แนะวิธีต่อกรกับภัยคุกคามที่เข้ารหัสโดย F5

การเข้ารหัสและแลนด์สเคปการรักษาความมั่นคงปลอดภัยในปัจจุบัน

การวิจัยในห้องแล็บของ F5 ระบุว่า หน้าเว็บที่โหลดมาจากเว็บไซต์นับหลายล้านเว็บนั้นมีจำนวนถึง 80% ที่มีการเข้ารหัสข้อมูลเอาไว้ การทำงานเพื่อเข้ารหัสข้อมูลที่ใช้รับส่งกันระหว่าง Servers กับ Clients หรือ Transport Layer Security (TLS) กลายเป็นสิ่งปกติที่องค์กรทุกขนาดและทุกอุตสาหกรรมนำไปใช้งานเนื่องจากหลายๆ ปัจจัยด้วยกัน ได้แก่ กฎระเบียบด้านการป้องกันภัยให้ข้อมูลของสหภาพยุโรป (GDPR), การจัดอันดับผลการค้นหาเว็บโดย Google, การเตือนเบราว์เซอร์ของเว็บไซต์ HTTP ที่ไม่เข้ารหัส และการให้ความสำคัญในเรื่องความเป็นส่วนบุคคลที่เพิ่มมากขึ้น เป็นต้น

ในขณะที่การเข้ารหัสทราฟฟิคช่วยเพิ่มระดับความสามารถในการรักษาความมั่นคงปลอดภัยให้แก่ข้อมูล แต่ก็ก่อให้เกิดผลลบได้เช่นกัน เนื่องจากมีปริมาณภาระงานมากขึ้นและอาจได้รับอันตรายจากมัลแวร์ที่ซ่อนอยู่ในทราฟฟิคที่มีการเข้ารหัสไว้ ซึ่งสร้างภาระให้กับองค์กรในการสรรหาโซลูชันที่มีประสิทธิภาพมาใช้ เพื่อให้โครงสร้างพื้นฐาน IT ยังคงทำงานรวดเร็วและพร้อมใช้งานตลอดเวลา อีกทั้งยังต้องป้องกันภัยและรักษาข้อมูลส่วนตัวได้อย่างรัดกุม

คุณไม่สามารถตอบโต้กับสิ่งที่คุณมองไม่เห็น

การเข้ารหัสทราฟฟิคเป็นวิธีที่ยอดเยี่ยมในการป้องกันการถูกดักโจมตีระหว่างทางเพื่อดูหรือเปลี่ยนแปลงข้อมูล อย่างไรก็ตาม การเข้ารหัสก็สามารถทำให้อุปกรณ์ตรวจสอบหรือวิเคราะห์ความผิดปกติไม่สามารถมองเห็นทราฟฟิคเหล่านั้นไปด้วยเช่นกัน การเข้ารหัสและการถอดรหัสของทราฟฟิคจะต้องใช้พลังงานในการประมวลผลอย่างมาก ดังนั้นโซลูชันการตรวจสอบความมั่นคงปลอดภัยต่างๆ เช่น ระบบตรวจจับการบุกรุก (IDS/IPS), Malware Sandbox, Next-gen Firewall (NGFW) และอื่น ไม่สามารถถอดรหัสได้ทั้งหมดหรือทำได้แต่ใช้ประสิทธิภาพมากมายมหาศาล ไม่ว่าจะเป็นทราฟฟิคในการเข้าชมแอปพลิเคชันขององค์กรหรือการเข้าอินเทอร์เน็ตจากภายในองค์กร คุณจำเป็นต้องมีการลงทุนด้านโครงสร้างพื้นฐานทั้งหมดเพื่อให้สามารถมองเห็นทราฟฟิคได้อย่างเต็มศักยภาพ

