SSL: n haitallinen käyttö lisääntyy hyökkääjien ottaessa käyttöön piilotettuja hyökkäyksiä

salatun liikenteen käyttö hyökkäysten ”piilottamiseksi” on lisääntynyt 260%.

Zscalerin uusi tutkimus, jossa analysoitiin 6,6 miljardia turvallisuusuhkaa, on havainnut hyökkäysten lisääntyneen 260 prosenttia vuoden 2020 yhdeksän ensimmäisen kuukauden aikana. Salattujen hyökkäysten joukossa ransomware-viruksen määrä kasvoi 500%, ja merkittävimmät vaihtoehdot olivat FileCrypt / FileCoder, jota seurasivat Sodinokibi, Maze ja Ryuk.

Zscaler väitti, että vastustajat ovat hyödyntäneet SSL: ää piilottaakseen hyökkäyksiä, ”muuttaen salauksen käytön potentiaaliseksi uhaksi ilman asianmukaista tarkastusta.”Tämä tarkoittaa, että verkkorikolliset käyttävät alan standardeja salausmenetelmiä piilottaakseen haittaohjelmat salatun liikenteen sisään tehdäkseen hyökkäyksiä, jotka ohittavat havaitsemisen.

Deep Desai, CISO ja zscalerin turvallisuustutkimuksen varapresidentti, said: ”Näemme salattuja kanavia, joita verkkorikolliset käyttävät koko hyökkäyssyklin ajan, alkaen alkuperäisestä toimitusvaiheesta (sähköposti, jossa on linkkejä, vaarantuneet sivustot, haitalliset sivustot SSL/TLS), hyötykuorman toimitukseen (hyötykuormat, joita isännöidään pilvitallennuspalveluissa, kuten Dropbox, Google Drive, AWS jne.).”

Tim Mackey, Synopsys Cyrcin pääturvallisuusstrategi, kertoi Infosecuritylle, että SSL: n tai TLS: n käyttäminen osana hyökkäystä on tunnustus siitä, että vuonna 2020 lailliset verkkosivustot ja järjestelmäliikenne salataan.

”haitallisen liikenteen Piilottamisella lailliseen toimintaan on se selvä etu, että hyökkääjä voi edetä hyökkäyksensä alkuvaiheissa pienemmällä paljastumisriskillä”, hän sanoi. ”Edelleen, jos hyökkääjän työkalupakki hyödyntää olemassa olevia järjestelmäpalveluita, kuten käyttöjärjestelmän toimittamia salausmoduuleja, ja suosittuja pilvitallennusjärjestelmiä, kuten Pastebin, GitHub tai S3 kauhat, niin on paljon vaikeampaa erottaa laillinen pääsy haitallisista.

myös Domaintoolsin tietoturvatutkija Matthew Pahl sanoi, että on tapauksia, joissa hyökkääjät käyttävät SSL – salausta – esimerkiksi portin 443 kautta-poistaakseen tietoja kohteista, joten raportissa esitetty uhka on todellinen.

hän lisäsi: ”organisaatioiden tulisi kiinnittää tarkastussertifikaatit kaikkiin päätepisteisiin SSL-tarkastuksen suorittamiseksi. On kuitenkin myös syytä muistaa, että kyseessä ei ole taikaluoti, sillä kyky purkaa ja lukea lähtevää liikennettä on vain yksi osa puolustus-syvällistä strategiaa.”

Zscaler väitti, että salatun liikenteen tarkastamisen on oltava keskeinen osa jokaisen organisaation tietoturvapuolustusta, mutta ongelmana on perinteiset tiloissa käytettävät tietoturvatyökalut, kuten seuraavan sukupolven palomuurit, jotka kamppailevat tarjotakseen suorituskyvyn ja kapasiteetin, jota tarvitaan salauksen purkamiseen, tarkastamiseen ja uudelleen salaamiseen tehokkaalla tavalla. Myös yrittää tarkastaa kaikki SSL-liikennettä toisi suorituskykyä (ja tuottavuutta) hionta pysäyttää, joten monet organisaatiot sallivat ainakin osa niiden salatun liikenteen siirtää havaitsematta luotettujen pilvipalvelujen tarjoajia.

”tämä on kriittinen puute”, raportissa sanottiin. ”Kaiken salatun liikenteen tarkastamatta jättäminen jättää organisaatiot alttiiksi piilotetuille tietojenkalasteluhyökkäyksille, haittaohjelmille ja muille, jotka kaikki voivat olla tuhoisia.”

jos salatun liikenteen tarkastamisen täytyy olla keskeinen osa jokaisen organisaation turvallisuuspuolustusta, pystyvätkö yritykset todella siihen? Mackey sanoi: ”kaikki suunnitelmat TLS-liikenteen syvätarkastuksen toteuttamiseksi tulisi tarkistaa lakimiesten ja liiketoiminnan tietosuojajohtajien kanssa. Välivaiheena sisäisiä DNS-järjestelmiä käyttävät yritykset voivat toteuttaa verkkokäytäntöjä, jotka segmentoivat verkkonsa käyttöprofiilien perusteella. Kullakin segmentillä pilvipohjaisten tallennusjärjestelmien käyttö voidaan rajoittaa DNS-tasolla vain niihin koneisiin, joilla on lailliset liiketoimintavaatimukset.”

Martin Jartelius, CSO Outpost24: ssä, sanoi: ”Tämä on pitkälti yritys sijoittaa ratkaisuja” lailliseen sieppaukseen ” kohti markkinoita. Osittain tämä tietenkin loukkaa yksityisyyttä suuresti, mutta se toimii myös vain, jos lähetettävässä liikenteessä ei käytetä varmennepinnausta, tai jos lähetettävässä liikenteessä ei puolestaan tunnelissa käytetä salattuja tietoja.

” havaitseminen on suuri, ja jos se voidaan tehdä verkossa, se lisää kerroksen ja mahdollisuuden, mutta mitä tarvitset on ehkäisy alkuperäisestä tartunnasta, havaitseminen poikkeava käyttäjän käyttäytymistä. Oikeudelliset sieppausratkaisut sinänsä ovat haaste esimerkiksi GDPR: n noudattamiselle.”