o uso malicioso de SSL aumenta à medida que os invasores implantam ataques ocultos

houve um aumento de 260% no uso de tráfego criptografado para “ocultar” ataques.Uma nova pesquisa da Zscaler, analisando 6,6 bilhões de ameaças à segurança, descobriu um aumento de 260% nos ataques durante os primeiros nove meses de 2020. Entre os ataques criptografados estava um aumento da quantidade de ransomware em 500%, com as variantes mais proeminentes sendo FileCrypt/FileCoder, seguido por Sodinokibi, Maze e Ryuk.

Zscaler afirmou que os adversários têm aproveitado SSL para esconder ataques, ” transformando o uso de criptografia em uma ameaça potencial sem inspeção adequada.”Isso significa que os cibercriminosos estão usando métodos de criptografia padrão do setor para ocultar malware dentro do tráfego criptografado para realizar ataques que ignoram a detecção.

aprofundar Desai, CISO e vice-presidente de pesquisa de segurança da Zscaler, disse: “Estamos vendo canais criptografados sendo alavancados por cibercriminosos em todo o ciclo de ataque, começando com o estágio inicial de entrega (e-mail com links, sites comprometidos, sites maliciosos usando SSL/TLS), até a entrega de carga útil (cargas hospedadas em serviços de armazenamento em nuvem como Dropbox, Google Drive, AWS, etc).Tim Mackey, principal estrategista de segurança da Synopsys CyRC, disse à Infosecurity que usar SSL ou TLS como parte de um ataque é um reconhecimento de que, em 2020, sites legítimos e tráfego do sistema serão criptografados.”Esconder tráfego malicioso entre atividades legítimas tem o benefício distinto de permitir que um invasor progrida nas fases iniciais de seu ataque com menor risco de detecção”, disse ele. Além disso, se o kit de ferramentas do invasor aproveitar os Serviços de Sistema existentes, como os módulos de criptografia fornecidos pelo sistema operacional e os sistemas populares de armazenamento em nuvem, como os buckets Pastebin, GitHub ou S3, será muito mais difícil diferenciar o acesso legítimo do malicioso.Além disso, Matthew Pahl, Pesquisador de segurança da DomainTools, disse que há casos em que os invasores usam criptografia SSL – sobre a porta 443, por exemplo – para exfiltrar dados de alvos, então a ameaça descrita no relatório é real.

ele acrescentou: “as organizações devem colocar certificados de inspeção em todos os endpoints para realizar a inspeção SSL. Também vale lembrar, no entanto, que esta não é uma bala mágica, pois a capacidade de descriptografar e ler o tráfego de saída representa apenas um componente de uma estratégia de defesa em profundidade.”

Zscaler afirmou que inspecionar o tráfego criptografado deve ser um componente-chave das defesas de segurança de todas as organizações, mas o problema é que as ferramentas de segurança tradicionais no local, como firewalls de próxima geração, lutam para fornecer o desempenho e a capacidade necessários para descriptografar, inspecionar e criptografar o tráfego de maneira eficaz. Também tentar inspecionar todo o tráfego SSL traria desempenho (e produtividade) a um impasse, então muitas organizações permitem que pelo menos parte de seu tráfego criptografado passe sem ser detectado de provedores de serviços de nuvem confiáveis.

“esta é uma falha crítica”, disse o relatório. “Não inspecionar todo o tráfego criptografado deixa as organizações vulneráveis a ataques de phishing ocultos, malware e muito mais, o que pode ser desastroso.”Se inspecionar o tráfego criptografado deve ser um componente-chave das defesas de segurança de todas as organizações, as empresas são realmente capazes de fazer isso? Mackey disse: “Qualquer plano para implementar uma inspeção profunda do tráfego TLS deve ser revisado com o advogado e os líderes de privacidade de dados de negócios. Como etapa intermediária, as empresas que operam sistemas DNS internos podem implementar políticas de rede que segmentam sua rede com base em perfis de uso. Dentro de cada segmento, o acesso a sistemas de armazenamento baseados em nuvem pode ser limitado na camada DNS apenas às máquinas com requisitos comerciais legítimos para acessá-las.Martin Jartelius, CSO da Outpost24, disse: “esta é em grande parte uma tentativa de posicionar soluções para ‘interceptação legal’ em direção ao mercado. Em parte, isso, é claro, invade a privacidade em grande parte, mas também só funciona se o tráfego que está sendo enviado não usar a fixação do certificado ou se o tráfego que está sendo enviado, por sua vez, não túnel dados criptografados dentro do túnel.

“a detecção é ótima, e se isso pode ser feito na rede, Isso adiciona uma camada e oportunidade, mas o que você precisa é prevenção da infecção inicial, detecção de comportamento anômalo do Usuário. As soluções de ‘interceptação legal’ por si só são um desafio, por exemplo, para a conformidade com o GDPR.”