ความท้าทายในการตรวจสอบทราฟฟิคขาออก

เป็นที่ทราบกันดีว่ามัลแวร์เป็นอันตราย แต่โดยปกติแล้วระบบป้องกันแบบหลากหลายชั้นจะสามารถระบุและหยุดการแพร่กระจายมัลแวร์ไปยังผู้ใช้และอุปกรณ์อื่น ได้ หรือจากการกรองข้อมูล มัลแวร์สามารถติดมาจากแหล่งต่างๆ เช่น เว็บไซต์ที่เป็นอันตรายหรืออีเมลฟิชชิ่ง ดังนั้น จึงจำเป็นต้องตรวจสอบการส่งข้อมูลออกไปข้างนอกเครือข่ายเพื่อไม่ให้ข้อมูลสำคัญรั่วไหลออกจากสภาพแวดล้อมที่ควบคุมได้ ซึ่งกลายเป็นเรื่องที่ท้าทาย เพราะผู้โจมตีแทบทุกรายในปัจจุบันใช้ช่องทางที่มีการเข้ารหัสในการซ่อนการติดต่อของมัลแวร์ไปยัง C&C Server

ความท้าทายในการตรวจสอบทราฟฟิคขาเข้า

การตรวจสอบทราฟฟิคขาเข้าก็เป็นเรื่องยุ่งยากเช่นกัน แอปพลิเคชันหรือเว็บไซต์เป็นสิ่งจำเป็นของธุรกิจ โดยผลการสำรวจที่ระบุในรายงานของ F5 Labs 2018 Application Protection Report พบว่า 34% ของเว็บแอปเป็นภารกิจที่จำเป็นขององค์กร ดังนั้น เมื่อแอปพลิเคชันเป็นสิ่งจำเป็น คุณจึงต้องใช้โซลูชันรักษาความมั่นคงปลอดภัย อาทิ Web Application Firewall (WAF) หรือ IDS/IPS เพื่อกรองทราฟฟิคที่ไม่พึงประสงค์ นอกจากอุปกรณ์ตรวจสอบการโจมตีแล้ว คุณอาจจะต้องรันทราฟฟิคของแอปผ่านทางเอ็นจิ้นวิเคราะห์ข้อมูลหรือโซลูชันที่บันทึกการใช้งานของลูกค้าอีกด้วย ซึ่งโซลูชันเหล่านี้จะนำเสนอคุณสมบัติเฉพาะที่ไม่ซ้ำกัน แต่การถอดรหัสไม่สามารถทำได้แบบแยกแต่ละโซลูชัน

คุณประโยชน์ของการมองเห็นทราฟฟิค

นักวิเคราะห์ด้านความมั่นคงปลอดภัยประเมินว่า ขณะนี้มัลแวร์ทั้งหมดใช้การเข้ารหัสเพื่อซ่อนการตรวจจับจากอุปกรณ์รักษาความมั่นคงปลอดภัยที่ออกแบบมาเพื่อค้นหาและกำจัดมัลแวร์ เมื่อใช้กลยุทธ์การป้องกันในเชิงลึก ผู้ดูแลระบบจำนวนมากใช้โซลูชันด้านความมั่นคงปลอดภัยในแบบอนุกรมเพื่อป้องกันมัลแวร์ซึ่งไม่น่าเชื่อว่าจะเป็นวิธีที่ไม่ค่อยได้ผลและยังเป็นการเปิดประตูให้ทราฟฟิคที่ประสงค์ร้ายผ่านเข้ามาทางโซลูชันรักษาความมั่นคงปลอดภัย โดยสรุปก็คือคุณต้องการความมั่นคงปลอดภัยแต่ก็ไม่อาจยอมให้ประสิทธิภาพของเว็บ ทราฟฟิคย่อหย่อนลง

