如果沒有適當(dāng)?shù)臋z查,隨著加密流量中惡意軟件數(shù)量的增加,加密數(shù)據(jù)可能成為重大的安全威脅。大多數(shù)企業(yè)都沒有準(zhǔn)備好進行適當(dāng)?shù)牧髁糠治鰜響?yīng)對這個問題。這是對隱藏在加密流量中的惡意軟件對企業(yè)構(gòu)成威脅進行研究得出的兩個結(jié)論。
根據(jù)最近發(fā)布的《WatchGuard 2021年第二季度互聯(lián)網(wǎng)安全》調(diào)查報告,雖然很多首席信息安全官可能意識到惡意軟件的風(fēng)險,但其中大部分風(fēng)險(高達91.5%)是通過加密連接帶來的。這一統(tǒng)計數(shù)據(jù)令人震驚,只有20%的企業(yè)配備監(jiān)控加密流量——這意味著80%的企業(yè)可能會因為不解加密流量以進行安全掃描而遺漏了大多數(shù)惡意軟件。
具體而言,人們發(fā)現(xiàn)WatchGuard只有兩個惡意軟件變種XML.JSLoader和AMSI.Disable.A,它們的攻擊數(shù)量占通過安全Web連接檢測到的惡意軟件的90%以上。如果沒有一些有效的流量分析方法,并且沒有辦法識別的話,即使是少數(shù)變種,其帶來的威脅也嚴(yán)重。
通過加密流量傳遞的惡意軟件的數(shù)量也出現(xiàn)了巨大的增長。根據(jù)Zscaler公司最近發(fā)布的一份調(diào)查報告,與2020年隱藏在加密流量中的惡意軟件的數(shù)量相比,新冠疫情已經(jīng)導(dǎo)致2021年出現(xiàn)了314%的增長,該報告分析了通過加密渠道傳遞的數(shù)十億個威脅。
性能問題和隱私考慮是惡意軟件通過的最大原因。“由于性能下降,加密流量的檢查過于頻繁。這就是會有如此多的惡意軟件通過端口443進入企業(yè)的原因,而沒有人通過解密數(shù)據(jù)包來尋找惡意軟件。當(dāng)需要解密和深度數(shù)據(jù)包檢查時,我們必須對安全架構(gòu)進行現(xiàn)代化改造,以滿足性能要求。”EVOTEK公司首席信息安全官兼執(zhí)行顧問Matt Stamper說。他也是國際信息系統(tǒng)審計協(xié)會(ISACA)圣地亞哥分會的主席。
Stamper表示,可以使用威脅模型來審查加密流量中涉及惡意軟件的不同固有風(fēng)險。他還認(rèn)為,安全架構(gòu)必須考慮到大多數(shù)流量都可以而且應(yīng)該加密。
Stamper指出需要擴展安全架構(gòu)以匹配威脅。他說,“對于首席信息安全官來說,他們有責(zé)任廣泛地審視風(fēng)險,并了解可能存在盲點的地方,以及當(dāng)前的安全架構(gòu)和安全監(jiān)控實踐可能使企業(yè)在不知情的情況下暴露的領(lǐng)域。”
Stamper認(rèn)為,防御策略的一部分是將零信任原則擴展到默認(rèn)情況下不信任加密流量。他說,“為了提供或增強保證,加密流量應(yīng)該被解密、檢查和分類,并以不破壞系統(tǒng)和網(wǎng)絡(luò)性能的方式進行。然而,傳統(tǒng)的安全架構(gòu)無法大規(guī)模地做到這一點。”他補充說,這就是希望淘汰傳統(tǒng)安全架構(gòu)的企業(yè)正在迅速努力使安全實現(xiàn)現(xiàn)代化的原因。
首先限制用戶對數(shù)據(jù)的訪問
Unisys公司亞太地區(qū)首席安全架構(gòu)師Stephen Green也指出了應(yīng)用零信任原則的好處,在這種情況下,可以限制用戶僅訪問需要的內(nèi)容。然后確保應(yīng)用最先進的端點安全。
現(xiàn)在使這種威脅更加危險的是,網(wǎng)絡(luò)犯罪分子可以求助于基于云計算的通用URL,例如通過Amazon S3,從而降低URL過濾等常用安全控制措施的有效性。Green說,“對于沒有制定明確計劃來在多個層面處理這個問題的企業(yè)來說,這是一個重大威脅。”
Green表示,首席信息安全官還應(yīng)該在采用任何新技術(shù)修復(fù)之前明確需要保護的內(nèi)容,然后采用縱深防御原則,對要保護的資產(chǎn)進行分層安全控制。然后可以將威脅建模應(yīng)用于設(shè)計和測試控件。他表示,這是一種向外移動到威脅源并繼續(xù)分層控制,最終達到“URL過濾”、“SSL/TLS攔截和惡意軟件掃描”的方法,用于實時檢查和篩選流量。
Green補充說,“每個控件都有其弱點。例如,SSL/TLS攔截容易破壞網(wǎng)站,有時會設(shè)置異常。這就是通過重疊控制進行縱深防御對于降低風(fēng)險如此重要的原因。”
Green對希望降低威脅級別的首席信息安全官的建議是考慮企業(yè)對此類攻擊的脆弱性。需要理解“風(fēng)險=威脅×漏洞”這個簡單的公式。他表示,為了量化風(fēng)險,首席信息安全官還必須考慮風(fēng)險發(fā)生的可能性以及發(fā)生時的影響。他說:“要評估影響,需要提出以下問題:‘業(yè)務(wù)運營對技術(shù)的依賴程度如何?’如今這種依賴性通常很高。‘不同技術(shù)系統(tǒng)之間的相互依賴程度如何?’,也就是一個系統(tǒng)被攻擊會在企業(yè)內(nèi)部引起多米諾骨牌效應(yīng)嗎?”
管理隱私注意事項
雖然在技術(shù)上是可行的,但解密流量會引發(fā)其他問題,例如隱私信息。Green表示,首席信息安全官需要首先就解密可接受的內(nèi)容尋求法律建議,并根據(jù)適用的運營國家/地區(qū)審查隱私原則。他說,“實施跨越人員和技術(shù)的程序和標(biāo)準(zhǔn),使其與企業(yè)政策以及任何法律和安全要求保持一致。然后定期或持續(xù)確保遵守相關(guān)的隱私法規(guī)則。”
在管理隱私方面,Evotek公司的Stamper認(rèn)為解密流量需要考慮可能暴露的重要隱私。他指出,“在解密過程中,敏感內(nèi)容將會可見。也就是說這是如何處理的重要背景,更重要的是,將會發(fā)生在何處。”
Stamper提出了一種方法,要求首席信息安全官和隱私管理人員審查加密流量確實被解密和檢查的場景和影響,以用于安全和其他目的(例如數(shù)據(jù)丟失預(yù)防)。
他說,“在理想情況下,這種流量的分類應(yīng)該與由少數(shù)經(jīng)過嚴(yán)格審查的員工管理的高級安全應(yīng)用程序一起進行,以便對流量進行機器審查,以在有限的人工干預(yù)下審查惡意軟件和其他問題。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。