攻击者利用隐藏攻击针对 SSL 的恶意使用增加

使用加密流量“隐藏”攻击的数量增加了260％。

Zscaler的一项新研究分析了66亿个安全威胁，发现2020年前九个月的攻击增加了260%。在加密攻击中，勒索软件的数量增加了500%，其中最突出的变体是FileCrypt/FileCoder，其次是Sodinokibi、Maze和Ryuk。

Zscaler声称对手已经利用SSL隐藏了攻击，“没有经过适当检查就将加密的使用转化为潜在的威胁。” 这意味着网络犯罪分子正在使用行业标准的加密方法将恶意软件隐藏在加密流量中，以进行绕过检测的攻击。

CISO兼Zscaler安全研究副总裁Deepen Desai表示：“我们看到，在整个攻击周期中，网络犯罪分子会利用加密通道，从最初的传递阶段开始（带有链接的电子邮件，受感染的站点，使用SSL / TLS）到有效负载交付（托管在Dropbox，Google Drive，AWS等云存储服务上的有效负载）。”

Synopsys CyRC的首席安全策略师Tim Mackey告诉Infosecurity，使用SSL或TLS作为攻击的一部分是对到2020年将对合法网站和系统流量进行加密的一种认可。

他说：“将恶意流量隐藏在合法活动中具有明显的好处，即允许攻击者以较低的被发现风险进入攻击的早期阶段。” “此外，如果攻击者的工具包利用了现有的系统服务，例如由操作系统提供的加密模块，以及流行的云存储系统，如Pastebin、GitHub或S3存储桶，则更难区分合法访问和恶意访问。

此外，DomainTools的安全研究员马修·帕尔(Matthew Pahl)表示，也有攻击者使用SSL加密-例如通过端口443-从目标窃取数据的情况，因此报告中概述的威胁是真实的。

他补充说：“组织应该在所有端点上放置检查证书，以便进行SSL检查。但是，也值得记住的是，这并不是万灵药，因为解密和读取出站流量的能力只是深度防御策略的一个组成部分。”

Zscaler声称检查加密流量必须是每个组织安全防御的关键组成部分，但是问题是传统的本地安全工具，例如下一代防火墙都难以提供解密，检查和重新加密流量所需的性能和容量。有效的方式。同样，尝试检查所有SSL流量将使性能（和生产力）停滞不前，因此许多组织允许至少部分加密流量不受信任的云服务提供商的检查。

报告说：“这是一个严重的漏洞。” “如果无法检查所有加密的流量，则组织容易受到隐藏的网络钓鱼攻击，恶意软件等的威胁，而所有这些灾难性灾难性后果。”

如果检查加密流量必须是每个组织的安全防御的关键组成部分，那么企业实际上能够做到这一点吗？Mackey说：“任何实施TLS流量深度检查的计划都应由法律顾问和业务数据隐私负责人审查。作为中间步骤，运行内部DNS系统的企业可以实施基于使用情况配置文件对网络进行分段的网络策略。在每个细分市场中，可以在DNS层将对基于云的存储系统的访问限制为仅具有合法业务要求的计算机才能访问它们。”

Martin Jartelius，CSO在Outpost24表示：“这主要是针对在走向市场‘legal interception’定位解决方案的尝试。在某种程度上，这当然会在很大程度上侵犯隐私，但也仅在发送的流量未使用证书固定或发送的流量未在隧道内建立加密数据的隧道时才起作用。

“检测非常好，并且如果可以在网络上完成检测，这将增加一个层次和机会，但是您需要的是防止最初的感染，检测异常用户行为。“legal interception”解决方案本身就是一个挑战，例如对GDPR合规性的挑战。”