A inspeção de tráfego pode ajudar as organizações a detectar malware, mas os riscos de segurança da inspeção HTTPS exigem uma consideração cuidadosa.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Segurança de aplicativos web?
O que é uma violação de dados?
O que é Meltdown/Spectre?
Firewall
Ataque on-path
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
A inspeção HTTPS é o processo de verificação de tráfego da web criptografado usando a mesma técnica de um ataque de invasores intermediários na conexão de rede. Esse é um recurso de alguns dispositivos de rede corporativa, firewalls e produtos de gerenciamento de ameaças.
Uma organização pode querer inspecionar o tráfego HTTPS para procurar por malware, identificar tentativas de exfiltração de dados e bloquear o acesso a sites específicos. O malware representa uma preocupação de segurança porque pode paralisar as operações de negócios, roubar dados ou tornar os arquivos inacessíveis.
A inspeção HTTPS tem muitos nomes, incluindo inspeção SSL, inspeção TLS, quebra e inspeção de TLS e interceptação HTTPS.
Quando uma organização usa a inspeção HTTPS para se proteger contra malware, ela emprega um produto que configura duas conexões criptografadas separadas e personifica o cliente e o servidor. O produto procura por ameaças maliciosas para bloquear, tudo sem deixar o cliente saber que não há uma conexão validada de ponta a ponta.
Como exemplo, imagine que um aluno está passando um bilhete para um amigo na sala de aula sem perceber que a pessoa sentada entre eles pode ler o conteúdo da mensagem. Nesse cenário, o remetente acredita que o bilhete está lacrado em trânsito, sem perceber que pode ser aberto e fechado sem nenhum sinal óbvio. No entanto, a inspeção HTTPS difere deste exemplo em um aspecto importante — o remetente não tem conhecimento nem mesmo da presença de um intermediário.
Normalmente, quando um site usa TLS, o dispositivo cliente (computador ou smartphone do usuário) se conecta diretamente ao servidor que hospeda o site e configura uma conexão criptografada. Uma vez que a conexão criptografada é estabelecida, o tráfego entre o cliente e o servidor é completamente criptografado e ninguém no meio pode visualizar o tráfego.
Durante a inspeção HTTPS, o produto configura duas conexões SSL — uma para o servidor e outra para o cliente. Do ponto de vista do cliente, ele está se conectando diretamente ao servidor sem intermediário. O tráfego é redirecionado para o produto de inspeção, que se passa pelo site. O produto tem a capacidade de visualizar, alterar e bloquear o conteúdo.
Nos primeiros dias da internet, o tráfego era enviado por HTTP em texto não criptografado. Isso significa que nada foi criptografado e se alguém interceptasse o tráfego, todos os seus dados seriam expostos.
Com o HTTPS — a versão segura do HTTP — o tráfego é criptografado. O cliente e o servidor passam por um processo de comunicação de ida e volta para estabelecer uma conexão segura.
O HTTPS protege o tráfego da internet de ser monitorado por partes não autorizadas. No entanto, também pode ajudar os agentes mal intencionados a esconder seus rastros. O HTTPS criptografa e oculta todos os tipos de dados, sejam dados bancários de uma pessoa ou malware de um invasor.
O ícone de cadeado de um navegador em uma conexão HTTPS significa que os dados entre um usuário e um servidor são criptografados, não que tudo sobre o site esteja protegido contra ataques ou espionagem. Um site administrado por uma empresa confiável, como uma instituição financeira, pode ter uma falha de segurança e, sem saber, representar uma ameaça aos usuários. Por outro lado, um invasor pode configurar um site malicioso que parece ser seguro porque possui um certificado SSL e criptografa o tráfego.
Se feita incorretamente, a inspeção HTTPS pode criar vulnerabilidades de segurança. Para o tráfego normal e não inspecionado, um navegador pode validar a conexão de ponta a ponta — verificar se o certificado é válido garante que o cliente esteja se comunicando com o servidor que possui o domínio.
Ao interromper esse processo, a inspeção pode apresentar vários problemas se não forem tomados os devidos cuidados:
A inspeção HTTPS fornece:
Não existe um único método amplamente aceito para combater malware oculto no tráfego HTTPS. Algumas medidas que podem ajudar incluem:
Saiba como o Cloudflare Gateway bloqueia malware e outros riscos enquanto fornece monitoramento de tráfego quase em tempo real.