Ce n'est pas facile d'être un hacker… Surtout avec TLS 1.3
Une nouvelle ère est arrivée pour la sécurité Internet. Les navigateurs, les outils de sécurité et les fournisseurs de services s'adaptent à la nouvelle norme de chiffrement, êtes-vous prêt à emboîter le pas ? En août de cette année, l'IETF (Internet Engineering Task Force) a publié la version 1.3 du protocole TLS (Transport Layer Security). La nouvelle version, conçue pour "l'Internet moderne", offre des améliorations significatives aux protocoles de cryptage précédents dans les domaines de la sécurité, des fonctionnalités techniques et de la confidentialité. Plus important encore, l'utilisation de PFS (perfect forward secrecy), qui était facultative dans la version 1.2, est désormais obligatoire pour toutes les sessions dans TLS 1.3. PFS nécessite l'utilisation d'une cryptographie à clé éphémère, qui génère une nouvelle clé de chiffrement pour chaque interaction client/serveur. Les sessions précédentes et futures restent privées, car la même clé n'est jamais utilisée deux fois. De cette façon, même si un pirate parvient à compromettre une session, il lui sera difficile de déchiffrer tout le trafic sensible sur le réseau. Il peut être déployé tant que le réseau prend en charge les chiffrements éphémères TLS 1.2 et 1.3. Voici 6 conseils pour surveiller et traiter les données chiffrées sur le réseau lorsque le PFS devient la norme. Supprimez le mauvais trafic avant le décryptage. Une passerelle intelligente de détection des menaces est un appareil capable de détecter et de bloquer le trafic malveillant avant qu'il ne soit déchiffré.
En croisant une base de données de logiciels malveillants connus, le dispositif de passerelle peut reconnaître les adresses IP dangereuses dans un en-tête de paquet et bloquer la transmission des données de ce paquet. Puisqu'un en-tête de paquet est en texte clair, il n'est pas nécessaire de le déchiffrer. Une solution de détection intelligente des menaces réduit les faux positifs dans la détection des menaces, a une capacité de blocage nettement supérieure à celle des autres outils de sécurité et ne nécessite pas la création manuelle de règles si les conditions changent. En bloquant les logiciels malveillants avant le décryptage, les outils peuvent fonctionner plus efficacement avec une protection accrue. 1. Utilisez le décryptage SSL actif. Le trafic chiffré augmente, tout comme les logiciels malveillants chiffrés. Au minimum, les développements de sécurité devraient inclure le décryptage SSL passif. Mais il est recommandé de passer au décryptage SSL actif. En déchiffrant activement les données sur le réseau, le système de sécurité peut détecter les activités malveillantes en temps réel et réduire les risques de sécurité pour l'entreprise. 2. Avoir un appareil indépendant et dédié. L'introduction de SSL actif dans le développement de la sécurité peut nécessiter une refonte majeure de l'infrastructure réseau. Certains appareils de surveillance actuels, tels que les pare-feu de nouvelle génération, peuvent prendre en charge le décryptage SSL actif, mais ont également un impact négatif sur les performances du réseau. L'activation d'Active SSL dans les outils de sécurité peut réduire les performances globales, augmenter la latence et la congestion, et nécessiter une puissance de traitement supplémentaire. De plus, les pare-feu, les solutions IPS ou d'autres dispositifs de sécurité peuvent ne pas être en mesure de déchiffrer le trafic. Disposer d'une solution SSL active dédiée pour déchiffrer et chiffrer le trafic de tous les outils améliorera l'efficacité tout au long du processus et allégera la charge des outils de sécurité. 3. Protégez les données en texte brut. Une fois les données déchiffrées, le texte en clair est envoyé à des outils de surveillance et d'analyse hors bande.
Cela pose un nouveau risque, car les données en clair pourraient être interceptées en cours de transmission ou accessibles via l'outil de réception. Avoir un appareil avec des capacités de masquage des données peut offrir une sécurité supplémentaire pour les informations sensibles telles que les mots de passe, les numéros de carte de crédit, les numéros de sécurité sociale, les adresses e-mail et les données de santé. Les systèmes de masquage de données intelligents peuvent analyser les paquets de données à la recherche de modèles conformes aux réglementations en matière de confidentialité et bloquer tous les caractères d'une chaîne sauf les derniers. 4. Validez les capacités de l'appareil. Pour vérifier que les dispositifs de sécurité fonctionnent comme prévu, des tests de validation doivent être effectués sur le réseau. Une solution de test capable de fournir des logiciels malveillants cryptés et d'autres attaques informatiques aidera à révéler les faiblesses du développement du système de sécurité. De plus, les solutions possibles peuvent être évaluées, les configurations affinées et les performances des outils existants mesurées. 5. Externaliser le projet. Compte tenu de la pénurie de professionnels de l'informatique et de la sécurité, l'externalisation de la planification logistique et la restructuration de l'infrastructure peuvent être le moyen le plus rentable de mettre en œuvre TLS 1.3. Outre la mise à niveau du logiciel du serveur Web, les appareils qui ne prennent pas en charge la nouvelle norme peuvent devoir être remplacés et le trafic redirigé. Le fait de confier à une société tierce de confiance l'élaboration de plans, la sélection de nouveaux fournisseurs, l'optimisation des configurations et la gestion des modifications réduit considérablement le temps de mise en œuvre et les risques associés à une transition réseau. Avant que vous ne vous en rendiez compte, la majeure partie de votre trafic réseau sera cryptée. Avec la nouvelle norme exigeant PFS, le développement de la sécurité doit être conforme à TLS 1.3 en plus de déchiffrer, traiter et protéger les données rapidement et efficacement. Si vous souhaitez créer une architecture de sécurité solide pour votre entreprise et mettre en œuvre TLS 1.3, gardez ces conseils à l'esprit afin que les pirates n'aient aucune chance de s'introduire dans votre réseau.
Nous utilisons des cookies pour optimiser notre site Web et notre service.
Fonctionnel
Toujours actif
Le stockage ou l'accès technique est strictement nécessaire dans le but légitime de permettre l'utilisation d'un service spécifique explicitement demandé par l'abonné ou l'utilisateur, ou dans le seul but d'effectuer la transmission d'une communication à travers un réseau de communications électroniques. .
préférences
Le stockage ou l'accès technique est nécessaire dans le but légitime de stocker des préférences non demandées par l'abonné ou l'utilisateur.
statistiques
Le stockage ou l'accès technique qui est utilisé exclusivement à des fins statistiques.Stockage ou accès technique utilisé exclusivement à des fins statistiques anonymes. Sans exigence, conformité volontaire de votre fournisseur de services Internet ou enregistrements supplémentaires d'un tiers, les informations stockées ou récupérées uniquement à cette fin ne peuvent pas être utilisées pour vous identifier.
Stratégie
Le stockage ou l'accès technique est nécessaire pour créer des profils d'utilisateurs afin de diffuser de la publicité ou pour suivre l'utilisateur sur un ou plusieurs sites Web à des fins de marketing similaires.
