* Rilevamento basato sulla firma:
* Questo metodo si basa sul riconoscimento di schemi o firme note all'interno dei pacchetti di rete. Se il contenuto è crittografato, le firme sono nascoste, rendendo questo approccio inefficace.
* Ad esempio, un IDS potrebbe rilevare una stringa specifica nota per far parte di un eseguibile malware. Se tale eseguibile viene trasmesso su una connessione crittografata (HTTPS, SSH, VPN), gli ID non vedranno la stringa e quindi non attiveranno un avviso.
* Analisi del protocollo:
* Molti protocolli (ad es. HTTP, SMTP, FTP) hanno strutture e comandi specifici che un IDS può analizzare per le anomalie. La crittografia oscura queste strutture, rendendo difficile o impossibile l'analisi del protocollo.
* Anche se la connessione stessa è crittografata, i metadati all'interno del protocollo potrebbero fornire indizi sul tipo di traffico. Ad esempio, l'indicazione del nome del server (SNI) può rivelare il nome host a cui si accede tramite HTTPS. SNI crittografato (ESNI) e il client crittografato Hello (ECH) mira a crittografare questo metadati, ostacolando ulteriormente il rilevamento.
* Rilevamento di anomalie:
* Mentre il rilevamento di anomalie può ancora funzionare con traffico crittografato, la sua efficacia è ridotta.
* Se l'IDS è addestrato su dati non crittografati, non saprà come appare "normale" all'interno del flusso crittografato. Potrebbe rilevare modelli di traffico insoliti in base alla dimensione, ai tempi o alla frequenza dei pacchetti, ma non sarà in grado di identificare il contenuto specifico che causa l'anomalia. Questo aumento del rischio di falsi positivi e falsi negativi.
Aree specifiche in cui l'efficienza diminuisce:
* Rilevamento dei download di malware: I sistemi IDS che cercano file eseguibili o script dannosi che vengono scaricati su HTTP/FTP saranno ciechi se il traffico è crittografato.
* Identificazione dell'esfiltrazione dei dati: Se i dati sensibili vengono crittografati prima di essere inviati dalla rete, gli ID non possono rilevarli in base al contenuto dei dati.
* Riconoscimento di comandi dannosi: Se un utente malintenzionato sta usando un canale crittografato (ad esempio SSH) per emettere comandi a una macchina compromessa, gli ID non saranno in grado di vedere i comandi stessi.
* Monitoraggio degli attacchi delle applicazioni Web: Gli attacchi comuni di applicazione Web (ad es. Iniezione SQL, script tramite) vengono spesso trasmessi all'interno del corpo di richiesta HTTP. Se viene utilizzato HTTPS, gli ID non possono ispezionare l'organismo di richiesta.
cosa funziona ancora (in una certa misura) con crittografia:
* Analisi del traffico di rete (metadati): Anche con la crittografia, un ID può ancora analizzare metadati come:
* Indirizzi e porte IP
* Dimensione e frequenza del pacchetto
* Tempistica delle connessioni
* Informazioni sul certificato TLS/SSL (SNI, Emittente, ecc.)
* Durata della connessione
* Byte trasferiti
* Stringhe per agenti utente (anche se queste possono essere falsificate)
* Firme Ja3/s
* Suite di cifra utilizzate
Questo metadati può essere utilizzato per rilevare modelli di comunicazione sospetti, anche se il contenuto è nascosto. Ad esempio, un'improvvisa ondata di traffico verso un indirizzo IP dannoso noto o un insolito utilizzo del certificato può essere flag per ulteriori indagini.
* Rilevamento e risposta endpoint (EDR): Le soluzioni EDR operano sui singoli computer all'interno della rete, quindi non sono così interessati dalla crittografia. Possono monitorare i processi, l'attività del file system e le modifiche al registro per rilevare comportamenti dannosi, anche se il traffico di rete è crittografato.
* Analisi comportamentale: Ciò comporta l'analisi del comportamento degli utenti e dell'entità all'interno della rete per identificare le deviazioni dai modelli normali. Questo può essere efficace anche con la crittografia, in quanto si concentra su "chi", "cosa" "dove" e "quando" di attività piuttosto che sul "come".
In sintesi:
La crittografia riduce la capacità dei tradizionali sistemi di rilevamento delle intrusioni di ispezionare il contenuto del traffico di rete, rendendo più difficile rilevare attacchi basati sulla firma, anomalie del protocollo e tipi specifici di esfiltrazione di dati. I sistemi IDS devono adattarsi concentrandosi sull'analisi dei metadati, sull'analisi comportamentale e sull'integrazione con le soluzioni di rilevamento e risposta degli endpoint per mantenere l'efficacia in ambienti crittografati. L'ascesa del cliente crittografato Hello (ECH) e altre tecnologie che migliorano la privacy richiede ulteriormente approcci innovativi al monitoraggio della sicurezza della rete.
networking © www.354353.com