{"id":17034,"date":"2019-11-28T03:22:15","date_gmt":"2019-11-28T11:22:15","guid":{"rendered":"http:\/\/www.palada.net\/index.php\/2019\/11\/28\/news-10770\/"},"modified":"2019-11-28T03:22:15","modified_gmt":"2019-11-28T11:22:15","slug":"news-10770","status":"publish","type":"post","link":"http:\/\/www.palada.net\/index.php\/2019\/11\/28\/news-10770\/","title":{"rendered":"La crittografia rende il tuo firewall irrilevante?"},"content":{"rendered":"

Credit to Author: Sophos Italia| Date: Thu, 28 Nov 2019 08:57:22 +0000<\/strong><\/p>\n

\n

Il TLS (Transport Layer Security) \u00e8 lo standard di crittografia utilizzato oggi su Internet – i termini SSL e TLS sono spesso usati in modo intercambiabile, ma l\u2019SSL (Secure Sockets Laye) \u00e8 un vecchio standard che \u00e8 stato cancellato dal TLS. Quindi, sebbene il termine pi\u00f9 comune sia ancora SSL, molte persone quando dicono SSL intendono TLS.<\/p>\n

La crittografia offre privacy e non sicurezza<\/h2>\n

Il TLS \u00e8 progettato per fornire riservatezza e autenticit\u00e0 crittografando la comunicazione tra due parti e verificando che il server sia chi afferma di essere, in base al suo certificato e a chi lo ha emesso.<\/p>\n

\"\"<\/a><\/p>\n

La crittografia TLS NON fornisce alcuna sicurezza o garanzia del contenuto. Quindi, quando qualcuno dice che la sua connessione al server \u00e8 sicura, significa solo che \u00e8 protetta da intercettazioni e che l’identit\u00e0 del server \u00e8 confermata.<\/p>\n

Puoi avere una connessione crittografata e “sicura” perfettamente valida a un sito che ospita payload dannosi … ecco perch\u00e9 l’ispezione del traffico crittografato \u00e8 cos\u00ec importante.<\/p>\n

L’ispezione TLS non \u00e8 facile<\/h2>\n

Il problema \u00e8 che il TLS \u00e8 un protocollo molto complesso con diversi certificati che devono essere scambiati, cos\u00ec come la negoziazione della suite di crittografia da utilizzare per determinare come crittografare la connessione.<\/p>\n

Naturalmente ci sono anche varie versioni di TLS e molte applicazioni e servizi Web fanno le cose diversamente. Pur avendo standard rigorosi, ci\u00f2 rende possibile che le cose siano incompatibili.<\/p>\n

Ci\u00f2 presenta enormi sfide per qualsiasi soluzione di sicurezza che tenti di inserirsi in questo processo allo scopo di ispezionare e proteggere il contenuto scambiato.<\/p>\n

Oltre a tutta la complessit\u00e0 tecnica, si aggiungono decisioni di policy che devono essere prese. Non tutto il traffico SSL pu\u00f2 o deve essere trattato allo stesso modo. \u00c8 una questione di equilibrio: bisogna bilanciare privacy, prestazioni, sicurezza e conformit\u00e0. Parte del traffico, come quello bancario e finanziario, non dovrebbe essere ispezionato e un\u2019altra parte del traffico non pu\u00f2 essere ispezionato.<\/p>\n

Il volume del traffico crittografato si avvicina al 100%<\/h2>\n

Per molte buone ragioni, la maggior parte delle connessioni Internet sono ora completamente crittografate. In effetti, sulla maggior parte delle piattaforme oltre l’80% delle sessioni Web ora viene crittografato in base al Rapporto sulla trasparenza di Google.<\/p>\n

\"\"<\/a><\/p>\n

La crittografia ha reso irrilevante il tuo firewall?<\/h2>\n

La crittografia \u00e8 ottima per la privacy, s\u00ec. Ma sta anche creando un enorme punto cieco per la maggior parte delle organizzazioni, in cui i loro attuali firewall non sono in grado di ispezionare grandi volumi di traffico crittografato.<\/p>\n

