Содержание |
SSLSplitter – программный продукт для расшифровки SSL-трафика, созданный в партнерстве компаний Microolap Technologies и ArtX.
Принцип работы
SSLSplitter устанавливается "в разрыв" сети на периметре организации, проксируя весь сетевой трафик. Находя в сетевых соединениях начало SSL-сессии, SSLSplitter для всех таких соединений выполняет подмену сертификатов (Man-in-the-Middle), представляясь клиенту соединения сервером, а серверу клиентом. Таким образом, SSLSplitter видит все данные SSL-соединений в нешифрованном виде. Для нахождения начала SSL-соединения внутри сессии используется сигнатура, что позволяет расшифровывать трафик вне зависимости от сетевого порта сервера соединения. Все нешифрованные соединения пропускаются без изменений.
Результатом работы SSLSplitter является одна или более копий расшифрованного сетевого трафика, направленные в Mirror-интерфейсы, к которым подключаются системы для анализа расшифрованных сетевых соединений.
Для подмены сертификатов SSLSplitter может использовать как самоподписанный сертификат, так и выпущенный в удостоверяющем центре. В любом случае, на устройствах пользователей, трафик которых расшифровывает SSLSplitter, в доверенных корневых центрах сертификации должен быть установлен либо сам сертификат SSLSplitter, либо сертификат удостоверяющего центра, использовавшийся для выпуска сертификата SSLSplitter.
SSLSplitter поддерживает работу в двух режимах:
- Прозрачный режим (Bridge) - в этом режиме SSLSplitter функционирует на уровне L2 сетевой модели OSI, являясь невидимым для пользовательской сети.
- Режим шлюза (Router) - в этом режиме SSLSplitter функционирует на уровне L3 сетевой модели OSI, являясь шлюзом для пользовательской сети, то есть явно указывается в сетевых настройках пользователей в качестве сетевого шлюза.
В SSLSplitter разработан механизм исключений, позволяющий пропускать без изменений и расшифровки соединения к интернет-сервисам, которые не требуется контролировать. Таким образом решаются следующие задачи:
- Исключение пользователей, трафик которых не требуется расшифровывать;
- Исключение веб-сервисов, трафик которых не нужно или нельзя расшифровывать, таких как:
- интернет-клиенты банков;
- веб-интерфейсы различных систем, в том числе использующих шифрование при помощи токен-ключей;
- интернет-сервисы, клиенты которых используют жестко прописанный в приложение сертификат сервера (certificate pinning).
Исключения прописываются как по IP-адресам клиентов и серверов, так и по интернет-доменам. Также для упрощения работы с исключениями поддерживаются wildcard-синтаксис, например, "*.domain.com".
В SSLSplitter также имеется настройка автоисключений (auto-bypass) – возможность автоматически заносить во временные исключения соединения, которые не смогли установиться определенное количество раз за заданный промежуток времени. Автоисключения хранятся заданное в настройках время, за которое администратор может либо перевести их в постоянные, либо сообщить разработчикам о проблеме с требованием ее решения. Данный функционал значительно упрощает процесс интеграции SSLSplitter за счет минимизации рисков выхода из строя бизнес-приложений.
Особенности решения
- Расшифровка любых протоколов, использующих SSL/TLS-шифрование;
- Определение SSL/TLS-шифрования по сигнатурам, а не по номеру порта;
- Отсутствие навязанного функционала, только решение задачи расшифровки SSL/TLS-трафика;
- Поддержка сред виртуализации;
- Поддержка всех современных алгоритмов шифрования, в том числе ГОСТ;
- Масштабируемость и отказоустойчивость;
- Работа в режимах L2 (bridge) и L3 (router);
- Microolap Technologies осуществляет прямую техподдержку пользователей и партнёров на русском и английском языках.
Сферы применения
Задача вскрытия SSL/TLS-соединений естественным образом возникает во многих ИТ-сферах, где требуется контроль трафика или его изменение в режиме реального времени.
Microolap SSLSplitter не имеет жёсткой зависимости от экосистемы какого-либо производителя программного обеспечения (в том числе и других продуктов Microolap) или аппаратной платформы – отсутствует vendor-lock. Поэтому Microolap SSLSplitter может использоваться с любыми смежными системами, которым требуется решение задачи вскрытия SSL/TLS-соединений.
Далее два примера из реальной практики.
DLP-решения
При интеграции с DLP-решениями службам ИБ возвращается контроль над зашифрованным трафиком, которого в корпоративной среде насчитывается по разным оценкам от 50% до 75%. Например, контроль мессенджеров (Skype, [[Google Hangouts, Mail.Ru Агент, ICQ и пр.), контроль веб-почты, социальных сетей, облачных сервисов (OneDrive, Google Drive, iCloud, Яндекс Диск и пр.), сервисов обмена файлами (FTPS-серверы, файлообменники и пр.), обнаружение использования проксирующих решений, контроль несанкционированных каналов личной электронной почты (протоколы IMAP4S, SMTPS, POP3S, MAPI, NRPC).
