Злоумышленники охотно используют протокол шифрования трафика SSL для сокрытия киберугроз. Стандартные корпоративные ИТ-системы с этой проблемой не справляются.

Половину атак не видно

Повсеместный рост использования SSL-шифрования трафика приводит к тому, что корпоративные системы безопасности не видят примерно половины кибератак, направленных на конечных пользователей внутри периметра. Это следует из результатов исследования угроз в сфере облачной безопасности компании Zscaler.

Злоумышленники с большой охотой используют SSL-шифрование, поскольку, как указывается в исследовании, теперь соответствующие сертификаты стало очень просто получить.

«По мере роста озабоченности конфиденциальностью данных возникла мощная тенденция к шифрованию интернет-трафика по умолчанию, — заявил старший технический директор и вице-президент Zscaler Амит Синха (Amit Sinha). — Для конфиденциальности это действительно великолепное решение, но для ИТ-безопасности это новая проблема. Расшифровка, исследование и перешифровка трафика — задача нетривиальная, у традиционных устройств защиты сетей она вызывает резкий спад производительности, и большинство организацией не имеют технической оснастки для инспектирования зашифрованного трафика в должных объемах».

По его словам, сегодня значительная часть киберугроз «доставляется» посредством шифрованного трафика, и системы безопасности организаций не видят более половины вредоносного ПО, которое направляется работникам этих организаций.

Способ борьбы? «Промежуточная инспекция»

Облачная платформа Zscaler позволяет производить широкомасштабную промежуточную инспекцию SSL-трафика без ущерба производительности; половину прошлого года (июль-декабрь 2018 г.) разработки Zscaler позволили заблокировать 1,7 млрд. угроз, скрытых в SSL-трафике.

По общему итогу Zscaler удалось ежемесячно блокировать 2,7 млн фишинговых атак, производившихся через зашифрованные каналы (+400% по сравнению с 2017 г.), 32 млн соединений с ботнетам, порядка 240 тыс. попыток атаковать пользователей через браузер.

Примерно треть новых вредоносных доменов, которые блокировались системами Zscaler, использовали SSL-соединения.

Фишеры также охотно использовали HTTPS-трафик для атак на пользователей ряда крупнейших мировых сервисов. Например, на пользователей Microsoft Office 365 и OneDrive были направлены 58% атак; 12% атак — на пользователей Facebook, по 10% — на Amazon и Apple, по 4% — на пользователей Adobe и Dropbox, 2% — DocuSign.

Одна из самых неприятных тенденций, отмеченных Zscaler в 2018 г., — это рост количества атак с использованием программных скиммеров на JavaScript. Они начинаются с компрометации площадок электронной коммерции и внедрением тщательно замаскированного скрипта, который пытается перехватывать платежные данные. С использованием SSL эти атаки становятся особенно опасными, поскольку своевременное их обнаружение оказывается чрезвычайно затруднено.

Не все эксперты, однако, согласны с тем, что предлагаемый Zscaler подход адекватен проблеме. «Любая технология может быть использована в преступных целях, и технологии шифрования тут не исключение, — отмечает Тарас Татаринов, эксперт по информационной безопасности компании SEC Consult Services. — Это, однако, не повод отказываться от шифрования: наоборот, фактически подтверждается эффективность протокола SSL в защите передаваемых данных. Что же касается внедрения решений, обеспечивающих расшифровку анализ и повторное шифрование данных, то здесь следует проявлять большую осторожность: по сути речь идет об атаке “человек посередине”. Такой подход компрометирует основы концепции сквозного шифрования, и потенциально представляют значительную угрозу конфиденциальности как таковой».

Источник: cnews.ru