20/11/19
Агентство национальной безопасности (АНБ) выпустило рекомендации, в которых рассматриваются риски, связанные с проверкой протокола защиты транспортного уровня (TLSI), и предлагаются меры по устранению рисков в слабо защищенных организациях, использующих TLSI продукты.
TLSI представляет собой процесс, позволяющий предприятиям проверять зашифрованный трафик с помощью специальных решений, таких как прокси-устройства, межсетевые экраны, системы обнаружения или предотвращения вторжений (IDS/IPS), которые могут расшифровать и перезаписать трафик, зашифрованный с помощью TLS-протокола.
Хотя некоторые предприятия используют данную технику для мониторинга потенциальных угроз, таких как эксфильтрация данных, активные каналы связи с C&C-серверами или распространение вредоносных программ через зашифрованный трафик, это также создает риски. Например, корпоративные продукты TLSI, не проверяющие должным образом TSL-сертификаты, ослабляют защиту, предоставляемую TLS-шифрованием конечным пользователям, и повышают риск MitM-атак.
Использование некорректно функционирующего прокси-сервера с поддержкой TLSI может привести к непредвиденным последствиям, таким как перенаправление дешифрованного сетевого трафика во внешнюю сеть, где его могут перехватить злоумышленники и таким образом получить несанкционированный доступ к конфиденциальным данным.
По словам представителей АНБ, описанные меры помогут снизить риски, связанные с использованием TLSI, выявить случаи возможной эксплуатации TLSI и минимизировать непреднамеренную блокировку легитимной сетевой активности.
