Содержание |
SSLSplitter – программный продукт для расшифровки SSL-трафика, созданный в партнерстве компаний Microolap Technologies и ArtX.
Принцип работы
SSLSplitter устанавливается "в разрыв" сети на периметре организации, проксируя весь сетевой трафик. Находя в сетевых соединениях начало SSL-сессии, SSLSplitter для всех таких соединений выполняет подмену сертификатов (Man-in-the-Middle), представляясь клиенту соединения сервером, а серверу клиентом. Таким образом, SSLSplitter видит все данные SSL-соединений в нешифрованном виде. Для нахождения начала SSL-соединения внутри сессии используется сигнатура, что позволяет расшифровывать трафик вне зависимости от сетевого порта сервера соединения. Все нешифрованные соединения пропускаются без изменений.
Результатом работы SSLSplitter является одна или более копий расшифрованного сетевого трафика, направленные в Mirror-интерфейсы, к которым подключаются системы для анализа расшифрованных сетевых соединений.
Для подмены сертификатов SSLSplitter может использовать как самоподписанный сертификат, так и выпущенный в удостоверяющем центре. В любом случае, на устройствах пользователей, трафик которых расшифровывает SSLSplitter, в доверенных корневых центрах сертификации должен быть установлен либо сам сертификат SSLSplitter, либо сертификат удостоверяющего центра, использовавшийся для выпуска сертификата SSLSplitter.TAdviser выпустил Гид по российским операционным системам
SSLSplitter поддерживает работу в двух режимах:
- Прозрачный режим (Bridge) - в этом режиме SSLSplitter функционирует на уровне L2 сетевой модели OSI, являясь невидимым для пользовательской сети.
- Режим шлюза (Router) - в этом режиме SSLSplitter функционирует на уровне L3 сетевой модели OSI, являясь шлюзом для пользовательской сети, то есть явно указывается в сетевых настройках пользователей в качестве сетевого шлюза.
В SSLSplitter разработан механизм исключений, позволяющий пропускать без изменений и расшифровки соединения к интернет-сервисам, которые не требуется контролировать. Таким образом решаются следующие задачи:
- Исключение пользователей, трафик которых не требуется расшифровывать;
- Исключение веб-сервисов, трафик которых не нужно или нельзя расшифровывать, таких как:
- интернет-клиенты банков;
- веб-интерфейсы различных систем, в том числе использующих шифрование при помощи токен-ключей;
- интернет-сервисы, клиенты которых используют жестко прописанный в приложение сертификат сервера (certificate pinning).
Исключения прописываются как по IP-адресам клиентов и серверов, так и по интернет-доменам. Также для упрощения работы с исключениями поддерживаются wildcard-синтаксис, например, "*.domain.com".
В SSLSplitter также имеется настройка автоисключений (auto-bypass) – возможность автоматически заносить во временные исключения соединения, которые не смогли установиться определенное количество раз за заданный промежуток времени. Автоисключения хранятся заданное в настройках время, за которое администратор может либо перевести их в постоянные, либо сообщить разработчикам о проблеме с требованием ее решения. Данный функционал значительно упрощает процесс интеграции SSLSplitter за счет минимизации рисков выхода из строя бизнес-приложений.
Особенности решения
- Расшифровка любых протоколов, использующих SSL/TLS-шифрование;
- Определение SSL/TLS-шифрования по сигнатурам, а не по номеру порта;
- Отсутствие навязанного функционала, только решение задачи расшифровки SSL/TLS-трафика;
- Поддержка сред виртуализации;
- Поддержка всех современных алгоритмов шифрования, в том числе ГОСТ;
- Масштабируемость и отказоустойчивость;
- Работа в режимах L2 (bridge) и L3 (router);
- Microolap Technologies осуществляет прямую техподдержку пользователей и партнёров на русском и английском языках.
Сферы применения
Задача вскрытия SSL/TLS-соединений естественным образом возникает во многих ИТ-сферах, где требуется контроль трафика или его изменение в режиме реального времени.
Microolap SSLSplitter не имеет жёсткой зависимости от экосистемы какого-либо производителя программного обеспечения (в том числе и других продуктов Microolap) или аппаратной платформы – отсутствует vendor-lock. Поэтому Microolap SSLSplitter может использоваться с любыми смежными системами, которым требуется решение задачи вскрытия SSL/TLS-соединений.
Далее два примера из реальной практики.
