصوصی کاربران استفاده میکنند. میتوان برای نظارت بر ترافیک رمزنگاری شده از ابزارهای رمزگشایی و مرد میانی استفاده کرد ولی بکارگیری همزمان این پروتکلها و ابزارها برای رمزگشایی، تحلیل و رمزنگاری مجدد به صورت انبوه، منجر به افت کارایی و ایجاد تأخیر میشود. بنابراین در چنین شرایط پیشرفتهای نیاز به اجرای روشهای ETA پیشرفته احساس میشود
موارد زیر تعدادی از دلایل مهم برای نظارت بر ترافیک رمزنگاری شده و کاربردهای ETA هستند:
- هدف اصلی رمزنگاری، حفظ محرمانگی دادهها در یک ارتباط است. رمزگشایی از تراکنشهای امن منجر به نقض هدف اصلی از رمزگشایی آنها یعنی حفظ امنیت و حریم خصوصی میشود. رمزگشایی باعث نقض حریم خصوصی کاربران و قوانینی میشود که سازمانها ملزم به رعایت آنها هستند. همچنین رمزگشایی دادههای مبادله شده بین کاربران منجر به افزایش پیچیدگی کارها و نیاز به کسب مجوزهای مختلف شده است. از طرفی از لحاظ عملیاتی انجام این کار همیشه ممکن نیست. ETA با برقراری توازن بین قابلیت دید بر شبکه و امنیت همزمان با حفظ محرمانگی اطلاعات کاربران به حل این مشکل کمک میکند. این کار با استفاده از دینامیک عمیق بسته (DPD[4]) انجام میشود. DPD بدون نیاز به رمزگشایی بستهها و به صورت غیرفعال بر ترافیک شبکه نظارت کرده و ویژگیهای رفتاری پیشرفته، ساده و ارتقا یافته هر اتصال شبکه را جمعآوری میکند. این فناوری به نظارت بر ترافیک شبکه از طریق بینش فراهم شده توسط یادگیری ماشینی و ترکیب اطلاعات سنتی مختلف (مثل آیپی، پورتها، پروتکلها، ابردادههای پیشرفته و غیره) کمک میکند. این قابلیت نظارت بر شبکه، با حذف پیچیدگیهای رمزگشایی و تفسیر ترافیک به حفظ حریم خصوصی کاربران هم کمک میکند.
- فعالیت مهاجمان روزبروز بیشتر میشود و با افزایش حجم ترافیک رمزنگاری شده، حملات مخفی شده در آن هم افزایش مییابد. مهاجمان همواره نیاز به دسترسی به شبکههای سازمانی دارند و با مخفی شدن در ترافیک رمزنگاری شده، از شناسایی خود پیشگیری میکنند. تشخیص فعالیتهای مربوط به بدافزارها در بین ترافیک شبکه، نقش مهمی در حفاظت از امنیت سازمانی دارد. ETA با گردآوری اطلاعاتی درباره ترافیک رمزنگاری شده در یک شبکه، به حل این مشکل کمک میکند. نظارت بر استفاده از سرویسهای رمزنگاری رسمی (TLS، SSH و غیره) از جمله ابردادههای مربوط به اتصالات شبکه و پروتکلهای دست تکانی (handshake) اطلاعات مفیدی در رابطه با اینکه چه دستگاههایی از رمزنگاری استفاده میکنند، نوع رمزنگاری و منابع مورد استفاده چیست و این دستگاهها با چه افراد یا دستگاههایی در ارتباط هستند فراهم میکند. ETA با استفاده از یادگیری ماشینی حتی با وجود رمزنگاری، به تحلیلگران درباره ریسکهایی با اولویت بالا هشدار میدهد و با ایجاد قابلیت دید، به ارتقای سطح امنیت کمک میکند.
