בעשור האחרון
החשש המצוי מחולשות המידע בזמן "תנועה"
(Data in Transit) הובילו לפיתוחים משמעותיים בתחום ההצפנה ולטכנולוגיות
המאפשרות הצפנה רציפה, החל מהצפנה פוטונית ברמת החומרה ועד להצפנה אפליקטיבית. טכנולוגיות
כגון הצפנת תמסורת אופטית ויישומי הצפנה שלא מחייבים מעורבות משתמש החלו כיישומים ייעודיים
בסביבות הביטחוניות ומהר מאוד הפכו נחלתם של ארגונים אזרחיים רבים בתחום הפיננסי, הרפואי,
הציבורי ותחומים נוספים.
ההכרה בשינוי מודל האיומים המודרני וההבנה כי חולשות
קיימות בכל וקטור אפשרי, הרחיבו את המעטפת הקריפטוגרפית לתשתיות פנים-ארגוניות ולהצפנה
אפליקטיבית מסועפת לרבות בגישה ליישומים מקומיים או יישומיים ותשתיות בענן.
בתחום שירותי התקשורת והתוכן המקוונים, לרבות שירותי
מדיה ורשתות חברתיות, השימוש בהצפנה התרחב
משמעותית ומשמש גם את ספקי התוכן כמנגנון למנוע זליגה של דפוס השימוש ותחומי העניין
מגופים חיצונים לצד שילוב במנגנוני זיהוי ואימות. כך לפי דו"ח של חברת Sandvine ניתן לראות עלייה
בכמות התעבורה המוצפנת הכללית ועלייה חדה בהצפנה של תכנים ממכשירים ניידים. כאשר ספקי
תוכן כגוןNetflix ו YouTubeממשיכות להגדיל את נפח התעבורה המוצפנת כל שנה.
טכנולוגיות הצפנה נועדו לפעול באופן פסיבי ללא ניתוח
המידע המוצפן ולתת דגש לאבטחת פרטיות המידע עצמו, אך במונחים של אפקטיביות אבטחתית,
אפשר לטעון שהחשיבות של פתרונות אלו, כחלק אינהרנטי של כל תפיסת הגנת סייבר, עלתה וזאת ראשית
עקב העלייה החדה באירועי זליגת מידע ושנית כיוון שרוב פתרונות ההצפנה משולבים עם תתי-מנגנונים
נוספים המאפשרים אימות המידע, החתמתו והפעלת מנגנוני זיהוי חזקים.
לצד היתרונות הברורים ליישומי הצפנה, אנחנו עדים למגמה
בה קריפטוגרפיה הוליסטית מהווה אתגר לזיהוי איומים מורכבים ואף יוצרת תנאים להחדרה
של איומים שונים.
ניתן לסווג מגמה זו לשלוש קטגוריות עיקריות:
תחושת בטחון שווא
ההישענות על הצפנה מערכתית כדוגמת יישומי VPN SSL לגישה מרחוק של עובדים, שותפים ונותני שירות, אפשרה לארגונים גמישות
רבה ואפשרות לתמוך במגמת ההתניידות שמתעצמת בעשור האחרון. כל זאת תוך שמירה על חשאיות
המידע מעל כל תווך בשילוב מנגנוני אימות מתקדמים.
אבל דווקא בגלל הפרגמטיות והאינטואיטיביות שבעניין,
יישומים כאלה ואחרים מהווים פלטפורמה נוחה להחדרה של מפגעים ופוגענים. הרבה ארגונים
מתייחסים לגישה המוצפנת "כגישת אמון", כאשר
מבחינתם כאשר המשתמש המרוחק, לדוגמא נותן השירות או התומך המרוחק עבר הזדהות רב-שלבית
בהצלחה והוקם התווך המוצפן, מרגע זה הוא נחשב אמין. למרבה הצער זיהוי חד ערכי של המשתמש
אינו ערובה לזיהוי כוונות המשתמש או לאיכות שדר התקשורת שלו במונחים של תווך נקי מאיומים.
רשתות VPN, למרות העלייה
בעוצמת ההצפנה שלהם מהוות זה זמן מה פלטפורמה רוויות איומים. בין אם מדובר בפעולת זדון של משתמש מרוחק
כגון עובד או נותן שירותים ממורמר או בין אם מדובר במשתמש לגיטימי שנושא קוד זדוני
מתוחכם ללא ידיעתו (קוד זדוני שמתוכנת לנדוד לרשתות חדשות), הנזק הפוטנציאלי מגישה
מוצפנת מוצלחת בשני התרחישים הללו יכול להיות עצום. ישנה חשיבות אדירה לשילוב מנגנוני
אבטחה ומנגנוני תיעוד והקלטה של התעבורה שמגיע מהתווך המוצפן לזיהוי פעולות לא מאושרות
ולנטרול איומים לפני שהם מגיעים לליבת הרשת.
האויב מבפנים
אתגר אבטחתי נוסף שקשור ליישומי הצפנה, קשור באופן ישיר
לארכיטקטורה של הקוד הקריפטוגרפי המשולב במערכות
הצפנת מידע. הצפנת מידע מחייבת לרוב יישום טכנולוגי רב שכבתי שיכול אף לעיתים להתבסס
על ספריות ידועות ותוכנות קריפטוגרפיות שעלולות לכלול חולשות מובנות.
