Cos'è l'ispezione HTTPS?

Cos'è l'ispezione HTTPS?

L'ispezione HTTPS è il processo di verifica del traffico Web crittografato utilizzando la stessa tecnica di un attacco di interposizione sulla connessione di rete. Questa è una funzionalità di alcuni dispositivi di rete aziendali, firewall e prodotti di gestione delle minacce.

Un'organizzazione potrebbe voler ispezionare il traffico HTTPS per cercare malware, identificare i tentativi di esfiltrazione dei dati e bloccare l'accesso a siti Web specifici. Il malware rappresenta un problema per la sicurezza perché può paralizzare le operazioni aziendali, rubare i dati o rendere inaccessibili i file.

L'ispezione HTTPS è conosciuta con molti nomi, tra cui ispezione SSL, ispezione TLS, interruzione e ispezione TLS e intercettazione HTTPS.

Come funziona l'ispezione HTTPS?

Quando un'organizzazione utilizza l'ispezione HTTPS per proteggersi dal malware, impiega un prodotto che imposta due connessioni crittografate distinte e impersona sia il client che il server. Il prodotto ricerca minacce dannose da bloccare, il tutto senza far sapere al cliente che non esiste una connessione end-to-end convalidata.

Ad esempio, immagina che uno studente stia passando un biglietto a un amico in classe senza rendersi conto che la persona seduta tra loro due può leggere il contenuto del messaggio. In questo scenario, il mittente ritiene che il biglietto sia sigillato durante il trasporto, senza rendersi conto che può essere aperto e chiuso senza lasciare segni evidenti. Tuttavia, l'ispezione HTTPS differisce da questo esempio per un aspetto importante: il mittente non è nemmeno a conoscenza della presenza di un intermediario.

Di solito, quando un sito Web utilizza TLS, il dispositivo client (il computer o lo smartphone dell'utente) si connette direttamente al server host del sito Web e stabilisce una connessione crittografata. Una volta stabilita la connessione crittografata, il traffico tra il client e il server è completamente crittografato e nessuno nel mezzo può visualizzarlo.

Durante l'ispezione HTTPS, il prodotto imposta due connessioni SSL: una al server e una al client. Dal punto di vista del client, si connette direttamente al server senza intermediari. Il traffico viene invece reindirizzato al prodotto di ispezione, che impersona il sito Web. Ha la capacità di visualizzare, modificare e bloccare il contenuto.

In che modo il traffico protetto può diffondere malware?

Agli albori di Internet, il traffico veniva inviato tramite HTTP in chiaro. Ciò significa che nulla veniva crittografato e che se qualcuno avesse intercettato il traffico, tutti i dati sarebbero stati esposti.

Con HTTPS, la versione sicura di HTTP, il traffico è crittografato. Il client e il server si scambiano continuamente messaggi per stabilire una connessione sicura.

HTTPS protegge il traffico Internet dal monitoraggio da parte di soggetti non autorizzati. Tuttavia, può anche aiutare i malintenzionati a nascondere le loro tracce. HTTPS crittografa e oscura ogni tipo di dato, che si tratti dei dati bancari di una persona o del malware di un aggressore.

L'icona del lucchetto sul browser per una connessione HTTPS indica che i dati scambiati tra un utente e un server sono crittografati, non che tutto ciò che riguarda il sito Web sia protetto da attacchi o spioni. Un sito Web gestito da un'azienda affidabile, come un istituto finanziario, potrebbe presentare una falla di sicurezza e rappresentare inconsapevolmente una minaccia per gli utenti. In alternativa, un aggressore potrebbe creare un sito Web dannoso che sembra sicuro perché dispone di un certificato SSL e crittografa il traffico.

Quali sono i rischi dell'ispezione HTTPS?

Se eseguita in modo errato, l'ispezione HTTPS può creare vulnerabilità di sicurezza. Per il traffico normale, non ispezionato, un browser può convalidare la connessione end-to-end: verificare che il certificato sia valido assicura che il client stia comunicando con il server proprietario del dominio.

Interrompendo questo processo, l'ispezione può causare diversi problemi se non si presta la dovuta attenzione:

• La crittografia post-ispezione potrebbe essere meno sicura, in particolare se il prodotto di ispezione non utilizza gli standard di crittografia correnti
• Alcuni prodotti di ispezione non convalidano correttamente le catene di certificati, il che aumenta la possibilità di un attacco separato sul percorso da parte di un criminale
• Sebbene i browser vengano aggiornati frequentemente e automaticamente per affrontare nuovi problemi di sicurezza, il prodotto di ispezione potrebbe essere in ritardo rispetto alle migliori pratiche di sicurezza, come il supporto per l'ultima versione del protocollo TLS (Transport Layer Security)

Quali sono i vantaggi dell'ispezione HTTPS?

L'ispezione HTTPS fornisce:

• Maggiore visibilità sul traffico di rete e sui potenziali rischi
• Una maggiore possibilità di bloccare gli attacchi dannosi sulla rete di un'organizzazione
• Una maggiore capacità di applicare i criteri di sicurezza aziendali

Quali sono le alternative all'ispezione HTTPS?

Non esiste un metodo universalmente accettato per combattere il malware nascosto nel traffico HTTPS. Alcune misure che possono aiutare includono:

• Utilizzo di firewall che ispezionano i certificati di sicurezza senza interrompere la crittografia per identificare comportamenti sospetti
• Affrontare i rischi derivanti dai dipendenti all'origine, ad esempio limitando la loro capacità di scaricare software non approvato e migliorando il monitoraggio degli endpoint
• Regolazione precisa delle regole di ispezione approfondita dei pacchetti all'interno di un firewall
• Utilizzo di filtro DNS e di un gateway Web sicuro per bloccare le connessioni con siti Web o server non sicuri
• Utilizzo di isolamento del browser per limitare l'attività di navigazione a un ambiente protetto e impedire l'esecuzione di codice non sicuro all'interno della rete

Scopri come Cloudflare Gateway blocca malware e altri rischi, garantendo al contempo un monitoraggio del traffico quasi in tempo reale.