如果没有适当的检查,加密数据可能会成为加密流量中恶意软件数量增加的重大安全威胁。大多数公司还没有准备好进行适当的流量分析来处理这个问题。这是对隐藏在加密流量中的恶意软件对企业构成威胁的两个结论。
根据最近发布的《WatchGuard 2021年第二季度互联网安全调查报告显示,尽管许多首席信息安全官可能意识到恶意软件的风险,但大部分风险(高达91.5%)是通过加密连接带来的。这一统计令人震惊,只有20%的企业配备监控加密流量——这意味着80%的企业可能会因为不了解加密流量进行安全扫描而错过大多数恶意软件。
具体来说,人们发现了WatchGuard只有两个恶意软件变种XML.JSLoader和AMSI.Disable.A,它们的攻击数量通过安全占用Web连接检测到的90%以上的恶意软件。如果没有有效的流量分析方法,也无法识别,即使是少数变体也会带来严重威胁。
通过加密流量传递的恶意软件数量也大幅增加。Zscaler与2020年隐藏在加密流量中的恶意软件数量相比,公司最近发布的一份调查报告导致2021年新冠肺炎疫情314%增加密渠道传递的数十亿威胁。
恶意软件通过的最大原因是性能问题和隐私考虑。“由于性能下降,加密流量的检查过于频繁。这就是会有如此多的恶意软件通过端口443进入企业的原因,而没有人通过解密数据包来寻找恶意软件。当需要解密和深度数据包检查时,我们必须对安全架构进行现代化改造,以满足性能要求。”EVOTEK公司首席信息安全官兼执行顾问Matt Stamper说。他也是国际信息系统审计协会(ISACA)圣地亚哥分会主席。
Stamper这意味着可以使用威胁模型来审查加密流量中涉及恶意软件的不同固有风险。他还认为,安全架构必须考虑大多数流量,并且应该加密。
Stamper指出需要扩大安全结构来匹配威胁。“对于首席信息安全官来说,他们有责任广泛审视风险,了解可能存在的盲点,以及当前安全结构和安全监控实践可能使企业在不知情的情况下暴露的领域。”
Stamper认为,防御策略的一部分是将零信任原则扩展到默认情况下不信任加密流量。他说,“为了提供或增强保证,应对加密流量进行解密、检查和分类,损坏系统和网络性能的方式进行。然而,传统的安全结构并不能大规模地做到这一点。”他补充说,这就是为什么希望淘汰传统安全结构的企业正在迅速努力实现安全现代化的原因。
首先,限制用户访问数据
Unisys公司亚太地区首席安全架构师Stephen Green它还指出了应用零信任原则的好处,限制用户只访问所需的内容。然后确保应用程序最先进的端点安全。
现在使这种威胁更加危险的是,网络犯罪分子可以求助于基于云计算的通用URL,例如通过Amazon S3,从而降低URL常用安全控制措施的有效性,如过滤。Green说,“对于没有明确计划在多个层面处理这个问题的企业来说,这是一个重大威胁。”
Green首席信息安全官还应在使用任何新技术修复之前明确需要保护的内容,然后采用深度防御原则,对需要保护的资产进行分层安全控制。然后威胁建模可以应用于设计和测试控件。他说,这是一种向外移动到威胁源并继续分层控制,最终实现“URL过滤”、“SSL/TLS拦截和恶意软件扫描”实时检查和筛选流量的方法。
Green补充说,“每个控件都有自己的弱点。SSL/TLS拦截容易损坏网站,有时会设置异常。这就是为什么通过重叠控制进行深度防御来降低风险。”
Green首席信息安全官希望降低威胁水平的建议是考虑企业对此类攻击的脆弱性。需要理解“风险=威胁×漏洞”这个简单的公式。他说,为了量化风险,首席信息安全官还必须考虑风险的可能性和影响。“需要提出以下问题来评估影响:‘业务运营如何依赖技术?’如今,这种依赖性通常很高。‘不同技术系统之间的相互依赖程度如何?’,也就是说,被攻击的系统会在企业内部产生多米诺骨牌效应吗?”
管理隐私注意事项
虽然技术上可行,但解密流量会导致隐私信息等其他问题。Green首席信息安全官需要首先就解密可接受的内容寻求法律建议,并根据适用的经营国家/地区审查隐私原则。“实施跨人员和技术的程序和标准,使其符合企业政策和任何法律和安全要求。然后定期或继续确保遵守相关的隐私法律法规。”
在隐私管理方面,Evotek公司的Stamper认为解密流量需要考虑可能暴露的重要隐私。他指出,“敏感内容将在解密过程中看到。也就是说,这是如何处理它的重要背景,更重要的是它将发生在哪里。”
Stamper为了安全和其他目的(如数据丢失预防),提出了一种方法,要求首席信息安全官和隐私管理人员审查加密流量的场景和影响。
他说,“理想情况下,该流量的分类应与少数经过严格审查的员工管理的高级安全应用程序一起进行,以便在有限的人工干预下审查恶意软件和其他问题。”