TLS 1.3 и DoH ще променят контрола на сигурността
Двата нови протокола скоро ще станат преобладаващи в корпоративните мрежи, обществените и частните облаци
Два нови стандарта за криптиране слагат провокации пред ИТ отделите
(снимка: CC0 Public Domain)
Специалистите по сигурност в корпоративните организации би трябвало да подхващат ограничения за застраховане на ИТ контрола, преди да бъдат внедрени TLS 1.3 и DNS-над-HTTPS (DoH) – два нови стандарта за криптиране, които скоро ще стартират да се употребяват навсякъде. В противоположен случай няма да могат да проучват мрежовия трафик и да откриват в точния момент киберзаплахи, предизвести Forrester Research.
Защитата на транспортния пласт (TLS) и DNS, два от основополагащите протоколи в интернет, неотдавна претърпяха радикални промени в посока отбрана на поверителността на потребителите на браузъри. В същото време обаче те ще понижат така наречен „ сигурност на място ” – в кратковременен проект. Затова в идващите няколко години експертите по ИТ сигурност би трябвало да вкарат принадлежности за надзор, се показва в нов отчет на Forrester Research.
„ Докато [протоколите] прикриват интензивността на потребителите от търсещите очи на държавните органи и интернет доставчиците, те крият и скъпи метаданни от инструментите за мрежова ревизия в организацията ”, съгласно старши анализатора на Forrester Research Дейвид Хоумс. „ С настъпването на тези промени инструментите за наблюдаване на сигурността ще се окажат „ заслепени ” по отношение на наличието и местоназначението на трафика. Те няма да са в положение да откриват закани. Мрежата ще бъде по-тъмна от когато и да било до момента ”.
Защитниците на поверителността и неприкосновеността работиха интензивно дружно с специалистите от Internet Engineering Task Force (IETF), с цел да обезпечат ограничения за противопоставяне против подслушването и събирането на данни, изясни Холмс, представен от Tech Republic. Резултатът от тази взаимна работа са последната версия TLS 1.3 и криптирането на системата от имена на домейни. Тези промени в действителност провокираха несъгласия, тъй като:
Сферата на финансовите услуги е вложила доста в така наречен пасивно декриптиране , защото регулациите не разрешават боравенето с некриптирани данни, даже в техните вътрешни мрежи. Защитниците на поверителността са проектирали TLS 1.3 по този начин, че той може да се окаже несъответстващ с архитектурата за инспекциите на сигурността на огромни финансови услуги.
TLS 1.3 криптира сървърните документи , което значи, че екипите по сигурността към този момент не могат да ползват мрежовите правила, забраняващи на потребителите да посещават уеб сайтове с рискови документи, в това число тези, които са с изминал период, оттеглени или самоподписани.
DNS-over-HTTPS срутва ИТ контрола . Защитниците на поверителността виждат настоящата система от имена на домейни като „ забележителен теч ” от позиция на дискретност и упорстваха за криптиране на DNS върху HTTPS. Разработчиците на браузерите и операторите на мрежи за снабдяване на наличие (CDN) го възприеха допустимо най-бързо, само че това провокира митингите на мнозина. Един от най-гласовитите съперници, съгласно Холмс, е Пол Викси – „ кръстникът ” на DNS.
Докладът на Forrester акцентира, че експертите по сигурността би трябвало да са наясно с идните промени. „ Много средства за сигурност като корпоративни защитни стени, предпазени уеб портали и брокери за сигурност в облака (CASBs) пречат на потребителите да посещават известни рискови уеб страници, като изследват някои основни метаданни в криптирания трафик ”, написа Холмс. Тези метаданни скоро обаче ще „ изчезнат ” от мрежовия трафик.
още по тематиката
„ Повечето ни клиенти… следят своите консуматори, с цел да ги пазят, а не с цел да ги експлоатират. Настъпващите промени затрудняват живота им ”, се споделя в отчета.
