NSA Publishes Advisory Addressing Encrypted Traffic Inspection Risks

 

NSA เผยแพร่คำแนะนำให้กับความเสี่ยงที่เกิดจากการใช้งาน Transport Layer Security Inspection (TLSI)

National Security Agency (NSA) เผยแพร่คำแนะนำให้กับความเสี่ยงที่เกิดจากการใช้งาน Transport Layer Security Inspection (TLSI) ซึ่งอาจทำให้องค์กรมีความปลอดภัยน้อยลงTLSI หรือ TLS break and inspect หรือ ssl decryption เป็นกระบวนการที่องค์กรสามารถตรวจสอบ traffic ที่เข้ารหัสด้วยความช่วยเหลือของผลิตภัณฑ์ เช่น proxy IDS หรือ IPS ที่สามารถถอดรหัสเพื่อดูข้อมูล แล้วเข้ารหัสข้อมูลกลับไป องค์กรบางแห่งใช้เทคนิคนี้ในการตรวจสอบภัยคุกคามที่อาจเกิดขึ้น เช่น การแอบนำข้อมูลออก การติดต่อไปยังช่องทางการสื่อสารคำสั่งและการควบคุม (C2) หรือ การส่งมัลแวร์ผ่านทราฟฟิกที่เข้ารหัส เทคนิคนี้อาจนำไปสู่ความเสี่ยงอื่นๆ ได้

เครื่องมือ TLSI ที่ไม่ตรวจสอบความถูกต้องของใบรับรอง transport layer security (TLS) ให้ดีจะทำให้การป้องกันแบบ end-to-end ที่ได้จากการเข้ารหัส TLS แก่ผู้ใช้ปลายทางอ่อนแอลงอย่างมากและเพิ่มโอกาสที่ถูกโจมตีในรูปแบบ man-in-the-middle attack
ผู้โจมตีสามารถใช้ประโยชน์จากอุปกรณ์ TLSI โดยโจมตีอุปกรณ์ดังกล่าวเพื่อเข้าถึงข้อมูลที่ถอดรหัสแล้ว รวมถึง insider threat อย่างผู้ดูแลระบบที่มีเจตนาไม่ดีอาจใช้อุปกรณ์ดังกล่าวเพื่อดูรหัสผ่านหรือข้อมูลสำคัญอื่นๆ

เพื่อลดความเสี่ยงที่อธิบายไว้ข้างต้น การตรวจสอบการรับส่งข้อมูล TLS ควรกระทำเพียงครั้งเดียว    ภายในเครือข่ายองค์กร ไม่ควรใช้ TLSI หลายรอบโดยสามารถอ่านรายละเอียด ได้จาก: media.