- عدم استفاده صحیح از رمزنگاری میتواند باعث ایجاد حس امنیت کاذب شود در نتیجه سطح خطر برای سازمانها افزایش پیدا میکند. اگرچه تصور میشود که فروشندگان در زنجیره تأمین در ایمنسازی محصولات خود خبره هستند اما ممکن است این محصولات حاوی نقاط ضعف باشند که مشتریان از آنها اطلاع ندارند؛ مثل ضعف رمزنگاری. در دنیای امروزی، فعال کردن رمزنگاری به تنهایی کافی نیست زیرا فعال کردن طرحهای رمزنگاری با عملکرد فنی درست که قدرت لازم برای حفاظت از اطلاعات را ندارند، امکان تفسیر و سرقت اطلاعات مهم را برای هکرها فراهم میکند. ETA با فراهم کردن دیدی کامل در سطح شبکه به حل این مشکل کمک میکند.
- تضمین رمزنگاری و قابلیت تشخیص تغییرات غیرمجاز (که معمولاً توسط تیم آیتی سایهای انجام میشود) نقش مهمی در وضعیت امنیتی یک سازمان دارد. بسیاری از شرکتها برای ارتباط کاربران با دادهها از شبکههای ویپیان وسیع استفاده میکنند. این سازمانها عموماً برای دسترسی راه دور از تونلهای ویپیان رمزنگاری شده استفاده میکنند بدون اینکه تضمینی بر رمزنگاری دادهها فراهم کنند. ETA این اطمینان را فراهم میکند که ترافیکی که قرار بوده رمزنگاری شود، رمزنگاری شده باقی میماند. بعلاوه، ETA امکان تشخیص ارتباطات مربوط به دسترسی از راه دور را فراهم میکند که انجام این کار برای شناسایی دور زدن کانالهای احراز هویت رسمی با هدف ایجاد دسترسی کاربران از راه دور بسیار مهم است.
برای پیادهسازی یک راهکار ETA، باید به چهار حوزه کلیدی توجه کنید. اولاً بسیاری از حملات همچنان بر ضد سیستمهای درون سازمانی انجام میشوند. با وجود انتقال بسیاری از کارهای تولیدی به بستر ابر توسط سازمانها، مهاجمان از فیشینگ و اعتبارنامههای کاربری به سرقت رفته برای دسترسی از راه دور به شبکهها استفاده میکنند. برای حفظ امنیت اطلاعات در محیط درون سازمانی، لبه شبکه، محیطهای چند ابری و غیره باید از همان ابتدا ابزارهای ETA را در استراتژی ترافیک رمزنگاری شده خود در نظر بگیرید. همچنین باید دیدی فراتر از JA3(S) داشته باشید. JA3(S) که معمولاً به عنوان اولین رویکرد برای تحلیل ترافیک رمزنگاری شده در نظر گرفته میشود، دارای همان محدودیتهای روشهای مبتنی بر امضا است که متکی بر تهدیدات یا لیستهای سیاه از پیش شناسایی شده هستند.
بعلاوه تحلیل گواهینامه رمزنگاری میتواند برای جرم شناسایی دیجیتال هم مفید است اما مهاجمان حرفهای سعی میکنند جهت زیرساختهای هک خودشان از گواهینامههای معتبر استفاده کنند که این کار با روشهایی مثل ایجاد یک زیرساخت معتبر برای خودشان، به دست آوردن گواهینامه دامنههایی که متعلق به خود آنها نیست و هک سرورهایی با گواهینامه معتبر انجام میشود. در نهایت، از یک استراتژی ETA استفاده کنید که در آن برای ارتقای قدرت تشخیص، زمان واکنش و اولویت بندی تهدیدات و ریسکها از یادگیری ماشینی استفاده شده باشد.
متأسفانه افزایش استفاده از پروتکلهای رمزنگاری شده منجر به ایجاد محدودیت در امکان دید بر ترافیک شبکه میشود اما صنعت امنیت سایبری با استفاده از ETA پیشرفته که تکنیک جایگزین مناسبی برای نظارت بر ترافیک شبکه است، در حال تلاش برای حل این چالش است. ترکیب DPD با یادگیری ماشینی و با به کارگیری الگوریتمهای قدرتمند جهت تشخیص الگو در دادههای شبکه، روشهای کلاسیک تحلیل رمزنگاری را متحول میکند.
[1] Encrypted Traffic Analysis
[2] Deep Packet Analysis
[3] Secure Sockets Layer/Transport Layer Security
[4] Deep Packet Dynamics