HTTPS-skanning – varför den bör vara aktiverad på Sophos
Med temat ”kryptering” är det lite speciellt. Får ni inte också känslan av att man visserligen hör talas om det hela tiden, till och med pratar om det, men att spridningen ändå går ganska trögt? Med projektet ”Let’s Encrypt” har åtminstone den krypterade kommunikationen på internet, mellan en webbplats och en besökare, fått en ordentlig skjuts framåt. Tack vare kostnadsfria SSL‑certifikat vill ”Let’s Encrypt” göra krypterade förbindelser till standard.
I den här bloggartikeln vill jag visa vad det innebär för era Sophos Firewall när plötsligt majoriteten av webbtrafiken är krypterad.
Början på ”https://”
Låt oss gå tillbaka några år i tiden och titta på hur utvecklingen mot ”https://” på internet har sett ut. Med Avanet har vi upplevt den här utvecklingen främst genom nyheter från Google. Ha därför överseende med att tidslinjen nedan blir ganska ”Google‑tung”.
- 2010 - Google krypterar sökfrågor (BETA)
- 2011 - YouTube krypteras som standard
- 2013 - Edward Snowden konstaterar att bra kryptering är säker
- 2013 - (mars) Googlesökningen krypteras nu som standard
- 2014 - Google prioriterar HTTPS‑sidor och rankar dem högre för att få fler att byta
- 2015 - (03.12.2015) Let’s Encrypt går in i öppen betafas för alla
- 2016 - (09.03.2016) Let’s Encrypt har redan utfärdat 1 miljon certifikat
- 2016 - (13.04.2016) Let’s Encrypt avslutar betafasen
- 2016 - (16.10.2016) HTTPS‑kryptering på webben når för första gången 50 procent
- 2017 - (24.10.2017) 71 av de 100 mest besökta webbplatserna använder HTTPS
- 2018 - (februari) 81 av topp 100‑sajterna på webben använder HTTPS som standard
1,7 miljoner certifikat för mer än 3,8 miljoner webbplatser.
Ur vårt perspektiv har Google, med sin makt som sökjätte, bidragit avsevärt till att webbansvariga allt oftare utrustar sina webbplatser med SSL‑certifikat. Genom att deklarera att krypterade förbindelser framöver även kommer att påverka en webbplats ranking är man i praktiken tvungen att skaffa ett SSL‑certifikat. Tack vare Let’s Encrypt kan detta numera dessutom göras kostnadsfritt.
* Självklart har vi också testat ”Let’s Encrypt”. Sedan januari 2016 är den här bloggen utrustad med ett Let’s Encrypt‑certifikat.
Kryptering och säkerhet
Diagrammet ovan visar redan tydligt att krypterade webbplatser sannolikt kommer att bli standard framöver. Det är egentligen något bra, eller hur? Både ja och nej. För en besökare är det naturligtvis utmärkt när kommunikationen mellan besökaren och den aktuella webbplatsen är krypterad. Särskilt i e‑butiker, där känsliga uppgifter måste överföras, skapar det förstås extra förtroende. För er brandvägg, som ska skanna trafiken för att upptäcka skadlig kod, är det däremot säkerhetsmässigt inte lika idealiskt.
En ”normal” brandvägg kan inte skanna krypterad trafik.
Undvik att flyga blint med er Sophos
En SOPHOS‑brandvägg är däremot ingen ”normal” brandvägg. 🙂 Därför känner nog flera redan till att UTM sedan länge kan skanna SSL‑förbindelser. Förutsättningen är förstås en giltig licens för Web Protection.
Vi stöter dock fortfarande relativt sällan på konfigurationer där funktionen faktiskt har aktiverats. Nackdelen blir då att all HTTPS‑trafik inte kontrolleras för skadlig kod och att även botnet‑kopplingar obemärkt kan passera genom UTM. Det gäller både UTM och XG. Här kan jag därför bara rekommendera att ni aktiverar HTTPS‑skanning på er SOPHOS.
Exempel från verkligheten
Låt oss avslutningsvis titta kort på hur HTTPS‑trafiken ser ut i praktiken. På en av våra kunders brandväggar ser det till exempel ut så här:
Eftersom jag administrerar ett antal brandväggar kan jag bekräfta att HTTPS‑trafiken hos vissa faktiskt redan dominerar. Det beror förstås på företaget och deras surfbeteende. Sammanfattningsvis kan jag dock säga att andelen HTTPS‑trafik, på alla brandväggar vi har granskat, i genomsnitt ligger på över 30 %. Det innebär att utan HTTPS‑skanning skulle nästan en tredjedel av trafiken passera brandväggen utan att skannas.
I tider då ransomware gömmer sig i JavaScript‑kod på kapade webbplatser måste man utnyttja alla funktioner i sin brandvägg. Se därför till att följande punkter hamnar på er att‑göra‑lista:
- Aktivera HTTPS‑skanning
- Använd sandlådeteknik (Sophos Sandstorm)
- Använd antivirus med HIPS och Malicious Traffic Detection
- Utbilda användarna grundligt
Slutsats
Tidigare var det fortfarande ovanligt att webbplatser var utrustade med SSL‑certifikat. Tack vare Let’s Encrypt är det nu mycket enkelt och dessutom kostnadsfritt att utfärda ett sådant certifikat själv. Statistiken visar tydligt att vi i framtiden sannolikt bara kommer att se krypterad webbtrafik. Vi rekommenderar därför starkt att ni aktiverar och konfigurerar HTTPS‑skanning på UTM eller XG.
Tiden står inte stilla och även här ser vi tydligt att en brandvägg inte bara kan stå i ett hörn i fem år utan att något ändras. Regelbundet underhåll och återkommande genomgångar är helt nödvändiga för att vara redo för nya hot.