In effetti, la crittografia TLS ha reso la maggior parte dei firewall irrilevanti e inutili in quanto non hanno pi\u00f9 informazioni sulla maggior parte del traffico che passa attraverso la rete.<\/p>\n

Il vero pericolo sono le minacce nascoste nel traffico crittografato<\/h2>\n

Con l’esplosiva crescita della crittografia TLS negli ultimi anni, probabilmente non sorprende che gli hacker stiano sfruttando questa tendenza per far s\u00ec che il malware sulla rete non venga rilevato.<\/p>\n

In effetti, secondo i SophosLabs, circa 1\/3 del malware e delle applicazioni indesiderate utilizzano il TLS per accedere furtivamente alla rete e comunicare una volta entrati, il tutto passando inosservati.<\/p>\n

Perch\u00e9 la maggior parte delle organizzazioni non \u00e8 in grado di fare qualcosa<\/h2>\n

Come sottolineato in precedenza, il TLS \u00e8 complesso e dispendioso in termini di risorse.<\/p>\n

\u00c8 estremamente costoso investire nella ricerca e sviluppo necessaria per ispezionare correttamente il traffico crittografato TLS sul firewall, in modo efficiente ed efficace. Di conseguenza, la maggior parte dei prodotti firewall non ha il compito di ispezionare l’attuale volume di traffico crittografato che li attraversa.<\/p>\n

La maggior parte degli amministratori di rete \u00e8 stata costretta ad accettare il rischio di minacce e di non conformit\u00e0 a causa di gravi limitazioni delle prestazioni. Abilitare l’ispezione TLS \u00e8 troppo costoso in termini di impatto sulle prestazioni.<\/p>\n

Inoltre, le cattive implementazioni di ispezione che non supportano gli standard pi\u00f9 recenti comportano un declassamento della sicurezza, che apre le vulnerabilit\u00e0 o semplicemente interrompe molti siti Web, creando un’esperienza utente terribile.<\/p>\n

Questa situazione sta creando le condizioni per una tempesta perfetta.<\/p>\n

Deve esserci una soluzione!<\/h2>\n

E c’\u00e8!<\/p>\n

Negli ultimi anni abbiamo investito molto nella ricerca di una risoluzione del problema con l’ispezione del TLS. Il risultato di tutto questo sforzo \u00e8 la nuova architettura Xstream in XG Firewall v18.<\/p>\n

Si tratta di una nuova soluzione completa che elimina quel vasto punto cieco, senza tutti i compromessi di prestazioni e esperienza dell’utente che hanno afflitto altre soluzioni.<\/p>\n

In particolare offre:<\/p>\n

    \n
  • Alte prestazioni:<\/strong> un motore leggero con elevata capacit\u00e0 di connessione<\/li>\n
  • Massima sicurezza<\/strong>: supporta il TLS 1.3 e tutte le moderne suite di crittografia<\/li>\n
  • Ispezione di tutto il traffico<\/strong> – essendo application e port agnostic<\/li>\n
  • Un’ottima esperienza utente<\/strong> – con ampia interoperabilit\u00e0 per evitare le interruzioni di Internet<\/li>\n
  • Policy potente<\/strong>: offre il perfetto equilibrio tra prestazioni, privacy e protezione<\/li>\n
  • Visibilit\u00e0 senza pari<\/strong> – nei flussi di traffico crittografati e in tutti gli errori<\/li>\n<\/ul>\n

    Non andare pi\u00f9 alla cieca. Restituisci pertinenza al tuo firewall e inizia a ispezionare il traffico che lo attraversa.<\/p>\n

    Puoi provare la nuova ispezione SSL Xstream in XG Firewall v18 come parte dell\u2019Early Program. Inizia oggi! Tutti i nostri clienti con licenza XG Firewall ottengono gratuitamente questa nuova eccezionale funzionalit\u00e0.<\/p>\n

    Guarda questo video per saperne di pi\u00f9 su come funziona:<\/p>\n