ลบพิษภัยของมัลแวร์

โซลูชัน SSL/TLS จะทำการถอดรหัสทราฟฟิคและส่งไปยังอุปกรณ์การตรวจสอบซึ่งนับว่าเป็นขั้นตอนแรกที่ดีในการลดผลกระทบจากมัลแวร์ อย่างไรก็ตาม อาจมีความล่าช้าเกิดขึ้นโดยที่ไม่จำเป็นหากการเข้าถึงบางประเภทซึ่งไม่จำเป็นต้องผ่านอุปกรณ์ตรวจสอบ ตัวอย่างเช่น ถ้าทราฟฟิคขาออกคือการเข้าชมเว็บไซต์ที่เป็นที่ยอมรับว่ามั่นคงปลอดภัย และโซลูชันการป้องกันการรั่วไหลของข้อมูล (DLP) ตรวจไม่พบข้อมูลสำคัญหรือเป็นความลับ บางครั้งการเข้าชมนั้นก็ยังคงต้องผ่าน NGFW หรือ IDS แต่สิ่งสำคัญคือต้องมีความสามารถในการกำหนดเส้นทางการเข้าชมเว็บให้สอดคล้องกับความเสี่ยงของคุณ

Perfect Forward Secrecy และเปลี่ยนรหัสฉับไว

โปรโตคอล TLS มีการเฝ้าระวังแบบ Passtive ที่เรียกว่า Perfect Forward Secrecy (PFS) Protection ซึ่งมีการปรับปรุงการแลกเปลี่ยนคีย์โดยการใส่คีย์ที่ไม่ซ้ำกันในแต่ละเซสชันที่ผู้ใช้สร้างขึ้น PFS การันตีได้ว่าผู้โจมตีจะไม่สามารถกู้คืนคีย์ใดๆ และถอดรหัสการสนทนาที่ถูกบันทึกไว้นับล้านๆ บทสนทนาได้

เนื่องจาก PFS เป็นมาตรฐานตามหลักปฏิบัติเนื่องจากเป็นวิธีเดียวที่ได้รับอนุญาตภายในโปรโตคอล TLS 1.3 คุณจึงต้องมีการเตรียมโซลูชันสำหรับรับมือข้อจำกัดดังกล่าว ก่อนหน้านี้ การเข้ารหัสด้วย RSA keys คุณต้องแลกเปลี่ยนคีย์กับคีย์อื่นๆ ของโซลูชัน แต่การเข้ารหัสแบบ PFS จะใช้กุญแจหรือคีย์เข้ารหัสที่ไม่ซ้ำกันสำหรับแต่ละเซสชัน F5 SSL Orchestrator สามารถถอดรหัสและส่งต่อข้อความที่ไม่มีการเข้ารหัสไปยังอุปกรณ์รักษาความมั่นคงปลอดภัย หรือสามารถเปลี่ยนแปลงการเข้ารหัสไปเป็นโปรโตคอล TSL 1.2 กับคีย์ RSA  ทางเลือกที่สองนี้จะช่วยให้ไม่มีข้อมูลที่ไม่ถูกเข้ารหัสปรากฎอยู่ในระบบเครือข่ายเลย ในณะที่ยังคงช่วยให้อุปกรณ์รักษาความมั่นคงปลอดภัยสามารถตรวจสอบข้อมูลที่เข้ารหัสด้วยโปรโตลคอล TLS1.3 ได้

แม้ว่าจะยังไม่พบช่องโหว่ในการเข้ารหัสแบบ Elliptical Curve Ciphers ที่บังคับใช้เมื่อใช้เทคนิค PFS แต่สิ่งที่ปลอดภัยในวันนี้ไม่ได้หมายความว่าจะปลอดภัยไปตลอด การวิจัยเรื่องความมั่นคงปลอดภัยและเครื่องมือในการแฮ็กข้อมูลยังคงพัฒนาความก้าวหน้าพอๆ กับพลังของคอมพิวเตอร์ ซึ่งจะทำให้ช่องโหว่ปรากฏออกมาอย่างหลีกเลี่ยงไม่ได้ การมีจุดควบคุมแบบรวมศูนย์กลางสำหรับการถอดรหัสและเข้ารหัสจะช่วยให้การเปลี่ยนวิธีการเข้ารหัสทำได้ง่ายขึ้น

