What is deep packet inspection?

Deep packet inspection (DPI) refere-se ao método de examinar o conteúdo completo dos pacotes de dados à medida que eles atravessam um ponto de verificação da rede monitorada. Enquanto as formas convencionais de inspeção de pacotes de estado avaliam apenas as informações do cabeçalho do pacote, tais como endereço IP de origem, endereço IP de destino e número de porta, a inspeção profunda de pacotes analisa uma gama mais completa de dados e metadados associados a pacotes individuais. A inspeção profunda de pacotes não apenas examina as informações no cabeçalho do pacote, mas também o conteúdo contido dentro da carga útil do pacote.

Os dados ricos avaliados pela inspeção profunda de pacotes fornecem um mecanismo mais robusto para reforçar a filtragem de pacotes da rede, pois o DPI pode ser usado para identificar e bloquear com mais precisão uma gama de ameaças complexas escondidas nos fluxos de dados da rede, inclusive:

• Malware
• Tentativas de exfiltragem de dados
• Infracções às políticas de conteúdo
• Comando e controle de comunicações criminais

As capacidades de inspeção profunda de pacotes evoluíram para superar as limitações das firewalls tradicionais que dependem da inspeção estatal de pacotes. Para entender o avanço oferecido pela inspeção profunda de pacotes, pense nisso em termos de segurança aeroportuária.

Filtragem de pacotes estadual seria como validar a segurança da bagagem através do controle de etiquetas de bagagem para garantir que os aeroportos de origem e destino coincidam com os números de vôo registrados. Em contraste, filtrar usando a inspeção profunda de pacotes seria mais como examinar as malas através de um raio-x para garantir que não há nada perigoso dentro delas antes de encaminhá-las para seus próprios vôos.

Caixas de uso para inspeção profunda de pacotes

Análise dos fluxos de tráfego através da inspeção profunda de pacotes abre uma gama de novas e melhores caixas de uso de segurança.

>

Blocking malware

Quando emparelhado com algoritmos de detecção de ameaças, a inspeção profunda de pacotes pode ser usada para bloquear malware antes que ele comprometa os endpoints e outros ativos da rede. Isso significa que ele pode ajudar a filtrar a atividade de ransomware, vírus, spyware e worms. Mais amplamente, também fornece visibilidade através da rede que pode ser analisada através da heurística para identificar padrões anormais de tráfego e alertar as equipes de segurança sobre comportamentos maliciosos indicativos de compromissos existentes.

Stopping data leaks

Deepep package inspection pode ser usado não apenas para o tráfego de entrada, mas também para a atividade de saída da rede. Isso significa que as organizações podem usar essa análise para definir filtros para impedir tentativas de filtragem de dados por atacantes externos ou potenciais vazamentos de dados causados tanto por maliciosos quanto por pessoas internas negligentes.

Aplicação da política de conteúdo

A visibilidade adicional da aplicação proporcionada pela inspeção profunda de pacotes permite que as organizações bloqueiem ou restrinjam o acesso a aplicações arriscadas ou não autorizadas, tais como downloads peer-to-peer. Da mesma forma, a análise mais profunda do DPI abre o caminho para que as organizações bloqueiem os padrões de usovioladores de políticas ou impeçam o acesso não autorizado a dados dentro de aplicativos aprovados pela empresa

>

Benefícios e desafios do DPI

A visibilidade adicional proporcionada pela análise de sondagem do DPI ajuda as equipes de TI a aplicar políticas mais abrangentes e detalhadas de segurança cibernética. É por isso que muitos fornecedores de firewall mudaram para adicioná-lo às suas listas de recursos ao longo dos anos.

No entanto, muitas organizações descobriram que habilitar DPI em dispositivos de firewall frequentemente introduz gargalos de rede inaceitáveis e degradação de desempenho. Primeiro de tudo, esses appliances no local estão ligados a redes corporativas e exigem que as organizações façam backhaul do tráfego de usuários remotos através dessa infra-estrutura para que os pacotes sejam executados através de pontos de inspeção de DPI. Isto introduz uma tremenda latência para este corpo crescente de usuários e é cada vez mais impraticável, já que muitas empresas têm sido forçadas a suportar uma força de trabalho completamente distribuída. Além disso, essas questões de desempenho provavelmente incentivarão muitos usuários e departamentos a pular a inspeção completamente. Quando esses usuários se conectam diretamente à nuvem e aos recursos online sem uma conexão VPN, eles acabam contornando completamente as proteções do perímetro da rede.

E então há o desafio do tráfego criptografado. Enquanto alguns firewalls afirmam realizar uma profunda inspeção de pacotes no tráfego HTTPS, o processo de decodificação de dados e inspeção em linha com os fluxos de tráfego é uma atividade intensiva no processador que sobrepõe muitos dispositivos de segurança baseados em hardware. Em resposta, os administradores geralmente optam por desligar a capacidade dentro de suas firewalls.

Isso deixa um enorme ponto cego de visibilidade da rede à medida que a prevalência de TLS/SSL na web cresce. As estimativas atuais do setor mostram que 95% da atividade da web hoje em dia ocorre através de canais criptografados. Os atacantes reconhecem os desafios que suas potenciais vítimas enfrentam ao estender o exame do DPI sobre esse tráfego, e é por isso que cerca de dois terços dos malwares agora se escondem sob a cobertura do HTTPS.

Como resultado, as organizações que procuram colher os benefícios do DPI tendem a procurar por meios técnicos adicionais para habilitar a funcionalidade.

Como gateways web seguros oferecem funcionalidade DPI

Reconhecendo que os firewalls ainda servem um propósito principal valioso no perímetro da rede, muitas organizações estão se voltando para gateways web seguros baseados em nuvem para ajudá-las a remover a carga de desempenho da inspeção profunda dos pacotes desses dispositivos. Esses filtros web protegem o tráfego de saída dos usuários, idealmente usando a funcionalidade DPI que pode examinar o tráfego HTTP e HTTPS gerado pelos usuários, independentemente de sua localização. Descarregando o tráfego criptografado e remoto dos usuários através de um gateway web seguro baseado em nuvem, as organizações podem ampliar a análise profunda do tráfego do DPI sem pressionar os dispositivos baseados em hardware existentes.

Na mesma linha, essa arquitetura também simplifica a inspeção profunda de pacotes fora dos limites da rede corporativa. Isso oferece às organizações um caminho mais consistente para a aplicação de políticas quando elas estão gerenciando políticas de segurança em vários locais e uma ampla base de usuários remotos que se conecta diretamente à Internet e aos recursos da nuvem.