Der britische Sicherheitsanbieter Sophos hat seine XG Firewall um eine nach seinen Angaben "hochleistungsfähige Entschlüsselungsfunktion" für TLS-Datenströme (Transport Layer Security) erweitert. Der Hersteller hat zudem einen Report veröffentlicht, laut dem fast ein Viertel aller Malware mittlerweile per TLS mit den C&C-Servern (Command & Control) der Angreifer kommuniziert. Auch bei der Extraktion vertraulicher Daten würden immer mehr Eindringlinge auf Verschlüsselung setzen.
"Wie die Untersuchungen der SophosLabs zeigen, machen sich Cyberkriminelle Verschlüsselung zu eigen, um Sicherheitsprodukte zu umgehen", sagt Dan Schiappa, Chief Product Officer bei Sophos. Die meisten Firewalls würden jedoch nicht über skalierbare TLS-Kryptofunktionen verfügen und seien deswegen nicht ausreichend in der Lage, verschlüsselten Datenverkehr zu überprüfen, ohne dass dabei Anwendungen unterbrochen oder die Netzwerkleitung beeinträchtigt würden.
TLS entschlüsseln mit Xstream
Sophos nennt die neue Technik "Xstream". Sie soll deutlich schneller als bisherige Methoden zum Entschlüsseln, Prüfen und wieder Verschlüsseln sein. "Die internen Benchmark-Tests von Sophos haben eine zweifache Leistungssteigerung der neuen XG TLS Inspection Engine im Vergleich zu früheren XG-Versionen ergeben", so Schiappa.
Folgende neue Funktionen bietet Xstream laut Sophos:
Inspektion von TLS 1.3 zur Erkennung getarnter Malware
Optimierte Leistung kritischer Anwendungen
Adaptives Traffic Scanning
Bedrohungsanalyse mit den SophosLabs
Umfassendes Cloud-Management und Reporting in Sophos Central
Integration mit dem Sophos Managed Threat Response (MTR)-Dienst
Eine in Unternehmen durchgeführte TLS-Inspektion gilt jedoch als umstritten. So hatte etwa das US-CERT bereits vor einigen Jahren in einem Alert vor dem Aufbrechen der Verschlüsselung durch Security-Produkte gewarnt.