Wat is deep packet inspection?

Deep packet inspection (DPI) verwijst naar de methode waarbij de volledige inhoud van gegevenspakketten wordt onderzocht terwijl ze een bewaakt netwerkcontrolepunt passeren. Terwijl conventionele vormen van stateful packet inspection alleen de header-informatie van pakketten evalueren, zoals bron-IP-adres, bestemmings-IP-adres en poortnummer, kijkt deep packet inspection naar het volledige scala van gegevens en metagegevens die bij individuele pakketten horen. Deep packet inspection zal niet alleen de informatie in de header van het pakket onderzoeken, maar ook de inhoud van de payload van het pakket.

De rijke gegevens die door de deep packet inspection worden geëvalueerd, bieden een robuuster mechanisme voor het afdwingen van netwerkpakketfiltering, omdat DPI kan worden gebruikt om een reeks complexe bedreigingen die zich in netwerkdatastromen verbergen, nauwkeuriger te identificeren en te blokkeren, waaronder:

• Malware
• Pogingen tot data-exfiltratie
• Inhoudsbeleidschendingen
• Criminele commando- en controlecommunicatie

De mogelijkheden van deep packet inspection zijn geëvolueerd om de beperkingen van traditionele firewalls die vertrouwen op stateful packet inspection te overwinnen. Om de vooruitgang te begrijpen die deep packet inspection biedt, denk eraan in termen van luchthavenbeveiliging.

Stateful packet filtering zou hetzelfde zijn als het valideren van de veiligheid van bagage door bagagelabels te controleren om er zeker van te zijn dat de luchthavens van herkomst en bestemming overeenkomen met de vluchtnummers in het dossier. Daarentegen zou filteren met behulp van deep packet inspection meer zijn als het onderzoeken van tassen door een röntgenapparaat om er zeker van te zijn dat er niets gevaarlijks in zit voordat ze naar de juiste vluchten worden gerouteerd.

Gebruikssituaties voor deep packet inspection

Analyse van verkeersstromen door middel van deep packet inspection opent een reeks nieuwe en verbeterde beveiligingsgebruikssituaties.

Blokkeren van malware

In combinatie met algoritmen voor bedreigingsdetectie kan deep packet inspection worden gebruikt om malware te blokkeren voordat deze endpoints en andere netwerkactiva aantast. Dit betekent dat het kan helpen bij het filteren van activiteiten van ransomware, virussen, spyware en wormen. In bredere zin biedt het ook overzicht over het hele netwerk dat via heuristiek kan worden geanalyseerd om abnormale verkeerspatronen te identificeren en beveiligingsteams te waarschuwen voor kwaadaardig gedrag dat duidt op bestaande compromissen.

Het stoppen van datalekken

Deep packet inspection kan niet alleen voor inkomend verkeer worden gebruikt, maar ook voor uitgaande netwerkactiviteit. Dit betekent dat organisaties die analyse kunnen gebruiken om filters in te stellen om pogingen tot data-exfiltratie door externe aanvallers of potentiële datalekken door zowel kwaadwillende als nalatige insiders tegen te houden.

Handhaving van inhoudbeleid

Door de extra zichtbaarheid van toepassingen die door deep packet inspection wordt geboden, kunnen organisaties de toegang tot risicovolle of ongeautoriseerde toepassingen, zoals peer-to-peer downloaders, blokkeren of afknijpen. Evenzo opent de diepere analyse van DPI de weg voor organisaties om gebruikspatronen die het beleid schenden te blokkeren of ongeautoriseerde gegevenstoegang binnen door het bedrijf goedgekeurde toepassingen te voorkomen

Voordelen en uitdagingen van DPI

De extra zichtbaarheid die wordt geboden door de sonderende analyse van DPI helpt IT-teams om een uitgebreider en gedetailleerder cyberbeveiligingsbeleid af te dwingen. Dit is de reden waarom veel firewall-leveranciers het in de loop der jaren aan hun lijst met functies hebben toegevoegd.

Veel organisaties hebben echter gemerkt dat het inschakelen van DPI in firewall-appliances vaak onaanvaardbare netwerkknelpunten en prestatievermindering introduceert. Ten eerste zijn deze on-premise appliances gekoppeld aan bedrijfsnetwerken en moeten organisaties verkeer van externe gebruikers door deze infrastructuur back-uppen om pakketten door DPI-inspectiecheckpoints te laten lopen. Dit leidt tot een enorme latentie voor deze groeiende groep gebruikers en is in toenemende mate onwerkbaar omdat veel bedrijven gedwongen zijn om volledig gedistribueerde werkkrachten te ondersteunen. Bovendien zullen deze prestatieproblemen er waarschijnlijk toe leiden dat veel gebruikers en afdelingen de inspectie helemaal overslaan. Wanneer deze gebruikers zonder VPN-verbinding rechtstreeks verbinding maken met cloud- en online bronnen, omzeilen ze uiteindelijk de bescherming van de netwerkperimeter volledig.

En dan is er nog de uitdaging van versleuteld verkeer. Hoewel sommige firewalls beweren deep packet inspection uit te voeren op HTTPS-verkeer, is het proces van het decoderen van gegevens en het inspecteren ervan inline met de verkeersstromen een processorintensieve activiteit die veel hardwaregebaseerde beveiligingsapparaten overweldigt. In reactie hierop kiezen beheerders er vaak voor om de mogelijkheid binnen hun firewalls uit te schakelen.

Dit laat een enorme blinde vlek achter voor de zichtbaarheid van het netwerk naarmate de prevalentie van TLS/SSL op het web toeneemt. Huidige schattingen uit de industrie tonen aan dat 95% van de webactiviteit tegenwoordig plaatsvindt via versleutelde kanalen. Aanvallers erkennen de problemen die hun potentiële slachtoffers ondervinden bij het uitbreiden van DPI-controle over dit verkeer, wat de reden is waarom ongeveer tweederde van de malware zich nu verbergt onder de dekmantel van HTTPS.

Als gevolg hiervan zijn organisaties die de voordelen van DPI willen plukken, geneigd om te zoeken naar aanvullende technische middelen om de functionaliteit mogelijk te maken.

Hoe veilige webgateways DPI-functionaliteit bieden

In het besef dat firewalls nog steeds een waardevol primair doel dienen bij de netwerkperimeter, wenden veel organisaties zich tot cloudgebaseerde veilige webgateways om hen te helpen de prestatielast van deep packet inspection van deze apparaten te verwijderen. Deze webfilters beschermen uitgaand gebruikersverkeer, idealiter door gebruik te maken van DPI-functionaliteit die zowel HTTP- als HTTPS-verkeer kan onderzoeken dat door gebruikers wordt gegenereerd, ongeacht hun locatie. Door versleuteld en extern gebruikersverkeer te offloaden via een cloudgebaseerde beveiligde webgateway, kunnen organisaties de diepe analyse van DPI-verkeer opschalen zonder bestaande hardwarematige apparaten onder druk te zetten.

In dezelfde geest maakt die architectuur het ook eenvoudiger om deep packet inspection buiten de grenzen van het bedrijfsnetwerk uit te voeren. Dit biedt organisaties een consistenter pad naar beleidshandhaving wanneer ze beveiligingsbeleid beheren op meerdere locaties en een wijdverspreide externe gebruikersbasis die rechtstreeks verbinding maakt met het internet en cloudbronnen.