根据最近发布的《WatchGuard 2021年第二季度互联网安全》调查报告,虽然很多首席信息安全官可能意识到恶意软件的风险,但其中大部分风险(高达91.5%)是通过加密连接带来的。这一统计数据令人震惊,只有20%的企业配备监控加密流量——这意味着80%的企业可能会因为不解加密流量以进行安全扫描而遗漏了大多数恶意软件。
具体而言,人们发现WatchGuard只有两个恶意软件变种XML.JSLoader和AMSI.Disable.A,它们的攻击数量占通过安全Web连接检测到的恶意软件的90%以上。如果没有一些有效的流量分析方法,并且没有办法识别的话,即使是少数变种,其带来的威胁也严重。
通过加密流量传递的恶意软件的数量也出现了巨大的增长。根据Zscaler公司最近发布的一份调查报告,与2020年隐藏在加密流量中的恶意软件的数量相比,新冠疫情已经导致2021年出现了314%的增长,该报告分析了通过加密渠道传递的数十亿个威胁。
性能问题和隐私考虑是恶意软件通过的最大原因。“由于性能下降,加密流量的检查过于频繁。这就是会有如此多的恶意软件通过端口443进入企业的原因,而没有人通过解密数据包来寻找恶意软件。当需要解密和深度数据包检查时,我们必须对安全架构进行现代化改造,以满足性能要求。”EVOTEK公司首席信息安全官兼执行顾问Matt Stamper说。他也是国际信息系统审计协会(ISACA)圣地亚哥分会的主席。
Stamper表示,可以使用威胁模型来审查加密流量中涉及恶意软件的不同固有风险。他还认为,安全架构必须考虑到大多数流量都可以而且应该加密。
Stamper指出需要扩展安全架构以匹配威胁。他说,“对于首席信息安全官来说,他们有责任广泛地审视风险,并了解可能存在盲点的地方,以及当前的安全架构和安全监控实践可能使企业在不知情的情况下暴露的领域。”
Stamper认为,防御策略的一部分是将零信任原则扩展到默认情况下不信任加密流量。他说,“为了提供或增强保证,加密流量应该被解密、检查和分类,并以不破坏系统和网络性能的方式进行。然而,传统的安全架构无法大规模地做到这一点。”他补充说,这就是希望淘汰传统安全架构的企业正在迅速努力使安全实现现代化的原因。
首先限制用户对数据的访问
Unisys公司亚太地区首席安全架构师Stephen Green也指出了应用零信任原则的好处,在这种情况下,可以限制用户仅访问需要的内容。然后确保应用最先进的端点安全。
现在使这种威胁更加危险的是,网络犯罪分子可以求助于基于云计算的通用URL,例如通过Amazon S3,从而降低URL过滤等常用安全控制措施的有效性。Green说,“对于没有制定明确计划来在多个层面处理这个问题的企业来说,这是一个重大威胁。”
Green表示,首席信息安全官还应该在采用任何新技术修复之前明确需要保护的内容,然后采用纵深防御原则,对要保护的资产进行分层安全控制。然后可以将威胁建模应用于设计和测试控件。他表示,这是一种向外移动到威胁源并继续分层控制,最终达到“URL过滤”、“SSL/TLS拦截和恶意软件扫描”的方法,用于实时检查和筛选流量。
Green补充说,“每个控件都有其弱点。例如,SSL/TLS拦截容易破坏网站,有时会设置异常。这就是通过重叠控制进行纵深防御对于降低风险如此重要的原因。”
Green对希望降低威胁级别的首席信息安全官的建议是考虑企业对此类攻击的脆弱性。需要理解“风险=威胁×漏洞”这个简单的公式。他表示,为了量化风险,首席信息安全官还必须考虑风险发生的可能性以及发生时的影响。他说:“要评估影响,需要提出以下问题:‘业务运营对技术的依赖程度如何?’如今这种依赖性通常很高。‘不同技术系统之间的相互依赖程度如何?’,也就是一个系统被攻击会在企业内部引起多米诺骨牌效应吗?”
管理隐私注意事项
虽然在技术上是可行的,但解密流量会引发其他问题,例如隐私信息。Green表示,首席信息安全官需要首先就解密可接受的内容寻求法律建议,并根据适用的运营国家/地区审查隐私原则。他说,“实施跨越人员和技术的程序和标准,使其与企业政策以及任何法律和安全要求保持一致。然后定期或持续确保遵守相关的隐私法规则。”
在管理隐私方面,Evotek公司的Stamper认为解密流量需要考虑可能暴露的重要隐私。他指出,“在解密过程中,敏感内容将会可见。也就是说这是如何处理的重要背景,更重要的是,将会发生在何处。”
Stamper提出了一种方法,要求首席信息安全官和隐私管理人员审查加密流量确实被解密和检查的场景和影响,以用于安全和其他目的(例如数据丢失预防)。
他说,“在理想情况下,这种流量的分类应该与由少数经过严格审查的员工管理的高级安全应用程序一起进行,以便对流量进行机器审查,以在有限的人工干预下审查恶意软件和其他问题。”