Analýza šifrované komunikace (Encrypted Traffic Analysis, ETA) je metoda posouzení zabezpečených síťových spojení umožňující detekci malware, nebezpečného či nechtěného SSL provozu a zajištění souladu s předpisy.
Spustit demo99 % IT profesionálů považuje šifrovaný provoz za zdroj bezpečnostních rizik. Odhalte rizika skrývající se v SSL/TLS provozu. Bez narušení soukromí komunikace a dopadu na výkon infrastruktury.
Je vysoce škálovatelná, umožňuje monitorovat velký objem provozu, nedegraduje výkon infrastruktury a nedešifruje provoz, tudíž zachovává soukromí.
Pomocí pasivních síťových sond (NetFlow/IPFIX exportérů) Flowmon sbírá metadata síťového provozu a obohacuje je o další informace, včetně těch z protokolu TLS. Atributy šifrovaného spojení mezi klientem a serverem jsou dostupné bez ohledu na fyzické umístění klienta i to, zda je server provozován v datacentru nebo v cloudu.
Široké spektrum takto získaných informací lze využít pro identifikaci neaktuálních SSL certifikátů, certifikátů nekompatibilních s vnitřními politikami firmy, pro posouzení síly šifrování a odhalení starších TLS verzí obsahujících chyby či zranitelnosti. Pro detekci malware i dalších hrozeb v šifrovaném provozu řešení využívá strojového učení a pokročilé technologie pro analýzu chování a detekci anomálií.This approach does not violate privacy, nor does it degrade performance. It provides insightful analytics regardless of the volume. Moreover, since the data is stored in an aggregated form, it saves a considerable amount of storage space without impeding information fidelity.
Data jsou uchovávána v agregované podobě, což významně snižuje požadavky na storage, a to bez vlivu na přesnost získaných informací.
Analýza JA3 otisků je jeden z nejjednodušších způsobů, jak detekovat malware a zpracovat tzv. indikátory kompromitace (IoC) značící možné riziko. JA3 otisk je unikátní identifikátor založený na kombinaci pět parametrů SSL/TLS komunikace - verze, šifry, rozšíření, eliptické křivky a jejích formátů - na základě kterých je vytvořen MD5 hash. Tyto informace jsou dostačující k identifikaci řady klientů, například "e7d705a3286e19ea42f587b344ee6865" je JA3 otisk pro standardního TOR klienta.
TLS JA3 Fingerprint záznam ve Flowmonu
Jelikož JA3 detekuje přímo klientskou aplikaci, lze malware odhalit již na základě toho, jak komunikuje, namísto toho, pomocí čeho komunikuje. Díky tomu může Flowmon, ve spolupráci s veřejně dostupnými databázemi JA3 otisků odhalit případné hrozby již na základě specifických otisků JA3 v šifrované komunikaci. Metoda JA3 je důležitou součástí analýzy šifrovaného provozu, pro více informací navštivte náš blog.
Prozkoumejte plně interaktivní demo řešení a vyzkoušejte, co vás zajímá.
Živé demo