SSLSplitter

Продукт
Разработчики: Microolap Technologies(Микроолап Текнолоджис)
Технологии: Network Health Monitoring - Мониторинг сети или управление здоровьем-производительностью ИТ-Инфраструктуры,  ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Содержание

SSLSplitter – программный продукт для расшифровки SSL-трафика, созданный в партнерстве компаний Microolap Technologies и ArtX.

Принцип работы

SSLSplitter устанавливается "в разрыв" сети на периметре организации, проксируя весь сетевой трафик. Находя в сетевых соединениях начало SSL-сессии, SSLSplitter для всех таких соединений выполняет подмену сертификатов (Man-in-the-Middle), представляясь клиенту соединения сервером, а серверу клиентом. Таким образом, SSLSplitter видит все данные SSL-соединений в нешифрованном виде. Для нахождения начала SSL-соединения внутри сессии используется сигнатура, что позволяет расшифровывать трафик вне зависимости от сетевого порта сервера соединения. Все нешифрованные соединения пропускаются без изменений.

Результатом работы SSLSplitter является одна или более копий расшифрованного сетевого трафика, направленные в Mirror-интерфейсы, к которым подключаются системы для анализа расшифрованных сетевых соединений.

Для подмены сертификатов SSLSplitter может использовать как самоподписанный сертификат, так и выпущенный в удостоверяющем центре. В любом случае, на устройствах пользователей, трафик которых расшифровывает SSLSplitter, в доверенных корневых центрах сертификации должен быть установлен либо сам сертификат SSLSplitter, либо сертификат удостоверяющего центра, использовавшийся для выпуска сертификата SSLSplitter.Российский рынок облачных ИБ-сервисов только формируется 2.6 т

SSLSplitter поддерживает работу в двух режимах:

  • Прозрачный режим (Bridge) - в этом режиме SSLSplitter функционирует на уровне L2 сетевой модели OSI, являясь невидимым для пользовательской сети.
  • Режим шлюза (Router) - в этом режиме SSLSplitter функционирует на уровне L3 сетевой модели OSI, являясь шлюзом для пользовательской сети, то есть явно указывается в сетевых настройках пользователей в качестве сетевого шлюза.

В SSLSplitter разработан механизм исключений, позволяющий пропускать без изменений и расшифровки соединения к интернет-сервисам, которые не требуется контролировать. Таким образом решаются следующие задачи:

  • Исключение пользователей, трафик которых не требуется расшифровывать;
  • Исключение веб-сервисов, трафик которых не нужно или нельзя расшифровывать, таких как:
    • интернет-клиенты банков;
    • веб-интерфейсы различных систем, в том числе использующих шифрование при помощи токен-ключей;
    • интернет-сервисы, клиенты которых используют жестко прописанный в приложение сертификат сервера (certificate pinning).

Исключения прописываются как по IP-адресам клиентов и серверов, так и по интернет-доменам. Также для упрощения работы с исключениями поддерживаются wildcard-синтаксис, например, "*.domain.com".

В SSLSplitter также имеется настройка автоисключений (auto-bypass) – возможность автоматически заносить во временные исключения соединения, которые не смогли установиться определенное количество раз за заданный промежуток времени. Автоисключения хранятся заданное в настройках время, за которое администратор может либо перевести их в постоянные, либо сообщить разработчикам о проблеме с требованием ее решения. Данный функционал значительно упрощает процесс интеграции SSLSplitter за счет минимизации рисков выхода из строя бизнес-приложений.

Особенности решения

  • Расшифровка любых протоколов, использующих SSL/TLS-шифрование;
  • Определение SSL/TLS-шифрования по сигнатурам, а не по номеру порта;
  • Отсутствие навязанного функционала, только решение задачи расшифровки SSL/TLS-трафика;
  • Поддержка сред виртуализации;
  • Поддержка всех современных алгоритмов шифрования, в том числе ГОСТ;
  • Масштабируемость и отказоустойчивость;
  • Работа в режимах L2 (bridge) и L3 (router);
  • Microolap Technologies осуществляет прямую техподдержку пользователей и партнёров на русском и английском языках.

Сферы применения

Задача вскрытия SSL/TLS-соединений естественным образом возникает во многих ИТ-сферах, где требуется контроль трафика или его изменение в режиме реального времени.

Microolap SSLSplitter не имеет жёсткой зависимости от экосистемы какого-либо производителя программного обеспечения (в том числе и других продуктов Microolap) или аппаратной платформы – отсутствует vendor-lock. Поэтому Microolap SSLSplitter может использоваться с любыми смежными системами, которым требуется решение задачи вскрытия SSL/TLS-соединений.

Далее два примера из реальной практики.

DLP-решения

При интеграции с DLP-решениями службам ИБ возвращается контроль над зашифрованным трафиком, которого в корпоративной среде насчитывается по разным оценкам от 50% до 75%. Например, контроль мессенджеров (Skype, [[Google Hangouts, Mail.Ru Агент, ICQ и пр.), контроль веб-почты, социальных сетей, облачных сервисов (OneDrive, Google Drive, iCloud, Яндекс Диск и пр.), сервисов обмена файлами (FTPS-серверы, файлообменники и пр.), обнаружение использования проксирующих решений, контроль несанкционированных каналов личной электронной почты (протоколы IMAP4S, SMTPS, POP3S, MAPI, NRPC).

