Scansione HTTPS - Perché dovrebbe essere attivata sulla Sophos

Con il tema della “crittografia” la situazione è un po’ particolare. Si ha spesso l’impressione che se ne parli di continuo, che se ne senta parlare ovunque, ma che la sua diffusione proceda comunque piuttosto lentamente. Con il progetto “Let’s Encrypt”, almeno la comunicazione cifrata su Internet tra un sito web e i suoi visitatori ha ricevuto una spinta enorme: grazie ai certificati SSL gratuiti, “Let’s Encrypt” punta a rendere la connessione crittografata il nuovo standard.

In questo articolo voglio mostrarvi che cosa significa tutto questo per la vostra Sophos Firewall, quando improvvisamente la maggioranza del traffico web è crittografato.

Gli inizi di “https://”

Facciamo un rapido passo indietro di qualche anno per vedere come si è evoluto l’utilizzo di “https://” su Internet. Con la Avanet abbiamo vissuto questo periodo soprattutto attraverso gli annunci di Google. Perdonate quindi se la piccola timeline che segue risulta piuttosto “Google-centrica”.

• 2010 - Google cifra le ricerche (BETA)
• 2011 - YouTube viene crittografato per impostazione predefinita
• 2013 - Edward Snowden afferma che una buona crittografia è sicura
• 2013 - (marzo) La ricerca Google viene ora crittografata per impostazione predefinita
• 2014 - Google favorisce i siti HTTPS e li posiziona più in alto per spingere gli utenti alla migrazione
• 2015 - (03.12.2015) Let’s Encrypt entra nella fase di beta pubblica aperta a tutti
• 2016 - (09.03.2016) Let’s Encrypt ha già emesso 1 milione di certificati
• 2016 - (13.04.2016) Let’s Encrypt termina la fase beta
• 2016 - (16.10.2016) La crittografia HTTPS sul Web raggiunge per la prima volta il 50 percento
• 2017 - (24.10.2017) 71 dei 100 siti più visitati usano HTTPS
• 2018 - (febbraio) 81 dei Top-100 siti Web utilizzano di default HTTPS

1,7 milioni di certificati per oltre 3,8 milioni di siti web.

Dal nostro punto di vista, Google, sfruttando la propria forza come motore di ricerca dominante, ha contribuito in modo decisivo a spingere i webmaster a proteggere sempre più spesso i loro siti con un certificato SSL. Con l’annuncio che in futuro le connessioni crittografate avrebbero influito anche sul ranking di un sito, si è praticamente creato l’obbligo di dotarsi di un certificato SSL. Grazie a Let’s Encrypt, oggi questo è possibile anche gratuitamente!

*Naturalmente abbiamo provato in prima persona “Let’s Encrypt”. Da gennaio 2016 questo blog è protetto da un certificato Let’s Encrypt.

Crittografia e sicurezza

Il grafico precedente ha già mostrato chiaramente che i siti crittografati con ogni probabilità diventeranno lo standard. In fondo è una buona notizia, giusto? Sì e no. Per un visitatore è certamente un vantaggio se la comunicazione tra lui e il sito che sta visitando è cifrata. Soprattutto per i negozi online, dove vengono trasmessi dati sensibili, questo aumenta la fiducia. Per la vostra firewall, che invece dovrebbe analizzare il traffico per individuare codice dannoso, la situazione dal punto di vista della sicurezza è decisamente meno ideale.

Una firewall “normale” non è in grado di analizzare traffico crittografato.

Evitare il “volo alla cieca” della vostra Sophos

D’accordo, una SOPHOS Firewall non è una firewall “normale”. 🙂 Molti sapranno quindi che la UTM è in grado già da tempo di ispezionare le connessioni SSL. Prerequisito è ovviamente una licenza valida per la Web Protection.

Tuttavia, ci capita ancora relativamente di rado di vedere configurazioni in cui questa funzione è effettivamente attivata. Il risultato è che tutto il traffico HTTPS non viene analizzato alla ricerca di malware e anche le connessioni verso botnet passano indisturbate attraverso la UTM. Questo vale sia per UTM sia per XG. A questo punto non posso che raccomandare di attivare l’HTTPS-Scanning sulla vostra SOPHOS.

Esempio pratico

Per concludere, vediamo brevemente come si presenta il traffico HTTPS nella pratica. Su una delle firewall di un nostro cliente, ad esempio, la situazione è la seguente:

Gestendo diverse firewall, posso confermare che su alcune il traffico HTTPS è già nettamente prevalente. Naturalmente ciò dipende dall’azienda e dalle sue abitudini di navigazione. In sintesi posso dire che, su tutte le firewall che abbiamo analizzato, la quota media di traffico HTTPS è superiore al 30%. Questo significa che, senza HTTPS-Scanning, circa un terzo del traffico attraverserebbe la firewall senza alcun controllo.

In un periodo in cui il ransomware si nasconde nel codice JavaScript di siti compromessi, è indispensabile sfruttare tutte le capacità della vostra firewall. Assicuratevi quindi di inserire i punti seguenti nella vostra lista delle cose da fare:

• Attivare l’HTTPS-Scanning
• Utilizzare il Sandboxing (Sophos Sandstorm)
• Impiegare un antivirus con HIPS e Malicious Traffic Detection
• Formare in modo approfondito gli utenti

Conclusione

Se un tempo era piuttosto raro che i siti web fossero dotati di un certificato SSL, grazie a Let’s Encrypt oggi è estremamente semplice - e per di più gratuito - emettere un certificato per il proprio sito. Le statistiche mostrano chiaramente che in futuro avremo probabilmente quasi esclusivamente traffico Web crittografato. Raccomandiamo quindi vivamente di attivare e configurare l’HTTPS-Scanning su UTM o XG.

Il tempo non si ferma e proprio in questo ambito si vede chiaramente che una firewall non può restare per 5 anni in un angolo senza alcun intervento. Una manutenzione regolare e revisioni periodiche sono assolutamente indispensabili per essere preparati alle nuove minacce.