Dope Security s'attaque aux erreurs SSL
Avec la fonction de résolution des erreurs SSL de l'outil de sécurité Dope Security, les administrateurs peuvent désormais contourner sans effort l'inspection SSL pour les applications.
La fonction de résolution instantanée des erreurs SSL (Secure Socket Layer) lancée par Dope Security fait désormais partie de l'offre de passerelle web sécurisée (Secure Web Gateway, SWG), Dope.swg du fournisseur de sécurité web et cloud basée sur les terminaux. L'objectif de la fonction est de simplifier la tâche d'inspection SSL réalisée par la passerelle SWG de Dope et d'aider les administrateurs à contourner les erreurs SSL générées après l'inspection. « Contrairement aux autres fournisseurs, l'architecture 'fly-direct' de Dope ne réachemine pas l'ensemble du trafic Internet vers un datacenter pour effectuer les contrôles de sécurité, mais ils sont réalisés directement sur l'appareil », a déclaré Kunal Agarwal, CEO de Dope Security. « Cette fonction de résolution instantanée des erreurs SSL simplifie encore plus le processus d'inspection SSL », a ajouté le CEO. L'inspection SSL est une fonction de sécurité qui permet aux passerelles web sécurisées de décrypter le trafic crypté SSL, de l'analyser pour rechercher des menaces potentielles et de le recrypter avant de l'acheminer vers sa destination.
Un impact possible sur le fonctionnement des applications
L'inspection SSL peut parfois causer des problèmes et interrompre certaines applications qui reposent sur le cryptage SSL pour fonctionner correctement. Différentes raisons sous-jacentes peuvent entraîner le blocage des applications, notamment des problèmes de validation des certificats, des adresses IP et des domaines codés en dur, ou encore des configurations SSL spécifiques à l'application. La validation des certificats peut provoquer une erreur en cas d'incohérence entre les certificats générés par SSL et le certificat original fourni par le site web. Si l'application n'est pas conçue pour gérer ce changement de certificat, la validation échoue et la connexion est refusée. Les adresses IP codées en dur dans certaines applications peuvent également entraîner une rupture, car ces applications sont conçues pour se connecter à une adresse IP ou à un domaine spécifique, et peuvent ne pas reconnaître l'adresse IP ou le domaine de la passerelle SWG après l'inspection SSL.
Plusieurs applications peuvent aussi avoir des configurations SSL spécifiques, incompatibles avec le processus d'inspection SSL de la passerelle web sécurisée et donc conduire à une rupture. Quand l'inspection SSL pose des problèmes, les administrateurs cherchent à configurer des règles de contournement SSL pour des applications ou des sites web spécifiques afin d'éviter l'inspection. Cependant, la configuration de ces règles est généralement manuelle, ce qui implique l'enregistrement de tickets d'assistance, la recherche de domaines d'application et d'URL, la saisie manuelle de listes de contournement et une surveillance manuelle continue, comme l'explique Dope Security dans un blog. « La génération précédente de produits provoquait plus de problèmes qu'elle n'en résolvait », a reconnu M. Agarwal. « Par exemple, si une application avait un problème de compatibilité avec l'inspection SSL, il fallait une énorme coordination entre l'employé, son équipe IT et le service clientèle pour comprendre ce qui se passait. Cela prend du temps et c'est très fastidieux », a déclaré le CEO. « La méthode actuelle de contournement de l'inspection SSL comporte tellement d'étapes et de vérifications qu'il est presque plus facile de désactiver complètement l'agent SWG pour qu'au moins, les applications fonctionnent », a-t-il ajouté. Il est évident que cette désactivation rendra les entreprises vulnérables aux menaces de sécurité et qu'il faut donc l'éviter. « La simplification du processus de mise à jour des listes de contournement est une bien meilleure alternative que la désactivation totale de l'inspection SSL », a déclaré Michael Sampson, analyste chez Osterman Research. « Les entreprises devraient examiner régulièrement ce qui ne marche pas et pourquoi, et voir si les mises à jour ont résolu le problème afin d'inverser les règles de contournement et de couvrir une plus grande part du processus par l'inspection SSL », a ajouté l'analyste.
Les erreurs SSL marquées instantanément
L'offre SWG de Dope, Dope.swg, dispose déjà d'une capacité d'enregistrement des erreurs SSL. La fonction de résolution instantanée des erreurs SSL ajoute des capacités de journalisation et d'analyse pour préparer et afficher une liste de processus et d'URL spécifiques affectées par des erreurs SSL. Après avoir analysé le nom du processus et récupéré les URL associées, ces résultats sont enregistrés et synchronisés avec Dope.cloud, la console utilisateur basée sur le cloud pour toutes les configurations d'administration et les rapports. Les administrateurs peuvent utiliser Dope.cloud pour ajouter ces résultats aux listes de contournement en un seul clic. Tous les contrôles de sécurité effectués par la passerelle SWG de Dope sont réalisés par Dope.endpoint, le proxy SSL de Dope présent sur l'appareil, qui conserve la politique de l'utilisateur de l'entreprise et protège l'appareil contre l'accès au mauvais contenu. Dope.endpoint est contrôlé par la console Dope.cloud où sont configurées les politiques de l'entreprise. « Cette résolution instantanée des erreurs SSL simplifie le processus d'inspection et de contournement SSL et le convertit en trois clics : quand l'erreur s'affiche, il suffit de cocher une case et d'appuyer sur le bouton de contournement. C'est tout ! Cette fonctionnalité aurait dû être disponible d'emblée chez les fournisseurs pour faciliter la vie de tous », a déclaré le CEO de Dope Security. « Une boucle de rétroaction entre Dope et les propriétaires d'applications serait également bienvenue, en s'abonnant peut-être à un flux de ruptures, afin de voir ce qui ne fonctionne pas où et pourquoi », a fait valoir Michael Sampson. La fonction sera automatiquement disponible pour les clients utilisant dope.swg, sans surcoût ni licence. Dope travaille actuellement sur des offres de courtier de sécurité d'accès au cloud (Cloud Access Security Broker, CASB) et d'accès privé afin d'offrir une solution Security Service Edge (SSE) complète.
