Outbound SSL/TLS decryption : Security impact of SSL/TLS interception
Korhonen, Joni (2019)
Korhonen, Joni
2019
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2019061216657
https://urn.fi/URN:NBN:fi:amk-2019061216657
Tiivistelmä
There is more SSL/TLS encrypted traffic than ever. SSL/TLS encryption is designed to provide confidentiality, integrity and authentication; however with encrypted traffic there comes a challenge how to effectively monitor and control the transferring applications and data. Encrypted traffic could include malicious content or a risk company’s business by e.g. leaking sensitive information. Decryption enhances security device’s functionalities by providing more clear text content.
The objective was to research how outbound SSL/TLS decryption can be implemented, what to consider when implementing the decryption and to research how the decryption affects the cyber security domain in a lab environment.
The research was based on qualitative research method executed on a controlled lab environment with different case studies. The research was conducted with different research scenarios including malware and data loss in which outbound SSL decryption was used. Decrypted traffic findings were analyzed to classify traffic content and to find out if it was malicious.
The results describe the key concepts around SSL decryption and what to consider when planning or implementing outbound SSL decryption. The results included findings on decrypted payload, applications and decryption performance.
Organizations should take a closer look on decrypting outbound SSL/TLS traffic to remove a possibly existing security blind spot and to obtain more realistic situational awareness of cyber security. With SSL decryption, companies are balancing between privacy and security; however privacy is not equal to security. SSL/TLS-salattua liikennettä on enemmän kuin koskaan. SSL/TLS-salaus on suunniteltu mahdollistamaan eheys, luotettavuus ja tunnistaminen, mutta salaus aiheuttaa myös haasteita. Liikenteen monitorointi, tietoturvakontrollien tehokkuus ja ympäristön realistisen tilannekuvan muodostaminen vaikeutuvat. Salatun liikenteen sisällä voi olla haitallista sisältöä tai riskejä yrityksen liiketoiminnalle. Salauksen purku tehostaa mahdollisesti olemassa olevien tietoturvalaitteiden toimintaa tarjoamalla enemmän salaamatonta sisältöä.
Tavoitteena oli tutkia, miten ulospäin suuntautuvan SSL/TLS-liikenteen purkaminen voidaan toteuttaa, mitä tulee ottaa huomioon purun käyttöönotossa ja miten liikenteen purkaminen vaikuttaa kyberturvallisuuteen testiympäristössä.
Tutkimus perustui laadulliseen tutkimusmenetelmään, joka toteutettiin kontrolloidussa testiympäristössä. Tutkimuksessa käytettiin useita kokeellisia testiskenaarioita, joissa testattiin SSL/TLS-purun konkreettisia vaikutuksia tietoturvakontrolleihin, monitorointiin, tilannekuvaan ja loppukäyttäjäkokemukseen. SSL/TLS-salattuja yhteyksiä käytettiin haittaohjelmien lataamiseen ja tiedon vuotamiseen ulos. Purettua liikennettä analysointiin, jotta saataisiin parempi käsitys, mitä sisältö oli ja oliko se haitallista.
Tutkimuksen tulokset auttavat ymmärtämään SSL/TLS-liikenteen purkamiseen liittyviä olennaisia teorioita ja käytännön asioita, jotka tulee ottaa huomioon purkamista käyttöönottaessa. Tuloksissa on analysoitu puretun liikenteen sisältöä ja purkamisen käyttöönoton yhteydessä tehtyjä huomioita.
Organisaatioiden tulisi tutustua tarkemmin SSL/TLS-liikenteen purkamiseen, jotta tietoturvan tilannekuvasta saadaan realistisempi ja tietoturvakontrollit tehostuvat.
The objective was to research how outbound SSL/TLS decryption can be implemented, what to consider when implementing the decryption and to research how the decryption affects the cyber security domain in a lab environment.
The research was based on qualitative research method executed on a controlled lab environment with different case studies. The research was conducted with different research scenarios including malware and data loss in which outbound SSL decryption was used. Decrypted traffic findings were analyzed to classify traffic content and to find out if it was malicious.
The results describe the key concepts around SSL decryption and what to consider when planning or implementing outbound SSL decryption. The results included findings on decrypted payload, applications and decryption performance.
Organizations should take a closer look on decrypting outbound SSL/TLS traffic to remove a possibly existing security blind spot and to obtain more realistic situational awareness of cyber security. With SSL decryption, companies are balancing between privacy and security; however privacy is not equal to security.
Tavoitteena oli tutkia, miten ulospäin suuntautuvan SSL/TLS-liikenteen purkaminen voidaan toteuttaa, mitä tulee ottaa huomioon purun käyttöönotossa ja miten liikenteen purkaminen vaikuttaa kyberturvallisuuteen testiympäristössä.
Tutkimus perustui laadulliseen tutkimusmenetelmään, joka toteutettiin kontrolloidussa testiympäristössä. Tutkimuksessa käytettiin useita kokeellisia testiskenaarioita, joissa testattiin SSL/TLS-purun konkreettisia vaikutuksia tietoturvakontrolleihin, monitorointiin, tilannekuvaan ja loppukäyttäjäkokemukseen. SSL/TLS-salattuja yhteyksiä käytettiin haittaohjelmien lataamiseen ja tiedon vuotamiseen ulos. Purettua liikennettä analysointiin, jotta saataisiin parempi käsitys, mitä sisältö oli ja oliko se haitallista.
Tutkimuksen tulokset auttavat ymmärtämään SSL/TLS-liikenteen purkamiseen liittyviä olennaisia teorioita ja käytännön asioita, jotka tulee ottaa huomioon purkamista käyttöönottaessa. Tuloksissa on analysoitu puretun liikenteen sisältöä ja purkamisen käyttöönoton yhteydessä tehtyjä huomioita.
Organisaatioiden tulisi tutustua tarkemmin SSL/TLS-liikenteen purkamiseen, jotta tietoturvan tilannekuvasta saadaan realistisempi ja tietoturvakontrollit tehostuvat.