Attacchi SSL: dopo l'introduzione di massa delle tecnologie, stanno diventando note le lacune di sicurezza, che anche gli aggressori possono sfruttare perfettamente. La tecnologia di crittografia SSL non fa eccezione a questa regola e ha mostrato un gran numero di vulnerabilità pubblicizzate, costringendo gli utenti a migrare a nuove versioni più sicure e, in ultima analisi, a un protocollo sostitutivo come Transport Layer Security (TLS).
Tuttavia, lo sfruttamento delle vulnerabilità appena identificate non è l'unico modo in cui SSL viene utilizzato come arma nelle mani di aggressori malintenzionati. Radware ha rilevato che gli attacchi SSL stanno diventando sempre più diffusi per offuscare e complicare ulteriormente il rilevamento del traffico di attacco sia per le minacce a livello di rete che di applicazione.
Attacchi SSL: molte forme
Gli attacchi SSL sono popolari tra gli aggressori perché è necessario solo un piccolo numero di pacchetti per causare un denial of service per un servizio abbastanza grande. Gli aggressori lanciano attacchi che utilizzano SSL perché ogni handshake di sessione SSL consuma 15 volte più risorse sul server che sul client. Come risultato di questo effetto buff, anche un piccolo attacco può causare danni paralizzanti.
Gli attacchi basati su SSL assumono molte forme, tra cui:
- Flood SYN crittografati. Questi attacchi sono di natura simile ai normali attacchi SYN flood non crittografati in quanto esauriscono le risorse disponibili per completare l'handshake SYN ACK. La differenza è che questi attacchi complicano ulteriormente la sfida crittografando il traffico e forzando l'uso delle risorse di handshake SSL.
- Rinegoziazione SSL. Tali attacchi avviano un normale handshake SSL e richiedono l'immediata rinegoziazione della chiave. Lo strumento continua a ripetere questa richiesta di rinegoziazione fino all'esaurimento di tutte le risorse del server.
- Inondazioni HTTPS. Genera inondazioni di traffico HTTP crittografato, spesso come parte di campagne di attacco multi-vettore. Oltre agli effetti dei "normali" inondazioni HTTP, gli attacchi HTTP crittografati presentano alcune altre sfide, come ad esempio: B. l'onere dei meccanismi di cifratura e decrittazione.
- Attacchi crittografati alle applicazioni web. Le campagne di attacco multivettore utilizzano sempre più spesso attacchi non DoS alla logica delle applicazioni web. Crittografando il traffico dati, questi attacchi passano spesso inosservati grazie alle contromisure contro gli attacchi DDoS e ai meccanismi di protezione per le applicazioni web.
Rilevamento e contenimento difficili
Allo stesso modo in cui SSL e crittografia proteggono l'integrità delle comunicazioni legittime, offuscano anche molti degli attributi del traffico utilizzati per determinare se il traffico è dannoso o legittimo. "Identificare il traffico dannoso all'interno di flussi di traffico crittografati è come trovare un ago in un pagliaio nel buio", ha dichiarato Michael Tullius, Managing Director DACH di Radware. "La maggior parte delle soluzioni di sicurezza fa fatica a identificare e isolare il traffico potenzialmente dannoso da fonti di traffico crittografate per ulteriori analisi e potenziali mitigazioni".
Molte soluzioni in grado di fornire un certo livello di decrittografia tendono a fare affidamento sulla limitazione della frequenza delle richieste, che pone effettivamente fine all'attacco. Tuttavia, blocca anche il traffico legittimo. Infine, molte soluzioni richiedono al cliente di condividere i certificati del server, rendendo difficile l'implementazione e la gestione dei certificati.
Protezione contro gli attacchi SSL
La sfortunata realtà è che la maggior parte delle soluzioni di protezione dagli attacchi DDoS offre solo protezione contro determinati tipi di attacchi e in molti casi lotta con gli attacchi SSL. La linea di fondo per le soluzioni per fornire una protezione efficace è la copertura completa dei vettori di attacco (incluso SSL) e un'elevata scalabilità per soddisfare le crescenti esigenze e fornire una protezione efficace. In particolare, la difesa contro gli attacchi SSL deve supportare tutte le versioni comuni di SSL e TLS e consentire un'implementazione asimmetrica, in cui solo il traffico di dati crittografati in entrata passa attraverso il motore di mitigazione. Dovrebbe inoltre utilizzare l'analisi del comportamento per isolare il traffico crittografato sospetto per limitare l'impatto sugli utenti legittimi. Infine, una soluzione di questo tipo dovrebbe fornire meccanismi di richiesta/risposta avanzati per convalidare il traffico crittografato contrassegnato come sospetto ma che ha un impatto solo sulla prima sessione utente.
Ulteriori informazioni su Radware.com
A proposito di Radware Radware (NASDAQ: RDWR) è un leader globale nelle soluzioni di distribuzione delle applicazioni e sicurezza informatica per data center virtuali, cloud e software-defined. Il pluripremiato portafoglio dell'azienda protegge l'infrastruttura IT e le applicazioni critiche dell'intera azienda e ne garantisce la disponibilità. Più di 12.500 clienti aziendali e carrier in tutto il mondo beneficiano delle soluzioni Radware per adattarsi rapidamente agli sviluppi del mercato, mantenere la continuità aziendale e massimizzare la produttività a basso costo.