يجب على المتخصصين في مجال الأمن التصرف قبل تنفيذ TLS 1.3 و DNS-over-HTTPS (DoH) وإلا فلن يتمكنوا من تحليل حركة مرور الشبكة واكتشاف التهديدات الإلكترونية ، كما تحذر Forrester Research.
خضع أمان طبقة النقل (TLS) و DNS ، وهما من البروتوكولات الأساسية للإنترنت ، لتغييرات جذرية مؤخرًا لحماية خصوصية مستخدم المتصفح. في الوقت نفسه ، سيقللون من الأمان في أماكن العمل على المدى القصير ، ويجب على المتخصصين في مجال الأمن وضع الأدوات في مكانها الصحيح في العامين المقبلين ، وفقًا لتقرير جديد صادر عن شركة Forrester Research.
“في حين [the protocols] إخفاء نشاط المستخدم عن أعين البحث في الدول القومية ومزودي خدمات الإنترنت ، كما أنهم يخفون البيانات الوصفية القيمة من أدوات فحص شبكة المؤسسة “، وفقًا لما ذكره ديفيد هومز ، المحلل الرئيسي في Forrester Research. محتويات ووجهة حركة المرور وغير قادر على اكتشاف التهديدات. ستكون الشبكة أكثر قتامة مما كانت عليه في أي وقت مضى “.
كتب هولمز أن نشطاء الخصوصية عارضوا مجتمع المراقبة الحكومية الذي يدعو إلى التشفير وكانوا يعملون ضمن فرقة عمل هندسة الإنترنت (IETF) لتوفير إجراءات مضادة ضد التنصت وجمع البيانات. أحدث إصدار ، TLS 1.3 ، وتشفير نظام اسم المجال هما نتيجة أحدث جهودهم.
نرى: سياسة أفضل ممارسات شهادة SSL (TechRepublic Premium)
لكن هذه التغييرات أثارت الجدل ، على حد قوله ، بسبب:
- استثمر مجتمع الخدمات المالية بكثافة في فك التشفير السلبي ، لأن التنظيم يحظر البيانات غير المشفرة ، حتى على شبكاتهم الداخلية. صمم نشطاء الخصوصية TLS 1.3 ليطلب “السرية إلى الأمام” ، مما يجعله غير متوافق مع هياكل التفتيش الأمني للخدمات المالية الكبيرة.
- يقوم TLS 1.3 بتشفير شهادات الخادم ، مما يعني أنه لم يعد بإمكان فرق الأمان تطبيق سياسات الشبكة التي تمنع المستخدمين من زيارة المواقع ذات الشهادات غير الآمنة ، بما في ذلك تلك المواقع منتهية الصلاحية أو الملغاة أو الموقعة ذاتيًا.
- يزيل DNS-over-HTTPS التحكم في تكنولوجيا المعلومات. يرى نشطاء الخصوصية أن نظام اسم المجال الحالي بمثابة تسريب كبير للخصوصية واقترحوا تشفير DNS-over-HTTPS لإصلاحه. تبنته المتصفحات وشبكات توصيل المحتوى (CDNs) بأسرع ما يمكن ، حتى على احتجاجات العديد من المنتقدين. كتب هولمز أن أحد أكثر المعارضين صوتًا هو بول فيكسي ، عراب DNS.
وشدد التقرير على أن العاملين في مجال الأمن يجب أن يكونوا على دراية بالتغييرات القادمة. كتب هولمز: “تمنع العديد من أدوات الأمان مثل جدران الحماية الخاصة بالمؤسسات وبوابات الويب الآمنة ووسطاء أمان الوصول إلى السحابة (CASBs) المستخدمين من الانتقال إلى مواقع الويب المشهورة عن طريق فحص ثلاث أجزاء رئيسية من البيانات الوصفية في حركة المرور المشفرة. ستختفي ثلاث بيانات وصفية من حركة مرور الشبكة قريبًا: طلب DNS الخاص بالمستخدم ، وشهادة SSL للهدف ، ومؤشر اسم الخادم SNI.
وقال التقرير “إن معظم عملاء Forrester للأمن والمخاطر يراقبون مستخدميهم لحمايتهم ، وليس استغلالهم ، وهذه التغييرات تجعل حياتهم أكثر صعوبة”.
دعوة للعمل
كتب هولمز لا يمكن لمتخصصي الأمن والمخاطر التحكم في المتصفحات أو الإنترنت ، لكنهم ما زالوا مسؤولين عن تأمين البيئة. في حين أن تطورات TLS 1.3 ، ونظام اسم المجال المشفر (DNS) ، ومؤشر اسم الخادم المشفر (SNI) حديثان ، ومعدلات التبني متواضعة في الوقت الحالي ، لا ينبغي للمحترفين الأمنيين أن يؤخروا استعداداتهم.
وقال إن أمامهم عامين لوضع القدرات الأساسية في مكانها الصحيح.
كتب هولمز: “مع اكتساب TLS 1.3 و DNS-over-HTTPS زخمًا ، تحتاج الفرق إلى التخطيط الآن لزيادة برامج التفتيش الخاصة بهم”. “ضع صراحةً برنامج ترقية الرؤية أو حمله على جهد أكبر مثل تحديث الشبكة أو التحول الرقمي. ضمن الجهد الأكبر ، قم بتضمين الأساليب التكتيكية لاستعادة البيانات الوصفية للشبكة وقدرات فك التشفير المفقودة.”
كتب هولمز أن واحدًا من كل أربعة مواقع ويب فقط يقدم حاليًا TLS 1.3.7 ، مستشهداً ببيانات Qualys Labs SSL Pulse. “ومع ذلك ، يجب أن يتوقع محترفو الأمن زيادة اعتماد TLS 1.3 خارج المواقع الضخمة بنسبة 10٪ سنويًا.”
نرى:
لماذا يجب إعداد المصادقة متعددة العوامل لجميع خدماتك وأجهزتك
(TechRepublic)
قال هولمز إن DNS-over-HTTPS مدعوم بالفعل من قبل جميع المتصفحات الرئيسية و Microsoft Active Directory. وقال إن فايرفوكس هو الوحيد الذي يمكّنه حاليًا ، وفي غضون عامين ، ستعمل أيضًا معظم المتصفحات الحديثة.
نظرًا لانتشار TLS 1.3 و DNS-over-HTTPS في شبكة المؤسسة وداخل السحابة العامة والخاصة ، يحتاج محترفو الأمان إلى اتخاذ عدة خطوات ، بما في ذلك إنشاء مناطق فحص كاملة للوكيل لحركة المرور الواردة ، سواء في الموقع أو في السحابة ، كتب هولمز.
وقال هولمز إنه يجب عليهم أيضًا زيادة مراقبة الشبكات باستخدام التعلم الآلي المطبق على البيانات الوصفية للشبكة التي لا تزال قائمة.
يجب عليهم أيضًا استعادة السيطرة على DNS ، والذي أسماه “ابن الزوج ذو الرأس الأحمر لتكنولوجيا المعلومات: العمليات تكره تشغيله ، والأمن لا يريده ، والشخص الوحيد الذي يفهمه ربما يتقاعد في أي يوم الآن.”
وقال إنه سيتعين على المنظمات نشر نظام هجين يلتقط طلبات النطاق عبر DNS-over-HTTPS مع الأنظمة المحلية.