DPI-решения
При интеграции с DPI-решениями позволяет операторам сотовой связи решать задачи приоритизации SSL/TLS-трафика, а также использовать кеширование и модификацию данных внутри SSL-соединений (будет доступно в новой версии, релиз назначен на начало 2018 года).
Подрядчики-лидеры по количеству проектов
Интеллектуальная безопасность ГК (бренд Security Vision) (92)
Positive Technologies (Позитив Текнолоджиз) (23)
SearchInform (СёрчИнформ) (16)
Инфосистемы Джет (16)
Softline (Софтлайн) (14)
Другие (139)
Интеллектуальная безопасность ГК (бренд Security Vision) (6)
R-Vision (Р-Вижн) (3)
Softline (Софтлайн) (3)
Инфосекьюрити (Infosecurity) (2)
Инфосистемы Джет (2)
Другие (10)
Интеллектуальная безопасность ГК (бренд Security Vision) (13)
Positive Technologies (Позитив Текнолоджиз) (6)
CyberOK (СайберОК) (4)
InnoSTage (Инностейдж) (4)
Уральский центр систем безопасности (УЦСБ) (2)
Другие (11)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Интеллектуальная безопасность ГК (бренд Security Vision) (13, 92)
Positive Technologies (Позитив Текнолоджиз) (17, 39)
SearchInform (СёрчИнформ) (2, 17)
Лаборатория Касперского (Kaspersky) (8, 13)
Micro Focus (5, 13)
Другие (274, 109)
Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
R-Vision (Р-Вижн) (1, 3)
Инфосекьюрити (Infosecurity) (2, 2)
IBM (2, 2)
Другие (7, 8)
Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13)
InnoSTage (Инностейдж) (2, 4)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
SearchInform (СёрчИнформ) (1, 2)
Уральский центр систем безопасности (УЦСБ) (1, 2)
Другие (5, 5)
Лаборатория Касперского (Kaspersky) (3, 3)
SearchInform (СёрчИнформ) (1, 3)
Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2)
Киберполигон (1, 1)
Мобильные ТелеСистемы (МТС) (1, 1)
Другие (9, 9)
SearchInform (СёрчИнформ) (1, 9)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Перспективный мониторинг (1, 3)
Лаборатория Касперского (Kaspersky) (3, 2)
Русием (RuSIEM) (1, 1)
Другие (6, 6)
Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 91 (0, 91)
MaxPatrol SIEM - 33 (33, 0)
СёрчИнформ SIEM - 17 (17, 0)
HPE ArcSight ESM (Security Information and Event Management, SIEM) - 12 (11, 1)
R‑Vision SOAR (ранее R-Vision IRP) - 10 (10, 0)
Другие 19
Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 6 (0, 6)
R‑Vision SOAR (ранее R-Vision IRP) - 3 (3, 0)
Ngenix Облачная платформа - 2 (2, 0)
MaxPatrol SIEM - 2 (2, 0)
Varonis Data Security Platform - 1 (1, 0)
Другие 3
Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 15 (0, 15)
CyberART Сервисная служба киберзащиты - 4 (4, 0)
Innostage SOAR (ранее Innostage IRP) - 4 (4, 0)
УЦСБ: DATAPK - 2 (2, 0)
MaxPatrol SIEM - 2 (2, 0)
Другие -7
СёрчИнформ SIEM - 3 (3, 0)
Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 2 (0, 2)
Киберполигон Мультифункциональный программно-аппаратный комплекс для проведения киберучений - 1 (1, 0)
Spacebit X-Config Решение для управления уязвимостями конфигураций - 1 (1, 0)
Kaspersky Unified Monitoring and Analysis Platform (KUMA) - 1 (1, 0)
Другие 8
СёрчИнформ SIEM - 9 (9, 0)
Positive Technologies: MaxPatrol VM (Vulnerability Management) - 3 (3, 0)
Перспективный мониторинг: Ampire Киберполигон - 3 (3, 0)
MaxPatrol SIEM - 2 (2, 0)
Security Vision Next Generation SOAR (NG SOAR) - 1 (1, 0)
Другие 9
Подрядчики-лидеры по количеству проектов
Глобус-телеком (17)
Softline (Софтлайн) (11)
Т1 Интеграция (ранее Техносерв) (8)
NetWrix Corporation (8)
Инфосистемы Джет (7)
Другие (199)
Крок (2)
Инфосистемы Джет (2)
Программируемые Сети (Brain4Net) (1)
Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (1)
CDW Government (1)
Другие (9)