加密惡意軟件的激增給首席信息安全官帶來雙重挑戰(zhàn)
如果沒有適當?shù)臋z查,隨著加密流量中惡意軟件數(shù)量的增加,加密數(shù)據(jù)可能成為重大的安全威脅。大多數(shù)企業(yè)都沒有準備好進行適當?shù)牧髁糠治鰜響獙@個問題。這是對隱藏在加密流量中的惡意軟件對企業(yè)構成威脅進行研究得出的兩個結論。
根據(jù)最近發(fā)布的《WatchGuard 2021年第二季度互聯(lián)網(wǎng)安全》調查報告,雖然很多首席信息安全官可能意識到惡意軟件的風險,但其中大部分風險(高達91.5%)是通過加密連接帶來的。這一統(tǒng)計數(shù)據(jù)令人震驚,只有20%的企業(yè)配備監(jiān)控加密流量——這意味著80%的企業(yè)可能會因為不解加密流量以進行安全掃描而遺漏了大多數(shù)惡意軟件。
具體而言,人們發(fā)現(xiàn)WatchGuard只有兩個惡意軟件變種XML.JSLoader和AMSI.Disable.A,它們的攻擊數(shù)量占通過安全Web連接檢測到的惡意軟件的90%以上。如果沒有一些有效的流量分析方法,并且沒有辦法識別的話,即使是少數(shù)變種,其帶來的威脅也嚴重。
通過加密流量傳遞的惡意軟件的數(shù)量也出現(xiàn)了巨大的增長。根據(jù)Zscaler公司最近發(fā)布的一份調查報告,與2020年隱藏在加密流量中的惡意軟件的數(shù)量相比,新冠疫情已經(jīng)導致2021年出現(xiàn)了314%的增長,該報告分析了通過加密渠道傳遞的數(shù)十億個威脅。
性能問題和隱私考慮是惡意軟件通過的最大原因。“由于性能下降,加密流量的檢查過于頻繁。這就是會有如此多的惡意軟件通過端口443進入企業(yè)的原因,而沒有人通過解密數(shù)據(jù)包來尋找惡意軟件。當需要解密和深度數(shù)據(jù)包檢查時,我們必須對安全架構進行現(xiàn)代化改造,以滿足性能要求。”EVOTEK公司首席信息安全官兼執(zhí)行顧問Matt Stamper說。他也是國際信息系統(tǒng)審計協(xié)會(ISACA)圣地亞哥分會的主席。
Stamper表示,可以使用威脅模型來審查加密流量中涉及惡意軟件的不同固有風險。他還認為,安全架構必須考慮到大多數(shù)流量都可以而且應該加密。
Stamper指出需要擴展安全架構以匹配威脅。他說,“對于首席信息安全官來說,他們有責任廣泛地審視風險,并了解可能存在盲點的地方,以及當前的安全架構和安全監(jiān)控實踐可能使企業(yè)在不知情的情況下暴露的領域。”
Stamper認為,防御策略的一部分是將零信任原則擴展到默認情況下不信任加密流量。他說,“為了提供或增強保證,加密流量應該被解密、檢查和分類,并以不破壞系統(tǒng)和網(wǎng)絡性能的方式進行。然而,傳統(tǒng)的安全架構無法大規(guī)模地做到這一點。”他補充說,這就是希望淘汰傳統(tǒng)安全架構的企業(yè)正在迅速努力使安全實現(xiàn)現(xiàn)代化的原因。
首先限制用戶對數(shù)據(jù)的訪問
Unisys公司亞太地區(qū)首席安全架構師Stephen Green也指出了應用零信任原則的好處,在這種情況下,可以限制用戶僅訪問需要的內(nèi)容。然后確保應用最先進的端點安全。
現(xiàn)在使這種威脅更加危險的是,網(wǎng)絡犯罪分子可以求助于基于云計算的通用URL,例如通過Amazon S3,從而降低URL過濾等常用安全控制措施的有效性。Green說,“對于沒有制定明確計劃來在多個層面處理這個問題的企業(yè)來說,這是一個重大威脅。”
Green表示,首席信息安全官還應該在采用任何新技術修復之前明確需要保護的內(nèi)容,然后采用縱深防御原則,對要保護的資產(chǎn)進行分層安全控制。然后可以將威脅建模應用于設計和測試控件。他表示,這是一種向外移動到威脅源并繼續(xù)分層控制,最終達到“URL過濾”、“SSL/TLS攔截和惡意軟件掃描”的方法,用于實時檢查和篩選流量。
Green補充說,“每個控件都有其弱點。例如,SSL/TLS攔截容易破壞網(wǎng)站,有時會設置異常。這就是通過重疊控制進行縱深防御對于降低風險如此重要的原因。”
Green對希望降低威脅級別的首席信息安全官的建議是考慮企業(yè)對此類攻擊的脆弱性。需要理解“風險=威脅×漏洞”這個簡單的公式。他表示,為了量化風險,首席信息安全官還必須考慮風險發(fā)生的可能性以及發(fā)生時的影響。他說:“要評估影響,需要提出以下問題:‘業(yè)務運營對技術的依賴程度如何?’如今這種依賴性通常很高。‘不同技術系統(tǒng)之間的相互依賴程度如何?’,也就是一個系統(tǒng)被攻擊會在企業(yè)內(nèi)部引起多米諾骨牌效應嗎?”
管理隱私注意事項
雖然在技術上是可行的,但解密流量會引發(fā)其他問題,例如隱私信息。Green表示,首席信息安全官需要首先就解密可接受的內(nèi)容尋求法律建議,并根據(jù)適用的運營國家/地區(qū)審查隱私原則。他說,“實施跨越人員和技術的程序和標準,使其與企業(yè)政策以及任何法律和安全要求保持一致。然后定期或持續(xù)確保遵守相關的隱私法規(guī)則。”
在管理隱私方面,Evotek公司的Stamper認為解密流量需要考慮可能暴露的重要隱私。他指出,“在解密過程中,敏感內(nèi)容將會可見。也就是說這是如何處理的重要背景,更重要的是,將會發(fā)生在何處。”
Stamper提出了一種方法,要求首席信息安全官和隱私管理人員審查加密流量確實被解密和檢查的場景和影響,以用于安全和其他目的(例如數(shù)據(jù)丟失預防)。
他說,“在理想情況下,這種流量的分類應該與由少數(shù)經(jīng)過嚴格審查的員工管理的高級安全應用程序一起進行,以便對流量進行機器審查,以在有限的人工干預下審查惡意軟件和其他問題。”
