Sebbene oggi gran parte del traffico Internet sia crittografato, gli hacker sono comunque in grado di sfruttarlo: le funzioni per il controllo di botnet e malware spesso si nascondono proprio lì. Se la vostra workstation ha iniziato improvvisamente a comunicare usando un algoritmo di crittografia obsoleto, potete essere abbastanza sicuri che è stato compromessa. E che dire degli utenti che comunicano con server dotati di certificati non attendibili? La capacità di analizzare le comunicazioni crittografate sarà presto cruciale per l'efficace applicazione delle politiche di sicurezza.

Nel 2017 solo la metà del traffico era crittografata, oggi la percentuale supera l'80 percento. L'era di un internet completamente crittografata sta già bussando alla porta e, naturalmente, i professionisti responsabili della sicurezza e della gestione dei rischi nelle aziende prestano un'attenzione sempre maggiore a questo argomento. La crittografia complica l'uso delle tradizionali tecnologie di sicurezza, come i firewall, e spesso ne rende addirittura impossibile l'utilizzo. Se non si sa cosa si nasconde nei pacchetti, non è possibile proteggere la rete aziendale o le singole workstation dal malware.

Ecco perché l'analisi delle comunicazioni è entrata nel portafoglio dei servizi offerti dalle società di monitoraggio e sicurezza della rete. Ad esempio, Flowmon ha implementato l'analisi della comunicazione crittografata nella sua soluzione già nell'agosto 2018. Grazie a questa funzionalità, la soluzione è ora in grado di visualizzare quei dettagli della comunicazione che consentono all'utente di rilevare la presenza di malware.

Tuttavia il contenuto crittografato non può essere visualizzato senza essere decrittato, pertanto è importante ottenere quante più informazioni possibili nel momento in cui la comunicazione non è stata ancora crittografata, vale a dire durante la creazione della connessione e lo scambio delle chiavi e dei certificati.


Un esempio di questo processo è l'handshake SSL / TLS, che significa stabilire una comunicazione crittografata durante la quale sono disponibili e visibili diversi parametri TLS. In particolare, la versione del protocollo TLS utilizzata dal server, il set di crittografia, l'indicazione del nome del server (SNI), l'emittente del certificato, la chiave pubblica, la validità del certificato, l'impronta digitale JA3 e altro ancora.

I dati possono poi essere analizzati o utilizzati in diversi modi per gestire la sicurezza aziendale. In base ai dati è possibile ricevere notifiche di modifiche ed eventi oppure utilizzarli per avvisi automatici collegati ad altre azioni (invio di e-mail, esecuzione di uno script utente, invio di un syslog o una notifica asincrona sotto forma di trap SNMP o altro).

Il ruolo di JA3

Uno dei modi più semplici per rilevare malware ed elaborare l'IoC (Indicator of Compromise) è analizzare le impronte digitali JA3. Utilizzando il metodo JA3 è possibile creare facilmente impronte SSL / TLS su qualsiasi piattaforma. Ecco perché è molto più efficace utilizzare le impronte JA3 per rilevare malware all'interno di SSL / TLS piuttosto che monitorare l'IP o il dominio IoC.

Questo indipendentemente dal fatto che il malware utilizzi DGA (Domain Generation Algorithms) o cambi gli indirizzi IP per ciascuno dei suoi host C2 (Command & Control), nemmeno quando utilizza, ad esempio, Twitter, per controllarlo. Poiché JA3 rileva direttamente un'applicazione client, è in grado di rilevare malware in base al modo in cui comunica, anziché in base a ciò che comunica.

Ecco perché strumenti specifici come Flowmon, utilizzando il database di impronte digitali JA3 pubblicamente disponibile, possono rilevare potenziali minacce partendo dalle specifiche impronte JA3 nelle comunicazioni crittografate.

Come verificare le politiche di sicurezza

Molte aziende si affidano alla comunicazione HTTPS e ai certificati emessi da un'autorità di certificazione per garantire la comunicazione interna o la presenza sul web. Pertanto è importante monitorare la validità del certificato emesso per evitare una situazione in cui i dati non sarebbero protetti per un certo periodo di tempo.

Questo problema può essere risolto analizzando il traffico crittografato, che fornisce, tra l'altro, una panoramica delle scadenze di ogni certificato. Questo consente di monitorare i certificati in scadenza ed evitare del tutto questa pericolosa situazione: è infatti possibile rilevare facilmente una crittografia TLS 1.0 debole, in modo da avere abbastanza tempo per eseguire tutti i passaggi correttivi.

Un cambiamento strategico

Per una protezione affidabile dalle minacce le aziende dovranno incorporare strumenti di sicurezza basati su analisi comportamentale, intelligenza artificiale e analisi della comunicazione crittografata. Questi strumenti permetteranno di rilevare malware nel traffico in tempo reale senza influire sulla velocità di trasmissione della rete o compromettere le prestazioni delle applicazioni. Sarà inoltre necessario modificare le strategie di sicurezza esistenti per bloccare tempestivamente le minacce "man-in-the-middle" o tentativi di rubare i dati aziendali.

Le nuove tecnologie di sicurezza saranno indispensabili nelle aziende, anche in considerazione della necessità di audit. Le tecnologie aiuteranno a rilevare le comunicazioni che utilizzano certificati obsoleti in contrasto con la politica aziendale, a controllare il livello di crittografia e a rivelare vulnerabilità nei dati.