Какво следва да се направи освен това състояние? Специалистите по сигурността и рисковете не могат да управляват браузърите или интернет, само че те въпреки всичко са виновни за запазване на корпоративната осведомителна среда, споделя Холмс. Докато измененията в TLS 1.3 и DoH към момента са едва публикувани, експертите имат известно време да се приготвят, само че не трябва да се бавят, предизвестява анализаторската компания. Като цяло може да се смята, че експертите по ИТ сигурност имат две години да реагират на измененията.
„ Тъй като TLS 1.3 и DNS-over-HTTPS набират скорост, екипите би трябвало да възнамеряват още в този момент по какъв начин да подобрят своите механизми за ревизия на мрежите ”, написа Холмс. „ Изрично разпишете стратегия за възстановяване на видимостта или я закачете върху някаква по-мащабна стратегия за рационализация на мрежата или за цифрова промяна. В рамките на тези по-мащабни старания включете тактически подходи за възобновяване на мрежовите метаданни и изгубените благоприятни условия за декриптиране ”.
Понастоящем единствено един от всеки четири уеб страницата предлага TLS 1.3.7, написа Холмс, базирайки се на SSL Pulse от Qualys Labs. „ Въпреки това експертите по сигурността би трябвало да чакат възприемането на TLS 1.3 отвън най-големите уеб сайтове да се усилва с по към 10% годишно ”.
DNS-over-HTTPS пък към този момент се поддържа от всички съществени браузъри и Active Directory на Microsoft, сподели Холмс. Днес единствено Firefox го разрешава по дифолт, само че до две години множеството модерни браузъри ще последват този образец, сподели той.
Тъй като TLS 1.3 и DNS-over-HTTPS ще станат преобладаващи в корпоративната мрежа и в обществените и частните облаци, експертите по сигурността би трябвало да подхващат няколко стъпки, в това число да основат зони за цялостна прокси инспекция на входящия трафик, без значение дали на място или в облака, написа Холмс. Те би трябвало също да усилят мрежовия си мониторинг, употребявайки опциите на машинното образование, прилагано по отношение на мрежовите метаданни.
Два нови стандарта за криптиране слагат провокации пред ИТ отделите
(снимка: CC0 Public Domain)
Специалистите по сигурност в корпоративните организации би трябвало да подхващат ограничения за застраховане на ИТ контрола, преди да бъдат внедрени TLS 1.3 и DNS-над-HTTPS (DoH) – два нови стандарта за криптиране, които скоро ще стартират да се употребяват навсякъде. В противоположен случай няма да могат да проучват мрежовия трафик и да откриват в точния момент киберзаплахи, предизвести Forrester Research.
Защитата на транспортния пласт (TLS) и DNS, два от основополагащите протоколи в интернет, неотдавна претърпяха радикални промени в посока отбрана на поверителността на потребителите на браузъри. В същото време обаче те ще понижат така наречен „ сигурност на място ” – в кратковременен проект. Затова в идващите няколко години експертите по ИТ сигурност би трябвало да вкарат принадлежности за надзор, се показва в нов отчет на Forrester Research.
„ Докато [протоколите] прикриват интензивността на потребителите от търсещите очи на държавните органи и интернет доставчиците, те крият и скъпи метаданни от инструментите за мрежова ревизия в организацията ”, съгласно старши анализатора на Forrester Research Дейвид Хоумс. „ С настъпването на тези промени инструментите за наблюдаване на сигурността ще се окажат „ заслепени ” по отношение на наличието и местоназначението на трафика. Те няма да са в положение да откриват закани. Мрежата ще бъде по-тъмна от когато и да било до момента ”.
Защитниците на поверителността и неприкосновеността работиха интензивно дружно с специалистите от Internet Engineering Task Force (IETF), с цел да обезпечат ограничения за противопоставяне против подслушването и събирането на данни, изясни Холмс, представен от Tech Republic. Резултатът от тази взаимна работа са последната версия TLS 1.3 и криптирането на системата от имена на домейни. Тези промени в действителност провокираха несъгласия, тъй като:
Сферата на финансовите услуги е вложила доста в така наречен пасивно декриптиране , защото регулациите не разрешават боравенето с некриптирани данни, даже в техните вътрешни мрежи. Защитниците на поверителността са проектирали TLS 1.3 по този начин, че той може да се окаже несъответстващ с архитектурата за инспекциите на сигурността на огромни финансови услуги.
