2023年加密攻擊態勢觀察:85.9%的威脅通過加密通道發起
加密技術已經成為保護數據在互聯網上安全傳輸的重要手段,但同時也是一把雙刃劍,它在保護敏感信息和數據的同時,也為網絡犯罪分子隱藏惡意活動提供了幫助。日前,Zscaler公司的 ThreatLabz安全研究團隊編寫發布了《2023年加密攻擊態勢調查報告》,通過數據監測、用戶訪談、事件分析等方式,對當前加密攻擊威脅態勢進行了分析和觀察。報告數據顯示,目前85.9%的網絡威脅是通過加密通道發起的,這凸顯了安全運營人員全面檢查所有網絡流量的必要性。
報告關鍵發現
- 目前85.9%的網絡威脅是通過加密通道發起的。制造業是遭受加密攻擊最嚴重的行業,31.6%的加密攻擊以制造業企業為目標;
- 教育和政府部門遭受加密攻擊的增長幅度最大,分別同比增長了276.4%和185%;
- 報告發現,加密惡意軟件已經成為企業組織的最嚴重威脅之一,占觀察到所有攻擊的78.1%。加密惡意軟件包括惡意web內容、惡意軟件有效載荷、基于宏的惡意軟件等,其中最常見的是ChromeLoader,其次是MedusaLocker和Redline Stealer;
- 美國和印度是加密攻擊的主要目標國家,緊隨其后的是澳大利亞、法國和英國;
- 數據顯示,瀏覽器漏洞和廣告間諜軟件網站分別同比增長了297.1%和290.5%,這表明使用加密通道來利用Web瀏覽器漏洞和分發間諜軟件的趨勢令人擔憂。
加密攻擊的主要類別
了解最普遍的威脅類別對于主動緩解威脅和確保數字系統的安全性和彈性至關重要。本次報告通過廣泛調研和數據采集,對當今威脅最廣泛的加密威脅類別進行了梳理和統計。
研究人員發現,在過去一年中,惡意軟件、廣告間諜軟件網站和網絡釣魚合計占Zscaler攔截的所有加密攻擊的99%。而廣告間諜軟件、跨站點腳本(XSS)、加密挖掘和加密劫持則是新興的加密攻擊威脅和獨特的攻擊媒介。一旦被利用,這些威脅類型中的每一種都可能使攻擊者通過SSL/TLS通道竊取到組織的數據。
圖片
表1:2023年 VS 2022年的威脅類別比較
惡意軟件是加密威脅的主力軍,在2022年10月至2023年9月期間,惡意軟件是233億次加密點擊的幕后推手,占所有攻擊嘗試的78.1%。惡意軟件包括各種各樣的威脅——從病毒、惡意Web內容到惡意負載——這凸顯了為什么它是一個如此普遍的安全挑戰。
加密攻擊針對的重點行業
通過識別受加密攻擊影響最大的行業,組織可以調整其安全策略以對抗針對特定行業的威脅。本次報告調研發現,目前受加密攻擊影響最大的五大行業是:
- 制造業;
- 技術和通信;
- 服務;
- 醫療保健;
- 教育。
圖片
值得注意的是,盡管教育和政府部門并非最具針對性的行業,但它們分別經歷了276.4%和185%的增長。這些部門越來越多地采用加密技術來保護敏感數據和通信,這反過來也對威脅行為者產生了巨大吸引力。
加密攻擊趨勢預測
在本次報告中,研究人員對加密攻擊未來發展趨勢進行了以下預測:
- 人工智能和自動化能力將推動加密攻擊的進一步增長。這些創新技術將使攻擊者能夠執行越來越復雜的加密攻擊策略,包括創建更令人信服的網絡釣魚攻擊、多形態拓撲結構惡意軟件,從而更輕松地繞過傳統安全措施。生成式人工智能和自動化的結合將允許威脅行為者使用加密通道大規模發起這些攻擊;
- 對合法云服務的濫用將繼續增加。威脅行為者利用流行的云服務及其通配符證書來托管惡意攻擊內容,并從受害者的環境中通過加密通道泄露敏感信息;
- 物聯網(IoT)的擴展將擴大加密通信的攻擊面。攻擊者將越來越多地瞄準物聯網設備漏洞,并利用其加密通道來建立持久性、泄露數據或在避免檢測的情況下橫向移動;
- 迫在眉睫的量子威脅將推進標準制定。隨著我們越來越接近“量子攻擊可能破壞TLS和HTTPS算法”的現實,開發抗量子加密方法和標準的緊迫性將在2024年進一步提升;
- 高級持續性威脅(APT)將越來越傾向于加密通道。這些高度組織化且通常由國家支持的威脅行為者將越來越多地利用其廣泛的資源和專業知識,來利用加密漏洞并利用加密滲透目標網絡。
加密攻擊防護建議
考慮到95%的網絡流量都是加密的,如果企業不徹底檢查加密流量,就會對大多數威脅視而不見。在這種情況下,安全研究人員建議:企業應該采用零信任架構來檢查所有加密流量,并根據業務策略阻止或隔離惡意流量。這創建了一種單一的、整體的、操作簡單的方法來跨所有流量應用策略,且不會影響性能或產生合規性噩夢。
具體而言,企業組織在檢查所有加密流量時,可以采用以下建議:
- 使用微分段來減少訪問,即使對已認證的用戶也是如此;
- 使用零信任架構來全面保護用戶和應用程序之間、物聯網和OT系統等設備之間、所有位置和分支機構之間、云工作負載之間的所有連接。這使企業能夠隨時檢查所有流量,從而在簡化操作的同時提高安全性;
- 了解每個面向互聯網的服務,無論它是位于數據中心還是云,只要它能被發現、攻擊和利用,都需要進行徹底審查;
- 使用內聯、基于代理的架構來解密、檢測和防止所有加密流量的威脅;
- 利用人工智能驅動的云沙箱來隔離未知攻擊,并在觸及用戶之前阻止“零號病人”惡意軟件;
- 減少進入環境的入口點數量。審計組織的攻擊面,及時更新安全補丁,并修復任何錯誤配置。此外,還應該將面向互聯網的應用程序置于代理連接的云代理之后。
