Kryptering hindrar avsevärt intrångsdetekteringssystem (ID) som förlitar sig på att inspektera
innehållet i nätverkstrafik . Här är en uppdelning av varför och de specifika områdena påverkade:
* Signaturbaserad detektion:
* Denna metod förlitar sig på att känna igen kända mönster eller signaturer inom nätverkspaket. Om innehållet är krypterat är signaturerna dolda, vilket gör denna strategi ineffektiv.
* Till exempel kan en IDS upptäcka en specifik sträng som är känd för att vara en del av en körbar skadlig programvara. Om den körbara överförs över en krypterad anslutning (HTTPS, SSH, VPN) kommer ID:erna inte att se strängen och kommer därför inte att utlösa en varning.
* protokollanalys:
* Många protokoll (t.ex. HTTP, SMTP, FTP) har specifika strukturer och kommandon som en IDS kan analysera för avvikelser. Kryptering döljer dessa strukturer, vilket gör protokollanalys svårt eller omöjligt.
* Även om själva anslutningen är krypterad, kan metadata inom protokollet ge ledtrådar om typen av trafik. Till exempel kan servernamnindikering (SNI) avslöja värdnamnet som nås via HTTPS. Krypterad SNI (ESNI) och krypterad klient Hello (ECH) syftar till att kryptera dessa metadata, vilket ytterligare hindrar upptäckt.
* Anomaly Detection:
* Medan anomalidetektering fortfarande kan fungera med krypterad trafik, reduceras dess effektivitet.
* Om ID:erna tränas på okrypterade data, vet den inte hur "normal" ser ut i den krypterade strömmen. Det kan upptäcka ovanliga trafikmönster baserade på paketstorlek, timing eller frekvens, men det kan inte identifiera det specifika innehållet som orsakar anomalin. Denna ökade risk för falska positiver och falska negativa.
Specifika områden där effektiviteten minskar:
* Upptäcker nedladdningar av skadlig programvara: IDS -system som letar efter körbara filer eller skadliga skript som laddas ner över HTTP/FTP kommer att vara blinda om trafiken är krypterad.
* Identifiera data Exfiltration: Om känsliga data krypteras innan de skickas ut ur nätverket kan ID:erna inte upptäcka det baserat på innehållet i data.
* Erkänna skadliga kommandon: Om en angripare använder en krypterad kanal (t.ex. SSH) för att utfärda kommandon till en komprometterad maskin kommer ID:erna inte att kunna se själva kommandona.
* Övervakning av webbapplikationsattacker: Vanliga attacker för webbapplikationer (t.ex. SQL-injektion, skript på tvärsida) överförs ofta inom HTTP-begäran. Om HTTPS används kan ID:erna inte inspektera förfrågningsorganet.
Det som fortfarande fungerar (till viss del) med kryptering:
* Nätverkstrafikanalys (metadata): Även med kryptering kan en ID:er fortfarande analysera metadata som:
* IP -adresser och portar
* Paketstorlek och frekvens
* Tidpunkten för anslutningar
* TLS/SSL -certifikatinformation (SNI, emittent, etc.)
* Anslutningsvaraktighet
* Byte överförda
* Användaragentsträngar (även om dessa kan förfalskas)
* Ja3/s -signaturer
* Ciffer sviter som används
Denna metadata kan användas för att upptäcka misstänkta kommunikationsmönster, även om innehållet är dolt. Till exempel kan en plötslig ökning av trafiken till en känd skadlig IP -adress eller ovanlig certifikatanvändning vara flaggor för ytterligare utredning.
* Endpoint Detection and Response (EDR): EDR -lösningar fungerar på de enskilda datorerna i nätverket, så att de inte påverkas av kryptering. De kan övervaka processer, filsystemaktivitet och registerändringar för att upptäcka skadligt beteende, även om nätverkstrafiken är krypterad.
* Beteendeanalys: Detta innebär att analysera användar- och enhetsbeteende i nätverket för att identifiera avvikelser från normala mönster. Detta kan vara effektivt även med kryptering, eftersom det fokuserar på "vem", "vad", "var" och "när" av aktivitet snarare än "hur."
Sammanfattningsvis:
Kryptering minskar förmågan hos traditionella intrångsdetekteringssystem att inspektera innehållet i nätverkstrafik, vilket gör det svårare att upptäcka signaturbaserade attacker, protokollanomalier och specifika typer av dataexfiltrering. IDS -system måste anpassa sig genom att fokusera på metadataanalys, beteendeanalys och integration med slutpunktsdetekterings- och svarslösningar för att upprätthålla effektiviteten i krypterade miljöer. Ökningen av krypterad klient Hello (ECH) och annan integritetsförbättrande teknik kräver vidare innovativa metoder för övervakning av nätverkssäkerhet.
