攻擊者利用隱藏攻擊針對 SSL 的惡意使用增加

使用加密流量“隱藏”攻擊的數量增加了260％。

Zscaler的一項新研究分析了66億個安全威脅，發現2020年前九個月的攻擊增加了260%。在加密攻擊中，勒索軟件的數量增加了500%，其中最突出的變體是FileCrypt/FileCoder，其次是Sodinokibi、Maze和Ryuk。

Zscaler聲稱對手已經利用SSL隱藏了攻擊，“沒有經過適當檢查就將加密的使用轉化為潛在的威脅。” 這意味著網絡犯罪分子正在使用行業標準的加密方法將惡意軟件隱藏在加密流量中，以進行繞過檢測的攻擊。

CISO兼Zscaler安全研究副總裁Deepen Desai表示：“我們看到，在整個攻擊周期中，網絡犯罪分子會利用加密通道，從最初的傳遞階段開始（帶有鏈接的電子郵件，受感染的站點，使用SSL / TLS）到有效負載交付（托管在Dropbox，Google Drive，AWS等云存儲服務上的有效負載）。”

Synopsys CyRC的首席安全策略師Tim Mackey告訴Infosecurity，使用SSL或TLS作為攻擊的一部分是對到2020年將對合法網站和系統流量進行加密的一種認可。

他說：“將惡意流量隱藏在合法活動中具有明顯的好處，即允許攻擊者以較低的被發現風險進入攻擊的早期階段。” “此外，如果攻擊者的工具包利用了現有的系統服務，例如由操作系統提供的加密模塊，以及流行的云存儲系統，如Pastebin、GitHub或S3存儲桶，則更難區分合法訪問和惡意訪問。

此外，DomainTools的安全研究員馬修·帕爾(Matthew Pahl)表示，也有攻擊者使用SSL加密-例如通過端口443-從目標竊取數據的情況，因此報告中概述的威脅是真實的。

他補充說：“組織應該在所有端點上放置檢查證書，以便進行SSL檢查。但是，也值得記住的是，這并不是萬靈藥，因為解密和讀取出站流量的能力只是深度防御策略的一個組成部分。”

Zscaler聲稱檢查加密流量必須是每個組織安全防御的關鍵組成部分，但是問題是傳統的本地安全工具，例如下一代防火墻都難以提供解密，檢查和重新加密流量所需的性能和容量。有效的方式。同樣，嘗試檢查所有SSL流量將使性能（和生產力）停滯不前，因此許多組織允許至少部分加密流量不受信任的云服務提供商的檢查。

報告說：“這是一個嚴重的漏洞。” “如果無法檢查所有加密的流量，則組織容易受到隱藏的網絡釣魚攻擊，惡意軟件等的威脅，而所有這些災難性災難性后果。”

如果檢查加密流量必須是每個組織的安全防御的關鍵組成部分，那么企業實際上能夠做到這一點嗎？Mackey說：“任何實施TLS流量深度檢查的計劃都應由法律顧問和業務數據隱私負責人審查。作為中間步驟，運行內部DNS系統的企業可以實施基于使用情況配置文件對網絡進行分段的網絡策略。在每個細分市場中，可以在DNS層將對基于云的存儲系統的訪問限制為僅具有合法業務要求的計算機才能訪問它們。”

Martin Jartelius，CSO在Outpost24表示：“這主要是針對在走向市場‘legal interception’定位解決方案的嘗試。在某種程度上，這當然會在很大程度上侵犯隱私，但也僅在發送的流量未使用證書固定或發送的流量未在隧道內建立加密數據的隧道時才起作用。

“檢測非常好，并且如果可以在網絡上完成檢測，這將增加一個層次和機會，但是您需要的是防止最初的感染，檢測異常用戶行為。“legal interception”解決方案本身就是一個挑戰，例如對GDPR合規性的挑戰。”