חולשות אלו ניתן לנצל להחדרה של איומים מורכבים או לגניבה של מפתחות הצפנה ובהלימה
פענוח מידע מוצפן. איומים אלו הופכים את הפלטפורמה שאמורה להגן עלינו ועל פרטיות ואמינות
המידע שלנו והמשתמשים בה לבסיס לאיומים שונים. כך התוודענו בשנים האחרונות וחולשות
מובנות כגון
Heartbleed ביישומי Shellshock ,TLS/SSL ביישומי SSH וחולשות מובנות ומסוכנות שהתגלו במנגנוני IKE ו-ISAKMP ביישומי .IPSEC
רוב החולשות הללו הם למעשה פרצות מסוג Zero-Day שההשפעה שלהם
על פגיעה בחוסן המידע עצומה
ובו בעת קשה למשתמש הסופי, לארגון ומי שאמון על אבטחתו לזהות אותם.
מכיוון שמדובר לרוב בחולשות שנוגעות לציבור גדול של
משתמשים, יצרני הציוד המשלבים את אותם תוכנות וקוד קריפטוגרפי ממהרים להוציא תיקונים
ועדכונים ברגע שפרצה כזו מתגלית באופן פסיבי או יזום. שילוב של הצפנה תשתיתית ואפליקטיבית
לרוב מייצרם קושי מסוים בניצול אותן חולשות.
מיסוך איומים
לפי מחקרים אחרונים, החל משנת 2017, 70% מתעבורת האינטרנט היא מוצפנת (Sandvine) וכ- 50% מהתקפות ואיומי
הסייבר מבוססים על תווך מוצפן (גרטנר). מגמות אלו לצד עלייה חדה של 50% ביישום הצפנה לאפליקציות
פנים ארגוניות, משנים משמעותית את תמהיל התעבורה בשימוש הארגון ואת נפח הנתונים המוצפן
באופן כללי ובפרט ביישום .SSL/TLS
שינוי רחב היקף זה מחייב התאמה למציאות בה קיים מיסוך קבוע ומתגבר לחלק גדול מהתעבורה
שמגיעה לארגון ויכולה להכיל איומים שונים.
עוצמת האבטחה לא מהווה פה יתרון משמעותי, בין אם אתם משתייכים לארגון שהשכיל להבין
ולהפנים את המגמות בעולם איומי הסייבר ונערכתם עם קו הגנה חדש ואנליטי ובין אם אתם
ארגון שמנסה למקסם את ההשקעה במערכות אבטחה מהדור הקודם, עדיין אותה בעיה קיימת.
לא ניתן לנטרל את מה שלא רואים. במשוואה הזאת IPS בן 5 שנים או מערכת הגנה אנליטית חדשה נמצאים באותה נקודת פתיחה, מיסוך אל מול שידור
נתונים מוצפן.
כדי לתת מענה לאתגר זה, בשנים האחרונות פותחו מספר שיטות,
טכנולוגיות ופתרונות שתפקידם לאפשר פענוח ממוקד של תעבורה מוצפנת ושחזור ההצפנה ללא
פגיעה באמינות וזמינות הנתונים. ההסרה או למעשה "הקילוף" של ההצפנה מאפשר
למערכות אבטחה לנתח את תכולת המידע (Payload) המקורית, לזהות ונטרל איומים שונים.
כיום יש חלופות שונות לפענוח ההצפנה, חלק ממערכות ההגנה
הרשתיות כגון מערכות NGFW ומערכות SWG מכילות יכולת נקודתית כזו וכן
תכונות אלו מתחילות להיות נפוצות בפלטפורמות איסוף מידע כגון .Network Packet Broker – NPB
חברת IXIA
Keysight היא מהחברות המובילות בתחום פלטפורמות מתקדמות ליכולת Visibility לתעבורה מוצפנת לרבות תמיכה בטכנולוגיות .TLS 1.3
מעבר לפתרונות נקודתיים קיימות פלטפורמות ייעודיות המשמשות
כמפענחי הצפנה אוניברסליים.
ניתן לחבר לפלטפורמות אלו פתרונות אבטחה שונים כגון
מערכות אנליטיות שונות ומערכות ניתוח תוכן. אופן פענוח ההצפנה יעשה
לרוב במודל שלMIM
– Man In the Middle ומאפשר לתת
מענה לתעבורה מוצפנת
מסוג TLS גם כאשר יעד ההצפנה הינו שרת או תשתית מחוץ לארגון ולאין לארגון את מפתחות ההצפנה שלו.
פענוח הצפנה באופן נקודתי מעלה בצורה משמעותית את האפקטיביות של כל רכיב אבטחה שיקושר לפלטפורמות אלו, הוא מאפשר ניתוח של כל תכולת המידע ואכיפה משמעותית במידת הצורך. יתרון נוסף למערכות ייעודיות בתחום זה הוא היכולת לפענח כמות גדולה מאוד של קישורים ותעבורה מוצפנת מבלי לפגוע במשאבים יקרים של מערכות ההגנה.