DLP-решения
При интеграции с DLP-решениями службам ИБ возвращается контроль над зашифрованным трафиком, которого в корпоративной среде насчитывается по разным оценкам от 50% до 75%. Например, контроль мессенджеров (Skype, [[Google Hangouts, Mail.Ru Агент, ICQ и пр.), контроль веб-почты, социальных сетей, облачных сервисов (OneDrive, Google Drive, iCloud, Яндекс Диск и пр.), сервисов обмена файлами (FTPS-серверы, файлообменники и пр.), обнаружение использования проксирующих решений, контроль несанкционированных каналов личной электронной почты (протоколы IMAP4S, SMTPS, POP3S, MAPI, NRPC).
DPI-решения
При интеграции с DPI-решениями позволяет операторам сотовой связи решать задачи приоритизации SSL/TLS-трафика, а также использовать кеширование и модификацию данных внутри SSL-соединений (будет доступно в новой версии, релиз назначен на начало 2018 года).
Подрядчики-лидеры по количеству проектов
Интеллектуальная безопасность ГК (бренд Security Vision) (92)
Positive Technologies (Позитив Текнолоджиз) (23)
Инфосистемы Джет (16)
SearchInform (СёрчИнформ) (16)
Softline (Софтлайн) (14)
Другие (140)
Интеллектуальная безопасность ГК (бренд Security Vision) (6)
R-Vision (Р-Вижн) (3)
Softline (Софтлайн) (3)
Инфосистемы Джет (2)
Ngenix (Современные сетевые технологии, ССТ) (2)
Другие (10)
Интеллектуальная безопасность ГК (бренд Security Vision) (13)
Positive Technologies (Позитив Текнолоджиз) (6)
CyberOK (СайберОК) (4)
InnoSTage (Инностейдж) (4)
Уральский центр систем безопасности (УЦСБ) (2)
Другие (11)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Интеллектуальная безопасность ГК (бренд Security Vision) (13, 92)
Positive Technologies (Позитив Текнолоджиз) (17, 39)
SearchInform (СёрчИнформ) (2, 17)
Лаборатория Касперского (Kaspersky) (8, 13)
Micro Focus (5, 13)
Другие (276, 110)
Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
R-Vision (Р-Вижн) (1, 3)
Инфосекьюрити (Infosecurity) (2, 2)
IBM (2, 2)
Другие (7, 8)
Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13)
InnoSTage (Инностейдж) (2, 4)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
Уральский центр систем безопасности (УЦСБ) (1, 2)
SearchInform (СёрчИнформ) (1, 2)
Другие (5, 5)
Лаборатория Касперского (Kaspersky) (3, 3)
SearchInform (СёрчИнформ) (1, 3)
Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2)
Инфосистемы Джет (1, 1)
МТС RED (Серенити Сайбер Секьюрити) ранее МТС Кибербезопасность (1, 1)
Другие (9, 9)
SearchInform (СёрчИнформ) (1, 9)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Перспективный мониторинг (1, 3)
Лаборатория Касперского (Kaspersky) (3, 2)
Русием (RuSIEM) (1, 2)
Другие (6, 6)
Распределение систем по количеству проектов, не включая партнерские решения
Security Vision Security Operation Center (SOC) - 37
MaxPatrol SIEM - 33
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 28
СёрчИнформ SIEM - 17
HPE ArcSight ESM (Security Information and Event Management, SIEM) - 11
Другие 155
R‑Vision SOAR (ранее R-Vision IRP) - 3
MaxPatrol SIEM - 2
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2
Ngenix Облачная платформа - 2
Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 2
Другие 13
Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 9
Innostage SOAR (ранее Innostage IRP) - 4
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 4
CyberART Сервисная служба киберзащиты - 4
УЦСБ: DATAPK - 2
Другие 13
СёрчИнформ SIEM - 3
Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2
Spacebit X-Config Решение для управления уязвимостями конфигураций - 1
Киберполигон Мультифункциональный программно-аппаратный комплекс для проведения киберучений - 1
R-Vision Threat Intelligence Platform (TIP) - 1
Другие 11
Подрядчики-лидеры по количеству проектов
Глобус-телеком (17)
Softline (Софтлайн) (11)
Т1 Интеграция (ранее Техносерв) (8)
NetWrix Corporation (8)
Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (7)
Другие (199)
Инфосистемы Джет (2)
Крок (2)
Программируемые Сети (Brain4Net) (1)
Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (1)
CDW Government (1)
Другие (9)