škodlivé použití SSL se zvyšuje s tím, jak útočníci nasazují skryté útoky

došlo k 260% nárůstu používání šifrovaného provozu k „skrytí“ útoků.

nový výzkum společnosti Zscaler, který analyzoval 6.6 miliardy bezpečnostních hrozeb, objevil 260% nárůst útoků během prvních devíti měsíců roku 2020. Mezi šifrovanými útoky bylo zvýšení množství ransomwaru o 500%, přičemž nejvýznamnějšími variantami byly FileCrypt / FileCoder, následované Sodinokibi, Maze a Ryuk.

Zscaler tvrdil, že protivníci využili SSL ke skrytí útoků, “ přeměnili použití šifrování na potenciální hrozbu bez řádné kontroly.“To znamená, že počítačoví zločinci používají standardní šifrovací metody ke skrytí malwaru uvnitř šifrovaného provozu k provádění útoků, které obcházejí detekci.

prohloubit Desai, CISO a viceprezident bezpečnostního výzkumu ve společnosti Zscaler, řekl: „Vidíme šifrované kanály využívané kybernetickými zločinci v celém cyklu útoku, počínaje počáteční fází doručení (e-mail s odkazy, ohrožené weby, škodlivé weby pomocí SSL/TLS), až po doručení užitečného zatížení (užitečné zatížení hostované v cloudových úložných službách, jako je Dropbox, Disk Google, AWS atd.).“

Tim Mackey, hlavní bezpečnostní stratég Synopsys CyRC, řekl Infosecurity, že použití SSL nebo TLS jako součást útoku je potvrzením, že v roce 2020 budou legitimní webové stránky a systémový provoz šifrovány.

„Skrytí škodlivého provozu mezi legitimní aktivitou má zřetelnou výhodu v tom, že umožňuje útočníkovi postupovat v raných fázích útoku s nižším rizikem detekce,“ řekl. „Dále, pokud sada nástrojů útočníka využívá stávající systémové služby, jako jsou šifrovací moduly dodávané operačním systémem, a populární cloudové úložné systémy, jako jsou kbelíky Pastebin, GitHub nebo S3, pak je mnohem těžší odlišit legitimní přístup od škodlivého.

také Matthew Pahl, bezpečnostní výzkumník v DomainTools, uvedl, že existují případy, kdy útočníci používají šifrování SSL-například přes port 443 – k exfiltraci dat z cílů, takže hrozba uvedená ve zprávě je skutečná.

dodal: „organizace by měly zavést inspekční certifikáty na všech koncových bodech, aby mohly provádět inspekci SSL. Je však také třeba připomenout, že se nejedná o magickou kulku, protože schopnost dešifrovat a číst odchozí provoz představuje pouze jednu složku strategie obrany do hloubky.“

Zscaler tvrdil, že kontrola šifrovaného provozu musí být klíčovou součástí bezpečnostní obrany každé organizace, ale problémem jsou tradiční místní bezpečnostní nástroje, jako jsou brány firewall nové generace, které se snaží poskytovat výkon a kapacitu potřebnou k efektivnímu dešifrování, kontrole a opětovnému šifrování provozu. Pokus o kontrolu veškerého provozu SSL by také zastavil výkon (a produktivitu), takže mnoho organizací umožňuje, aby alespoň část jejich šifrovaného provozu prošla nepozorovaně od důvěryhodných poskytovatelů cloudových služeb.

„jedná se o kritický nedostatek,“ uvedla zpráva. „Pokud se nepodaří zkontrolovat veškerý šifrovaný provoz, organizace jsou zranitelné vůči skrytým phishingovým útokům, malwaru a dalším, což by mohlo být katastrofální.“

pokud kontrola šifrovaného provozu musí být klíčovou součástí bezpečnostní obrany každé organizace, jsou podniky skutečně schopny to udělat? Mackey řekl: „jakýkoli plán implementace hluboké kontroly provozu TLS by měl být přezkoumán s právním poradcem a vedoucími osobami v oblasti ochrany osobních údajů. Jako přechodný krok mohou podniky, které provozují interní systémy DNS, implementovat síťové zásady, které segmentují svou síť na základě profilů použití. V rámci každého segmentu může být přístup k cloudovým úložným systémům ve vrstvě DNS omezen pouze na stroje s legitimními obchodními požadavky na přístup k nim.“

Martin Jartelius, CSO na Outpost24, řekl: „Jedná se do značné míry o pokus o umístění řešení pro „legální zachycení“ na trh. Částečně to samozřejmě do značné míry narušuje soukromí,ale funguje to také pouze v případě, že odeslaný provoz nepoužívá připnutí certifikátu nebo pokud zasílaný provoz zase ne tuneluje šifrovaná data v tunelu.

„detekce je skvělá, a pokud to lze provést v síti, přidá vrstvu a příležitost, ale to, co potřebujete, je prevence před počáteční infekcí, detekce anomálního chování uživatelů. Řešení „legal interception“ sama o sobě jsou výzvou, například směrem k dodržování GDPR.“