La crittografia è uno strumento di difesa per dati e connessioni, ma sta diventando sempre di più anche uno strumento di attacco. Come evidenziato da uno studio di Sophos, il 23% delle famiglie di malware in circolazione comunica utilizzando il protocollo crittografico Tls (Transport Layer Security) per tutte le comunicazioni necessarie all'installazione o per dialogare con i server di Command and Control. Tre esempi sono Trickbot, IcedID e Dridex, trojan attualmente molto diffusi, che ricorrono appunto al traffico Tls in diverse fasi dei loro attacchi.
I cybercriminali, inoltre, utilizzano il protocollo crittografico per evitare il rilevamento di exploit, payload e contenuti sottratti. Molti information-stealer, in particolare, ricorrono alla crittografia nelle procedure di esfiltrazione di dati in seguito a violazioni informatiche.
C’è quanto basta per mettere in allarme gli amministratori IT di un’azienda. Eppure quasi tutti, come verificato da Sophos con un sondaggio condotto su 3.100 IT manager di dodici Paesi, preferiscono non attivare sulle proprie reti una decifrazione crittografica per il timore di rallentare le prestazioni delle applicazioni. L’82% degli intervistati ritiene necessario ispezionare il traffico Tls, ma solo il 3,5% delle aziende lo fa.
Sophos ha affrontato il problema aggiungendo funzionalità ad alte prestazioni per la decifrazione del traffico Tls nei suoi firewall, o meglio in un nuova versione “Xstream” dei firewall della gamma XG. “Con la nuova architettura Xstream di XG Firewall”, ha dichiarato Dan Schiappa, chief product officer dell’azienda, “Sophos fornisce finalmente visibilità là dove finora c'è stato un enorme punto cieco della rete, eliminando i fastidiosi problemi di compatibilità e latenza con il pieno supporto dello standard TLS 1.3”.
Test di benchmark condotti internamente hanno evidenziato che in questa nuova ultima il motore di ispezione del traffico Tls del firewall ha prestazioni più che doppie rispetto alle precedenti versioni di firewall XG. Altre due novità sono l'integrazione di capacità di analisi delle minacce basata su intelligenza artificiale e un motore Dpi (Deep Packet Inspection) che valuta dinamicamente il rischio dei flussi di traffico per regolare, di conseguenza, il tipo di scansione più appropriato.