O que é inspeção de HTTP?

A inspeção de tráfego pode ajudar as organizações a detectar malware, mas os riscos de segurança da inspeção HTTPS exigem uma consideração cuidadosa.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Descrever como funciona a inspeção HTTPS
  • Explicar como os invasores usam o HTTPS para disfarçar sua atividade
  • Entender as alternativas para mitigar o risco de ataque

Copiar o link do artigo

O que é inspeção de HTTP?

A inspeção HTTPS é o processo de verificação de tráfego da web criptografado usando a mesma técnica de um ataque de invasores intermediários na conexão de rede. Esse é um recurso de alguns dispositivos de rede corporativa, firewalls e produtos de gerenciamento de ameaças.

Uma organização pode querer inspecionar o tráfego HTTPS para procurar por malware, identificar tentativas de exfiltração de dados e bloquear o acesso a sites específicos. O malware representa uma preocupação de segurança porque pode paralisar as operações de negócios, roubar dados ou tornar os arquivos inacessíveis.

A inspeção HTTPS tem muitos nomes, incluindo inspeção SSL, inspeção TLS, quebra e inspeção de TLS e interceptação HTTPS.

Como funciona a inspeção HTTPS?

Quando uma organização usa a inspeção HTTPS para se proteger contra malware, ela emprega um produto que configura duas conexões criptografadas separadas e personifica o cliente e o servidor. O produto procura por ameaças maliciosas para bloquear, tudo sem deixar o cliente saber que não há uma conexão validada de ponta a ponta.

Como exemplo, imagine que um aluno está passando um bilhete para um amigo na sala de aula sem perceber que a pessoa sentada entre eles pode ler o conteúdo da mensagem. Nesse cenário, o remetente acredita que o bilhete está lacrado em trânsito, sem perceber que pode ser aberto e fechado sem nenhum sinal óbvio. No entanto, a inspeção HTTPS difere deste exemplo em um aspecto importante — o remetente não tem conhecimento nem mesmo da presença de um intermediário.

Normalmente, quando um site usa TLS, o dispositivo cliente (computador ou smartphone do usuário) se conecta diretamente ao servidor que hospeda o site e configura uma conexão criptografada. Uma vez que a conexão criptografada é estabelecida, o tráfego entre o cliente e o servidor é completamente criptografado e ninguém no meio pode visualizar o tráfego.

Durante a inspeção HTTPS, o produto configura duas conexões SSL — uma para o servidor e outra para o cliente. Do ponto de vista do cliente, ele está se conectando diretamente ao servidor sem intermediário. O tráfego é redirecionado para o produto de inspeção, que se passa pelo site. O produto tem a capacidade de visualizar, alterar e bloquear o conteúdo.

Como o tráfego seguro pode entregar malware?

Nos primeiros dias da internet, o tráfego era enviado por HTTP em texto não criptografado. Isso significa que nada foi criptografado e se alguém interceptasse o tráfego, todos os seus dados seriam expostos.

Com o HTTPS — a versão segura do HTTP — o tráfego é criptografado. O cliente e o servidor passam por um processo de comunicação de ida e volta para estabelecer uma conexão segura.

O HTTPS protege o tráfego da internet de ser monitorado por partes não autorizadas. No entanto, também pode ajudar os agentes mal intencionados a esconder seus rastros. O HTTPS criptografa e oculta todos os tipos de dados, sejam dados bancários de uma pessoa ou malware de um invasor.

O ícone de cadeado de um navegador em uma conexão HTTPS significa que os dados entre um usuário e um servidor são criptografados, não que tudo sobre o site esteja protegido contra ataques ou espionagem. Um site administrado por uma empresa confiável, como uma instituição financeira, pode ter uma falha de segurança e, sem saber, representar uma ameaça aos usuários. Por outro lado, um invasor pode configurar um site malicioso que parece ser seguro porque possui um certificado SSL e criptografa o tráfego.

Quais são os riscos da inspeção HTTPS?

Se feita incorretamente, a inspeção HTTPS pode criar vulnerabilidades de segurança. Para o tráfego normal e não inspecionado, um navegador pode validar a conexão de ponta a ponta — verificar se o certificado é válido garante que o cliente esteja se comunicando com o servidor que possui o domínio.

Ao interromper esse processo, a inspeção pode apresentar vários problemas se não forem tomados os devidos cuidados:

  • a criptografia pós-inspeção pode ser menos segura, principalmente se o produto de inspeção não usar os padrões criptográficos atuais
  • alguns produtos de inspeção não validam corretamente as cadeias de certificados, o que aumenta a chance de um ataque de invasores intermediários separado vindo de um criminoso
  • Embora os navegadores sejam atualizados com frequência e automaticamente para abordar novos problemas de segurança, o produto de inspeção pode estar atrasado em relação às práticas recomendadas de segurança, como suporte para a versão mais recente do protocolo transport layer security (TLS).

Quais são os benefícios da inspeção HTTPS?

A inspeção HTTPS fornece:

  • Maior visibilidade do tráfego de rede e possíveis riscos
  • Maior chance de bloquear ataques maliciosos na rede de uma organização
  • Maior capacidade de aplicar as políticas de segurança da empresa

Quais são as alternativas à inspeção HTTPS?

Não existe um único método amplamente aceito para combater malware oculto no tráfego HTTPS. Algumas medidas que podem ajudar incluem:

  • usar firewalls que inspecionam certificados de segurança sem quebrar a criptografia para identificar comportamentos suspeitos
  • lidar com riscos decorrentes de funcionários na origem, como limitar sua capacidade de baixar software não aprovado e melhorar o monitoramento dos endpoints
  • ajustar regras de inspeção profunda de pacotes em um firewall
  • empregar filtragem de DNS e um gateway seguro da web para bloquear conexões com sites ou servidores inseguros
  • usar isolamento do navegador para limitar a atividade de navegação em um ambiente seguro e impedir que um código não seguro seja executado dentro da rede

Saiba como o Gateway da Cloudflare bloqueia malware e outros riscos enquanto fornece monitoramento de tráfego quase em tempo real.