WebSocket-over-HTTPS è un modo per mantenere una sessione WebSocket all'interno di una connessione HTTPS. Il client e il server iniziano con normale traffico web cifrato, quindi mantengono un canale bidirezionale a lunga durata per inviare messaggi in tempo reale. Poiché la sessione è cifrata e utilizza porte e schemi web comuni, può sembrare simile al traffico ordinario del browser o dell'applicazione.
Negli attacchi informatici, il malware e gli strumenti dell'operatore usano questo canale per il comando e controllo, il furto di dati o l'assegnazione di compiti a un host senza aprire una rumorosa porta personalizzata. Questo rende più difficile il filtraggio per i dispositivi perimetrali che ispezionano principalmente destinazione, porta o reputazione di base. I difensori spesso hanno bisogno di telemetria degli endpoint, ispezione TLS dove consentita, log del proxy e record di audit specifici dell'applicazione per individuare comportamenti WebSocket insoliti come sessioni a lunga durata, destinazioni inattese o messaggi cifrati piccoli e ripetuti. Se usato correttamente, lo stesso meccanismo è anche una parte normale di molte applicazioni web legittime, ed è per questo che il rilevamento basato sul comportamento è importante.



