Tái tư duy các biện pháp phòng chống DDoS cho TLS1.3
Xu hướng - Dự báo - Ngày đăng : 17:01, 06/11/2018
Mã hóa cho phép chúng ta trao đổi dữ liệu một cách bảo mật và cho phép chúng ta (trong nhiều trường hợp) xác thực ai hoặc những gì chúng ta đang trao đổi dữ liệu. Mã hóa đã giúp chúng ta "tin tưởng" vào thế giới kết nối, vì nó đã thâm nhập khá nhiều vào mọi khía cạnh của cuộc sống của chúng ta.
Tuy nhiên, như chúng ta đều biết, mã hóa không phải là một giải pháp cho tất cả các vấn đề an ninh của mình. Nó được sử dụng chống lại ransomware, và một số tiến bộ trong công nghệ mã hóa như phiên bản mới nhất của Transport Layer Security (TLS 1.3), có thể làm cho việc xác định và chặn một số mối đe dọa trở nên khó khăn hơn.
Nhiều mối đe dọa trên mạng và các giải pháp phát hiện gian lận đã dựa vào giải mã minh bạch, thụ động của các phiên được mã hóa thông qua truy cập vào (các) khóa riêng của máy chủ. Với việc giới thiệu TLS 1.3, điều này không đơn giản, vì tất cả các thông tin bổ sung cần thiết để giải mã một phiên không thể được đánh dấu từ dòng. Công nghệ này quy định rằng một phần của quy trình mã hóa Perfect Forward Secrecy (PFS) phải được sử dụng để tăng cường bảo mật thông tin liên lạc của chúng ta - nhưng điều này làm cho chúng ta nghĩ lại cơ chế của mình khi đối phó với các vấn đề khác.
Một lĩnh vực cần phải suy nghĩ lại là cơ chế của chúng ta để phát hiện và giảm thiểu một số dạng tấn công DDoS. Báo cáo bảo mật hạ tầng toàn cầu mới nhất (WISR - Worldwide Infrastructure Security Report) xác nhận các cuộc tấn công nhắm vào các dịch vụ web được mã hóa đã trở nên ngày càng phổ biến trong những năm gần đây.
Cụ thể, trong năm 2017, 53% doanh nghiệp, tổ chức chính phủ và tổ chức giáo dục đã phát hiện các cuộc tấn công vào các dịch vụ mã hóa ở lớp ứng dụng. Tấn công lớp ứng dụng sử dụng lưu lượng truy cập rất khó phân biệt với lưu lượng người dùng chính hãng, thường yêu cầu phân tích giao dịch lớp ứng dụng thực tế để xác định các hoạt động liên quan đến cuộc tấn công. Cách tiếp cận của chúng ta đối với quy trình này phải thay đổi khi TLS 1.3 được chấp nhận.
Chia sẻ chìa khóa
Một cách tiếp cận là sử dụng dịch vụ mạng phân phối nội dung (CDN - content distribution network), vì chúng có thể có hiệu quả trong việc chống lại các cuộc tấn công lớp ứng dụng. Khi các dịch vụ được mã hóa đang được bảo vệ, điều này có nghĩa là chủ sở hữu dịch vụ bàn giao hoặc tạo các khóa riêng để sử dụng bởi nhà cung cấp bên thứ ba. Cho dù điều này xảy ra hay không, nhà cung cấp CDN sẽ chấm dứt và giải mã thông tin liên lạc của khách hàng trong môi trường của họ để kiểm tra. Điều này có thể cho phép họ giảm thiểu các cuộc tấn công DDoS vào lớp ứng dụng, nhưng những rủi ro khác xung quanh tính bảo mật vẫn còn tồn tại.
Đôi khi những rủi ro này được chấp nhận đối với khách hàng và chủ sở hữu dịch vụ cuối cùng và đôi khi không - dẫn đến tùy chọn thứ hai sử dụng proxy ngược trên mạng để thực hiện công việc.
Sử dụng proxy ngược là điều phổ biến cho việc cân bằng tải, và họ vốn đã cho phép việc kiểm tra lưu lượng truy cập. Trong một thế giới lý tưởng, proxy sẽ cung cấp một giải pháp bảo vệ DDoS từ xa để các máy chủ tấn công có thể được xác định và chặn, ngăn chặn các tài nguyên được tiêu thụ trên proxy vì chúng dễ bị phơi nhiễm bởi các cuộc tấn công trạng thái DDoS.
Các cuộc tấn công trạng thái nhắm vào khả năng của proxy để quản lý các phiên, và rất tiếc là rất phổ biến. Vấn đề này có thể dễ dàng được khắc phục bằng cách kết thúc trước proxy ngược với một giải pháp bảo vệ DDoS có thể xác định và chặn cả hai cuộc tấn công trạng thái và nhữn cuộc tấn công nhắm mục tiêu TLS.
Tuy nhiên, có một lựa chọn thứ ba - giải mã thụ động, minh bạch. Nhưng không phải chúng ta vừa nói TLS 1.3 đã khiến điều này trở nên không khả dụng? Khi được khởi động, giải mã thụ động vẫn khả dụng khi sử dụng mật mã Diffie-Helman tạm thời, như được sử dụng trong TLS 1.3, nếu các khóa tĩnh được sử dụng lại trong các phiên, được chia sẻ với các giải pháp bảo mật mạng thông qua nền tảng quản lý khóa và sau đó tái tục định kỳ. Cơ chế này cho phép giải mã trong suốt lưu lượng truy cập, để nhận dạng và ngăn chặn mối đe dọa, theo cách tương tự với các cơ chế TLS 1.3 hiện có trước.
Như với tất cả mọi điều về an ninh, các giải pháp khác nhau sẽ thu hút các tổ chức khác nhau dựa trên nhu cầu của họ, những khách hàng của họ và các yêu cầu pháp lý hiện hành. Tuy nhiên, với các cuộc tấn công DDoS lớp ứng dụng ngày càng trở nên phổ biến hơn, một giải pháp thích hợp phải được đặt đúng chỗ.
Mã hóa là điều cần thiết, và PFS chắc chắn cải thiện an ninh tổng thể của các tương tác của chúng ta với thế giới được kết nối, nhưng chúng ta phải xem xét và khắc phục tác động của nó đến các yếu tố khác trong ngăn xếp phòng thủ của chúng ta. Điều này yêu cầu chúng ta làm việc với các mạng công nghệ thông tin, mạng và bảo mật trong các tổ chức của mình để đảm bảo chúng ta triển khai các giải pháp thích hợp nhất cho doanh nghiệp của mình.