Ein Beitrag von Pantelis Astenburg, VP DACH, Versa Networks
Die SSL Inspection, auch SSL Break and Inspect genannt, ist in der Sicherheitswelt seit jeher ein kontrovers diskutiertes Thema. Auf der einen Seite stehen dabei Sicherheitsteams, die es für unausweichlich halten, Traffic auf Bedrohungen zu scannen, um die Netzwerke zu schützen. Ihnen gegenüber stehen die Endpunkt-Teams, die Server, Desktops und das IoT managen und eine Manipulation des Datenverkehrs fürchten, aber auch Netzwerkverantwortliche, die negative Auswirkungen auf die Performance verhindern wollen.
Unter SSL Inspection versteht man das Abfangen von SSL-verschlüsselter Kommunikation zwischen einem Client und einem Server sowie eine anschließende Untersuchung auf potenziell bösartige Inhalte. Bedenkt man, dass mittlerweile die überwiegende Mehrzahl an ausgehenden Daten von Browsern, Web-Servern und Cloud-Applikationen verschlüsselt wird, erscheint diese Sicherheitsmaßnahme als durchaus sinnvoll. Denn auch Cyberkriminelle setzen vermehrt auf Verschlüsselung, um Malware & Co. vor Sicherheitstools zu verbergen. Sind die Verantwortlichen in Unternehmen nicht in der Lage, den SSL-Traffic und dessen Inhalte offenzulegen, können schädliche Inhalte nicht blockiert werden. Dies ist umso wichtiger, als auch die modernste Endpunktsicherheitssoftware nicht unfehlbar ist und die Risiken einer Kompromittierung von Gerät zu Gerät stark variieren.
Die Vorteile einer SSL Inspection
Durch eine kontinuierliche SSL-Überwachung lassen sich verschiedene Cyberrisiken nachhaltig reduzieren. Vor allem bei folgenden Szenarien hat sich die Überwachung des SSL-Traffics dabei als hilfreich erwiesen:
- Initial Access-Attacken: In der Erstzugriffsphase setzen Drive-by-Kompromittierungen, Phishing (und Varianten davon) sowie Kompromittierungen in der Lieferkette nicht selten auf SSL bzw. TLS, um unentdeckt zu bleiben. Eine entsprechende Inspektion der Traffic-Protokolle kann diese Angriffe verhindern.
- Kompromittierte Webseiten: Wenn ein Endgerät eine kompromittierte, vertrauenswürdige Webseite über SSL/TLS besucht und die Endgerätesicherheitssoftware diese nicht als Bedrohung erkennt, kann eine SSL Inspection diese Gefahr identifizieren und den Besuch der Seite unterbinden. Gleiches gilt auch für Geräte, auf denen die Endpunktsicherheitssoftware gar nicht erst nicht ausgeführt werden kann, wie IoT-Devices oder Server.
- Kompromittierte Endpunkt-Kontrollkanäle: Wird der Kontrollkanal eines kompromittierten Endpunkts mit SSL verschlüsselt und über eine „vertrauenswürdige Seite“ geleitet, kann eine Inspektion der Traffic-Protokolle Abhilfe schaffen.
- Exfiltration über kompromittierte Endpunkte: Auch Versuche kompromittierter Endpunkte oder Insider-Bedrohungsakteure, die Exfiltration von Daten über SSL/TLS zu verbergen, wird verhindert.
Schattenseiten der SSL Inspection
Bei den Vorteilen der SSL Inspection darf gleichzeitig nicht verschwiegen werden, dass sie für die Unternehmen auch große Herausforderungen bereithält. So ist die Entschlüsselung, Analyse und Wiederverschlüsselung des SSL-Traffics einer der rechenintensivsten Prozesse im Netzwerk- und Sicherheitsbereich. Sind Unternehmen darauf nicht vorbereitet, drohen verheerende Auswirkungen auf die Netzwerkperformance. Darüber hinaus geht es bei den erforderlichen Tiefeninspektionsprozessen um enorme Ressourcen, die sich auch negativ auf die Benutzerfreundlichkeit auswirken. Diese Tiefeninspektion ist nur ein Teil des Security-Puzzles, zu dem noch andere Teile gehören: Firewall auf Anwendungsebene, Prüfung auf Viren und Malware, DLP sowie die Bewertung der Benutzerrechte für den Zugriff auf und das Senden von Inhalten. Kaum ein Unternehmen kann es sich heutzutage aber mehr leisten, dass Betriebsabläufe regelmäßig zum Stillstand kommen, weshalb unter diesen Umständen viele von ihnen lieber auf eine Überprüfung des Traffics verzichten.
4 Tipps für eine reibungslose SSL-Überwachung
Wollen Sicherheits- und Netzwerkverantwortliche nicht auf eine SSL Inspection verzichten, müssen sie folgende Punkte beachten:
- Beginnen Sie klein mit einigen Endpunkten oder Benutzern und einigen URL-Kategorien. Sie müssen nicht gleich am ersten Tag alles überprüfen. Halten Sie sich an Kategorien wie unbekannt, riskant
- Kennen Sie die Anwendungen Ihrer Benutzer, die verwendeten URL-Kategorien und jede verwendete TLS-Version.
- Verschaffen Sie sich einen Überblick über die Zertifikate und die Trust Chain Ihres Unternehmens. Bringen Sie darüber hinaus in Erfahrung, welche Anwendungen gepinnte Zertifikate verwenden. (Das sind vor allem viele Mobilgeräte und mobile Anwendungen.)
- Messen Sie die Leistung der Anwendungen Ihrer Benutzer und beobachten Sie den Rechenbedarf und die Nutzung der Ressourcen auf Ihrer Inspection-Plattform. Erweitern Sie Ihr Break & Inspect langsam, bis die Abschwächung der Techniken ein akzeptables Risikoniveau für Ihr Unternehmen erreicht hat.
Dabei gilt es, SSL Inspection immer als Teil eines größeren Konstrukts zu sehen. Wie bereits erwähnt, ist immer eine Kombination mit Web-Content- und URL-Filterung, DLP, Anwendungsinspektion und IPS auf der Netzwerksicherheitsseite erforderlich. Sämtliche Risiken, die mit dieser Methode nicht entschärft werden können, müssen daher immer segmentiert werden. Zudem sind eine ausgezeichnete Endpunktsicherheitssoftware sowie eine effektive IoT-Lösung ein Muss in der heutigen Sicherheitslandschaft.
Pantelis Astenburg ist Vice President of Sales DACH von Versa Networks. In dieser Position trägt er die Gesamtverantwortung für die strategische Geschäftsentwicklung des Unternehmens im deutschsprachigen Raum. Er verfügt über mehr als 20 Jahre Erfahrung im Vertriebsmanagement renommierter Telekommunikationsunternehmen und ist ein ausgewiesener Experte in den Bereichen Network Managed Services, Advanced Communications, IT-Services sowie Cyber- und physische Sicherheit.
