加密惡意軟件的激增給首席信息安全官帶來雙重挑戰
如果沒有適當的檢查,隨著加密流量中惡意軟件數量的增加,加密數據可能成為重大的安全威脅。大多數企業都沒有準備好進行適當的流量分析來應對這個問題。這是對隱藏在加密流量中的惡意軟件對企業構成威脅進行研究得出的兩個結論。
根據最近發布的《WatchGuard 2021年第二季度互聯網安全》調查報告,雖然很多首席信息安全官可能意識到惡意軟件的風險,但其中大部分風險(高達91.5%)是通過加密連接帶來的。這一統計數據令人震驚,只有20%的企業配備監控加密流量——這意味著80%的企業可能會因為不解加密流量以進行安全掃描而遺漏了大多數惡意軟件。
具體而言,人們發現WatchGuard只有兩個惡意軟件變種XML.JSLoader和AMSI.Disable.A,它們的攻擊數量占通過安全Web連接檢測到的惡意軟件的90%以上。如果沒有一些有效的流量分析方法,并且沒有辦法識別的話,即使是少數變種,其帶來的威脅也嚴重。
通過加密流量傳遞的惡意軟件的數量也出現了巨大的增長。根據Zscaler公司最近發布的一份調查報告,與2020年隱藏在加密流量中的惡意軟件的數量相比,新冠疫情已經導致2021年出現了314%的增長,該報告分析了通過加密渠道傳遞的數十億個威脅。
性能問題和隱私考慮是惡意軟件通過的最大原因。“由于性能下降,加密流量的檢查過于頻繁。這就是會有如此多的惡意軟件通過端口443進入企業的原因,而沒有人通過解密數據包來尋找惡意軟件。當需要解密和深度數據包檢查時,我們必須對安全架構進行現代化改造,以滿足性能要求。”EVOTEK公司首席信息安全官兼執行顧問Matt Stamper說。他也是國際信息系統審計協會(ISACA)圣地亞哥分會的主席。
Stamper表示,可以使用威脅模型來審查加密流量中涉及惡意軟件的不同固有風險。他還認為,安全架構必須考慮到大多數流量都可以而且應該加密。
Stamper指出需要擴展安全架構以匹配威脅。他說,“對于首席信息安全官來說,他們有責任廣泛地審視風險,并了解可能存在盲點的地方,以及當前的安全架構和安全監控實踐可能使企業在不知情的情況下暴露的領域。”
Stamper認為,防御策略的一部分是將零信任原則擴展到默認情況下不信任加密流量。他說,“為了提供或增強保證,加密流量應該被解密、檢查和分類,并以不破壞系統和網絡性能的方式進行。然而,傳統的安全架構無法大規模地做到這一點。”他補充說,這就是希望淘汰傳統安全架構的企業正在迅速努力使安全實現現代化的原因。
首先限制用戶對數據的訪問
Unisys公司亞太地區首席安全架構師Stephen Green也指出了應用零信任原則的好處,在這種情況下,可以限制用戶僅訪問需要的內容。然后確保應用最先進的端點安全。
現在使這種威脅更加危險的是,網絡犯罪分子可以求助于基于云計算的通用URL,例如通過Amazon S3,從而降低URL過濾等常用安全控制措施的有效性。Green說,“對于沒有制定明確計劃來在多個層面處理這個問題的企業來說,這是一個重大威脅。”
Green表示,首席信息安全官還應該在采用任何新技術修復之前明確需要保護的內容,然后采用縱深防御原則,對要保護的資產進行分層安全控制。然后可以將威脅建模應用于設計和測試控件。他表示,這是一種向外移動到威脅源并繼續分層控制,最終達到“URL過濾”、“SSL/TLS攔截和惡意軟件掃描”的方法,用于實時檢查和篩選流量。
Green補充說,“每個控件都有其弱點。例如,SSL/TLS攔截容易破壞網站,有時會設置異常。這就是通過重疊控制進行縱深防御對于降低風險如此重要的原因。”
Green對希望降低威脅級別的首席信息安全官的建議是考慮企業對此類攻擊的脆弱性。需要理解“風險=威脅×漏洞”這個簡單的公式。他表示,為了量化風險,首席信息安全官還必須考慮風險發生的可能性以及發生時的影響。他說:“要評估影響,需要提出以下問題:‘業務運營對技術的依賴程度如何?’如今這種依賴性通常很高。‘不同技術系統之間的相互依賴程度如何?’,也就是一個系統被攻擊會在企業內部引起多米諾骨牌效應嗎?”
管理隱私注意事項
雖然在技術上是可行的,但解密流量會引發其他問題,例如隱私信息。Green表示,首席信息安全官需要首先就解密可接受的內容尋求法律建議,并根據適用的運營國家/地區審查隱私原則。他說,“實施跨越人員和技術的程序和標準,使其與企業政策以及任何法律和安全要求保持一致。然后定期或持續確保遵守相關的隱私法規則。”
在管理隱私方面,Evotek公司的Stamper認為解密流量需要考慮可能暴露的重要隱私。他指出,“在解密過程中,敏感內容將會可見。也就是說這是如何處理的重要背景,更重要的是,將會發生在何處。”
Stamper提出了一種方法,要求首席信息安全官和隱私管理人員審查加密流量確實被解密和檢查的場景和影響,以用于安全和其他目的(例如數據丟失預防)。
他說,“在理想情況下,這種流量的分類應該與由少數經過嚴格審查的員工管理的高級安全應用程序一起進行,以便對流量進行機器審查,以在有限的人工干預下審查惡意軟件和其他問題。”