DPI-решения

При интеграции с DPI-решениями позволяет операторам сотовой связи решать задачи приоритизации SSL/TLS-трафика, а также использовать кеширование и модификацию данных внутри SSL-соединений (будет доступно в новой версии, релиз назначен на начало 2018 года).



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Интеллектуальная безопасность ГК (бренд Security Vision) (92)
  Positive Technologies (Позитив Текнолоджиз) (24)
  SearchInform (СёрчИнформ) (16)
  Инфосистемы Джет (16)
  Softline (Софтлайн) (15)
  Другие (144)

  Интеллектуальная безопасность ГК (бренд Security Vision) (6)
  R-Vision (Р-Вижн) (3)
  Softline (Софтлайн) (3)
  Инфосекьюрити (Infosecurity) (2)
  Инфосистемы Джет (2)
  Другие (10)

  Интеллектуальная безопасность ГК (бренд Security Vision) (13)
  Positive Technologies (Позитив Текнолоджиз) (6)
  CyberOK (СайберОК) (4)
  InnoSTage (Инностейдж) (4)
  SearchInform (СёрчИнформ) (2)
  Другие (11)

  SearchInform (СёрчИнформ) (3)
  RED Security, Прикладная техника (ранее МТС RED, Серенити сайбер секьюрити) (2)
  Softline (Софтлайн) (2)
  Интеллектуальная безопасность ГК (бренд Security Vision) (2)
  Лаборатория Касперского (Kaspersky) (2)
  Другие (12)

  SearchInform (СёрчИнформ) (8)
  Softline (Софтлайн) (6)
  Positive Technologies (Позитив Текнолоджиз) (4)
  Перспективный мониторинг (3)
  R-Vision (Р-Вижн) (1)
  Другие (13)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Интеллектуальная безопасность ГК (бренд Security Vision) (13, 92)
  Positive Technologies (Позитив Текнолоджиз) (17, 40)
  SearchInform (СёрчИнформ) (2, 17)
  Лаборатория Касперского (Kaspersky) (8, 14)
  Micro Focus (5, 13)
  Другие (280, 113)

  Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  R-Vision (Р-Вижн) (1, 3)
  Инфосекьюрити (Infosecurity) (2, 2)
  IBM (2, 2)
  Другие (7, 8)

  Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13)
  InnoSTage (Инностейдж) (2, 4)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  Уральский центр систем безопасности (УЦСБ) (1, 2)
  SearchInform (СёрчИнформ) (1, 2)
  Другие (5, 5)

  Лаборатория Касперского (Kaspersky) (3, 3)
  SearchInform (СёрчИнформ) (1, 3)
  Positive Technologies (Позитив Текнолоджиз) (2, 2)
  Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2)
  Инфосекьюрити (Infosecurity) (1, 1)
  Другие (9, 9)

  SearchInform (СёрчИнформ) (1, 9)
  Positive Technologies (Позитив Текнолоджиз) (3, 4)
  Перспективный мониторинг (1, 4)
  Лаборатория Касперского (Kaspersky) (3, 3)
  Русием (RuSIEM) (1, 2)
  Другие (7, 7)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Security Vision Security Operation Center (SOC) - 37
  MaxPatrol SIEM - 33
  Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 28
  СёрчИнформ SIEM - 17
  Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 11
  Другие 160

  R‑Vision SOAR (ранее R-Vision IRP) - 3
  Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 2
  MaxPatrol SIEM - 2
  Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2
  Ngenix Облачная платформа - 2
  Другие 13

  Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 9
  Innostage SOAR (ранее Innostage IRP) - 4
  Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 4
  CyberART Сервисная служба киберзащиты - 4
  MaxPatrol SIEM - 2
  Другие 13

  СёрчИнформ SIEM - 3
  Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2
  Kaspersky Anti Targeted Attack Platform (KATA) - 1
  F.A.C.C.T. Attack Surface Management - 1
  Kaspersky Unified Monitoring and Analysis Platform (KUMA) - 1
  Другие 12

  СёрчИнформ SIEM - 9
  Перспективный мониторинг: Ampire Киберполигон - 4
  Positive Technologies: MaxPatrol VM (Vulnerability Management) - 3
  MaxPatrol SIEM - 2
  Kaspersky Endpoint Detection and Response (KEDR) - 2
  Другие 12

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Глобус-телеком (17)
  Softline (Софтлайн) (11)
  NetWrix Corporation (8)
  Т1 Интеграция (ранее Техносерв) (8)
  Инфосистемы Джет (7)
  Другие (199)

  Инфосистемы Джет (2)
  Крок (2)
  CDW Government (1)
  Factor Group (Фактор Груп) (1)
  Hikvision Russia (1)
  Другие (9)

  Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (3)
  C3 Solutions (СиТри Солюшнз, Новые Технологии) (1)
  Hewlett Packard Enterprise (HPE) (1)
  ISPsystem (Экзософт) (1)
  Softline (Софтлайн) (1)
  Другие (3)

  Т-Банк (Тинькофф Банк) (1)
  Связьком (1)
  Другие (0)

  TrafficSoft (НФВер, Траффик Софт) ранее NFWare (1)
  Нота (Холдинг Т1) (1)
  Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (1)
  Другие (0)