การมองเห็นทราฟฟิคยังไม่เพียงพอ การควบคุมผ่านระบบ Orchestration คือหัวใจสำคัญ

ความสามารถในการมองเห็นภายในแพ็คเก็ตที่เข้ามาในแอปพลิเคชันของคุณหรือออกไปจากเครือข่ายของคุณเป็นสิ่งสำคัญ แต่ก็เป็นเพียงขั้นตอนแรกเท่านั้น การจัดการกับการเชื่อมต่อแบบอนุกรมหรือการกำหนดค่าเพื่อจัดการการถอดรหัสลับ/การเข้ารหัสลับทั่วทุกระดับชั้นการรักษาความมั่นคงปลอดภัยเป็นเรื่องที่น่าเบื่อ นโยบายที่กำกับการใช้งานบางสิ่งย่อมมีข้อยกเว้นอยู่ด้วยเสมอ F5 SSL Orchestrator นำเสนอทั้งการมองเห็นทราฟฟิคในระดับที่ครอบคลุมสูงสุด

ระบบ Orchestration จัดให้มีการควบคุมการรับส่งข้อมูลหรือทราฟฟิคตามนโยบายเพื่อให้บริการตามสภาพความเสี่ยงและสภาพเครือข่ายแบบไดนามิก SSL Orchestrator สามารถตัดสินใจได้อย่างชาญฉลาดเพื่อควบคุมการรับส่งข้อมูลขาเข้าและขาออกไปยังอุปกรณ์รักษาความมั่นคงปลอดภัยโดยอาศัยอำนาจในการเป็น Proxy เต็มรูปแบบทั้ง SSL/TLS และ HTTP และในขณะที่การเข้าชมเว็บส่วนใหญ่น่าจะใช้โปรโตคอล HTTPS SSL Orchestrator จะช่วยให้คุณจัดการกับการถอดรหัสและการเข้ารหัสลับอย่างชาญฉลาดกับการรับส่งข้อมูลประเภทอื่นๆ ด้วย เช่น STARTTLS ภายใน FTP, IMAP, POP3 และ ICAP ไม่มีผลิตภัณฑ์อื่นๆ สามารถทำสิ่งเหล่านี้ได้ นั่นคือเหตุผลที่โซลูชัน SSL/TLS อื่นๆ ไม่มีการป้องกันแอปพลิเคชันและเครือข่ายของคุณอย่างครอบคลุม

ผู้ที่สนใจสามารถดาวน์โหลดรายงาน The 2017 TLS Telemetry Report ได้ที่: https://interact.f5.com/2019ALLOSSLODefendAgainstEncryptedThreatsTH_TechTalkThai_RegistrationPage.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เปิดตัว Infortrend EonServ 7000 ระบบ VMS Server บันทึกภาพจากล้องวงจรปิดได้ 570 Channel พร้อมๆ กัน

Infortrend Technology ผู้ผลิตระบบ Enterprise Storage ชั้นนำ ได้ออกมาประกาศเปิดตัว Infortrend EonServ 7000 ระบบ Server สำหรับ Video Management Software (VMS) ที่ผ่านการรับรองจาก Milestone ว่าสามารถทำการบันทึกภาพจากกล้องวงจรปิดได้พร้อมกันสูงสุดถึง 570 Channel

เปิดตัว Fujitsu PRIMEFLEX for VMware vSAN ระบบ HCI ที่รองรับ SAP HANA ได้

Fujitsu ได้ออกมาประกาศเปิดตัวโซลูชัน้ PRIMEFLEX for VMware vSAN ระบบ Hyper-Converged Infrastructure (HCI) ที่รองรับการใช้งาน SAP HANA แบบ Virtualized ได้