TLS 1.3 криптира сървърните документи , което значи, че екипите по сигурността към този момент не могат да ползват мрежовите правила, забраняващи на потребителите да посещават уеб сайтове с рискови документи, в това число тези, които са с изминал период, оттеглени или самоподписани.
DNS-over-HTTPS срутва ИТ контрола . Защитниците на поверителността виждат настоящата система от имена на домейни като „ забележителен теч ” от позиция на дискретност и упорстваха за криптиране на DNS върху HTTPS. Разработчиците на браузерите и операторите на мрежи за снабдяване на наличие (CDN) го възприеха допустимо най-бързо, само че това провокира митингите на мнозина. Един от най-гласовитите съперници, съгласно Холмс, е Пол Викси – „ кръстникът ” на DNS.
Докладът на Forrester акцентира, че експертите по сигурността би трябвало да са наясно с идните промени. „ Много средства за сигурност като корпоративни защитни стени, предпазени уеб портали и брокери за сигурност в облака (CASBs) пречат на потребителите да посещават известни рискови уеб страници, като изследват някои основни метаданни в криптирания трафик ”, написа Холмс. Тези метаданни скоро обаче ще „ изчезнат ” от мрежовия трафик.
още по тематиката
„ Повечето ни клиенти… следят своите консуматори, с цел да ги пазят, а не с цел да ги експлоатират. Настъпващите промени затрудняват живота им ”, се споделя в отчета.
Какво следва да се направи освен това състояние? Специалистите по сигурността и рисковете не могат да управляват браузърите или интернет, само че те въпреки всичко са виновни за запазване на корпоративната осведомителна среда, споделя Холмс. Докато измененията в TLS 1.3 и DoH към момента са едва публикувани, експертите имат известно време да се приготвят, само че не трябва да се бавят, предизвестява анализаторската компания. Като цяло може да се смята, че експертите по ИТ сигурност имат две години да реагират на измененията.
„ Тъй като TLS 1.3 и DNS-over-HTTPS набират скорост, екипите би трябвало да възнамеряват още в този момент по какъв начин да подобрят своите механизми за ревизия на мрежите ”, написа Холмс. „ Изрично разпишете стратегия за възстановяване на видимостта или я закачете върху някаква по-мащабна стратегия за рационализация на мрежата или за цифрова промяна. В рамките на тези по-мащабни старания включете тактически подходи за възобновяване на мрежовите метаданни и изгубените благоприятни условия за декриптиране ”.
Понастоящем единствено един от всеки четири уеб страницата предлага TLS 1.3.7, написа Холмс, базирайки се на SSL Pulse от Qualys Labs. „ Въпреки това експертите по сигурността би трябвало да чакат възприемането на TLS 1.3 отвън най-големите уеб сайтове да се усилва с по към 10% годишно ”.
DNS-over-HTTPS пък към този момент се поддържа от всички съществени браузъри и Active Directory на Microsoft, сподели Холмс. Днес единствено Firefox го разрешава по дифолт, само че до две години множеството модерни браузъри ще последват този образец, сподели той.
Тъй като TLS 1.3 и DNS-over-HTTPS ще станат преобладаващи в корпоративната мрежа и в обществените и частните облаци, експертите по сигурността би трябвало да подхващат няколко стъпки, в това число да основат зони за цялостна прокси инспекция на входящия трафик, без значение дали на място или в облака, написа Холмс. Те би трябвало също да усилят мрежовия си мониторинг, употребявайки опциите на машинното образование, прилагано по отношение на мрежовите метаданни.
Източник: technews.bg
КОМЕНТАРИ