L’uso dannoso di SSL aumenta man mano che gli aggressori distribuiscono attacchi nascosti

C’è stato un aumento del 260% nell’uso del traffico crittografato per “nascondere” gli attacchi.

Una nuova ricerca di Zscaler, analizzando 6,6 miliardi di minacce alla sicurezza, ha scoperto un aumento del 260% degli attacchi durante i primi nove mesi del 2020. Tra gli attacchi crittografati c’è stato un aumento della quantità di ransomware del 500%, con le varianti più importanti FileCrypt/FileCoder, seguite da Sodinokibi, Maze e Ryuk.

Zscaler ha affermato che gli avversari hanno sfruttato SSL per nascondere gli attacchi, ” trasformando l’uso della crittografia in una potenziale minaccia senza un’adeguata ispezione.”Ciò significa che i cyber-criminali utilizzano metodi di crittografia standard del settore per nascondere il malware all’interno del traffico crittografato per eseguire attacchi che bypassano il rilevamento.

Approfondisci Desai, CISO e vicepresidente della ricerca sulla sicurezza di Zscaler, ha dichiarato: “Stiamo assistendo a canali crittografati sfruttati dai cyber-criminali durante l’intero ciclo di attacco, a partire dalla fase di consegna iniziale (e-mail con link, siti compromessi, siti dannosi che utilizzano SSL/TLS), alla consegna del payload (payload ospitati su servizi di cloud storage come Dropbox, Google Drive, AWS, ecc.).”

Tim Mackey, principal security strategist presso Synopsys CyRC, ha dichiarato a Infosecurity che l’utilizzo di SSL o TLS come parte di un attacco è un riconoscimento che nel 2020, i siti Web legittimi e il traffico di sistema saranno crittografati.

“Nascondere il traffico dannoso tra attività legittime ha il vantaggio di consentire a un utente malintenzionato di progredire nelle prime fasi del loro attacco con un minor rischio di rilevamento”, ha affermato. “Inoltre, se il toolkit dell’attaccante sfrutta i servizi di sistema esistenti, come i moduli di crittografia forniti dal sistema operativo e i popolari sistemi di cloud storage, come Pastebin, GitHub o S3 bucket, diventa molto più difficile differenziare l’accesso legittimo dal dannoso.

Inoltre, Matthew Pahl, ricercatore di sicurezza presso DomainTools, ha affermato che ci sono casi in cui gli aggressori utilizzano la crittografia SSL – ad esempio sulla porta 443 – per esfiltrare i dati dagli obiettivi, quindi la minaccia delineata nel rapporto è reale.

Ha aggiunto: “Le organizzazioni dovrebbero inserire certificati di ispezione su tutti gli endpoint per eseguire l’ispezione SSL. Vale anche la pena ricordare, tuttavia, che questo non è un magic bullet, in quanto la capacità di decifrare e leggere il traffico in uscita rappresenta solo una componente di una strategia di difesa approfondita.”

Zscaler ha affermato che l’ispezione del traffico crittografato deve essere un componente chiave delle difese di sicurezza di ogni organizzazione, ma il problema è che i tradizionali strumenti di sicurezza locali come i firewall di nuova generazione faticano a fornire le prestazioni e la capacità necessarie per decrittografare, ispezionare e ricriptare il traffico in modo efficace. Inoltre, il tentativo di ispezionare tutto il traffico SSL porterebbe le prestazioni (e la produttività) a un brusco arresto, quindi molte organizzazioni consentono ad almeno una parte del loro traffico crittografato di passare inosservato da fornitori di servizi cloud affidabili.

“Questa è una lacuna critica”, afferma il rapporto. “La mancata ispezione di tutto il traffico crittografato lascia le organizzazioni vulnerabili ad attacchi di phishing nascosti, malware e altro, che potrebbero essere disastrosi.”

Se l’ispezione del traffico crittografato deve essere un componente chiave delle difese di sicurezza di ogni organizzazione, le aziende sono effettivamente in grado di farlo? Mackey ha dichiarato: “Qualsiasi piano per implementare un’ispezione approfondita del traffico TLS dovrebbe essere esaminato con i consulenti legali e i leader della privacy dei dati aziendali. Come passaggio intermedio, le aziende che gestiscono sistemi DNS interni possono implementare policy di rete che segmentano la propria rete in base ai profili di utilizzo. All’interno di ogni segmento, l’accesso ai sistemi di storage basati su cloud può essere limitato a livello DNS solo a quelle macchine con requisiti aziendali legittimi per accedervi.”

Martin Jartelius, CSO di Avampost24, ha dichiarato: “Questo è in gran parte un tentativo di posizionare soluzioni per l ‘”intercettazione legale” verso il mercato. In parte, questo ovviamente invade la privacy in grande misura, ma funziona anche solo se il traffico inviato non utilizza il pinning del certificato o se il traffico inviato a sua volta non esegue il tunnel dei dati crittografati all’interno del tunnel.

“Il rilevamento è grande, e se può essere fatto sulla rete, che aggiunge un livello e opportunità, ma quello che serve è la prevenzione da infezione iniziale, il rilevamento di comportamento anomalo dell’utente. Le soluzioni di “intercettazione legale” in sé e per sé sono una sfida, ad esempio verso la conformità al GDPR.”