電子與智能化工程專業(yè)承包貳級(jí)資質(zhì)
建筑裝修裝飾工程專業(yè)承包貳級(jí)資質(zhì)
全國(guó)服務(wù)熱線
0577-88305671當(dāng)前位置: 主頁 > 文星動(dòng)態(tài) > 加密惡意軟件的激增給首席信息安全官帶來雙重挑戰(zhàn)
閱讀量:342 發(fā)表時(shí)間: 2021-11-25 13:51:26
如果沒有適當(dāng)?shù)臋z查,隨著加密流量中惡意軟件數(shù)量的增加,加密數(shù)據(jù)可能成為重大的安全威脅。大多數(shù)企業(yè)都沒有準(zhǔn)備好進(jìn)行適當(dāng)?shù)牧髁糠治鰜響?yīng)對(duì)這個(gè)問題。這是對(duì)隱藏在加密流量中的惡意軟件對(duì)企業(yè)構(gòu)成威脅進(jìn)行研究得出的兩個(gè)結(jié)論。
根據(jù)最近發(fā)布的《WatchGuard 2021年第二季度互聯(lián)網(wǎng)安全》調(diào)查報(bào)告,雖然很多首席信息安全官可能意識(shí)到惡意軟件的風(fēng)險(xiǎn),但其中大部分風(fēng)險(xiǎn)(高達(dá)91.5%)是通過加密連接帶來的。這一統(tǒng)計(jì)數(shù)據(jù)令人震驚,只有20%的企業(yè)配備監(jiān)控加密流量——這意味著80%的企業(yè)可能會(huì)因?yàn)椴唤饧用芰髁恳赃M(jìn)行安全掃描而遺漏了大多數(shù)惡意軟件。
具體而言,人們發(fā)現(xiàn)WatchGuard只有兩個(gè)惡意軟件變種XML.JSLoader和AMSI.Disable.A,它們的攻擊數(shù)量占通過安全Web連接檢測(cè)到的惡意軟件的90%以上。如果沒有一些有效的流量分析方法,并且沒有辦法識(shí)別的話,即使是少數(shù)變種,其帶來的威脅也嚴(yán)重。
通過加密流量傳遞的惡意軟件的數(shù)量也出現(xiàn)了巨大的增長(zhǎng)。根據(jù)Zscaler公司最近發(fā)布的一份調(diào)查報(bào)告,與2020年隱藏在加密流量中的惡意軟件的數(shù)量相比,新冠疫情已經(jīng)導(dǎo)致2021年出現(xiàn)了314%的增長(zhǎng),該報(bào)告分析了通過加密渠道傳遞的數(shù)十億個(gè)威脅。
性能問題和隱私考慮是惡意軟件通過的最大原因。“由于性能下降,加密流量的檢查過于頻繁。這就是會(huì)有如此多的惡意軟件通過端口443進(jìn)入企業(yè)的原因,而沒有人通過解密數(shù)據(jù)包來尋找惡意軟件。當(dāng)需要解密和深度數(shù)據(jù)包檢查時(shí),我們必須對(duì)安全架構(gòu)進(jìn)行現(xiàn)代化改造,以滿足性能要求。”EVOTEK公司首席信息安全官兼執(zhí)行顧問Matt Stamper說。他也是國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)(ISACA)圣地亞哥分會(huì)的主席。
Stamper表示,可以使用威脅模型來審查加密流量中涉及惡意軟件的不同固有風(fēng)險(xiǎn)。他還認(rèn)為,安全架構(gòu)必須考慮到大多數(shù)流量都可以而且應(yīng)該加密。
Stamper指出需要擴(kuò)展安全架構(gòu)以匹配威脅。他說,“對(duì)于首席信息安全官來說,他們有責(zé)任廣泛地審視風(fēng)險(xiǎn),并了解可能存在盲點(diǎn)的地方,以及當(dāng)前的安全架構(gòu)和安全監(jiān)控實(shí)踐可能使企業(yè)在不知情的情況下暴露的領(lǐng)域。”
Stamper認(rèn)為,防御策略的一部分是將零信任原則擴(kuò)展到默認(rèn)情況下不信任加密流量。他說,“為了提供或增強(qiáng)保證,加密流量應(yīng)該被解密、檢查和分類,并以不破壞系統(tǒng)和網(wǎng)絡(luò)性能的方式進(jìn)行。然而,傳統(tǒng)的安全架構(gòu)無法大規(guī)模地做到這一點(diǎn)。”他補(bǔ)充說,這就是希望淘汰傳統(tǒng)安全架構(gòu)的企業(yè)正在迅速努力使安全實(shí)現(xiàn)現(xiàn)代化的原因。
Unisys公司亞太地區(qū)首席安全架構(gòu)師Stephen Green也指出了應(yīng)用零信任原則的好處,在這種情況下,可以限制用戶僅訪問需要的內(nèi)容。然后確保應(yīng)用最先進(jìn)的端點(diǎn)安全。
現(xiàn)在使這種威脅更加危險(xiǎn)的是,網(wǎng)絡(luò)犯罪分子可以求助于基于云計(jì)算的通用URL,例如通過Amazon S3,從而降低URL過濾等常用安全控制措施的有效性。Green說,“對(duì)于沒有制定明確計(jì)劃來在多個(gè)層面處理這個(gè)問題的企業(yè)來說,這是一個(gè)重大威脅。”
Green表示,首席信息安全官還應(yīng)該在采用任何新技術(shù)修復(fù)之前明確需要保護(hù)的內(nèi)容,然后采用縱深防御原則,對(duì)要保護(hù)的資產(chǎn)進(jìn)行分層安全控制。然后可以將威脅建模應(yīng)用于設(shè)計(jì)和測(cè)試控件。他表示,這是一種向外移動(dòng)到威脅源并繼續(xù)分層控制,最終達(dá)到“URL過濾”、“SSL/TLS攔截和惡意軟件掃描”的方法,用于實(shí)時(shí)檢查和篩選流量。
Green補(bǔ)充說,“每個(gè)控件都有其弱點(diǎn)。例如,SSL/TLS攔截容易破壞網(wǎng)站,有時(shí)會(huì)設(shè)置異常。這就是通過重疊控制進(jìn)行縱深防御對(duì)于降低風(fēng)險(xiǎn)如此重要的原因。”
Green對(duì)希望降低威脅級(jí)別的首席信息安全官的建議是考慮企業(yè)對(duì)此類攻擊的脆弱性。需要理解“風(fēng)險(xiǎn)=威脅×漏洞”這個(gè)簡(jiǎn)單的公式。他表示,為了量化風(fēng)險(xiǎn),首席信息安全官還必須考慮風(fēng)險(xiǎn)發(fā)生的可能性以及發(fā)生時(shí)的影響。他說:“要評(píng)估影響,需要提出以下問題:‘業(yè)務(wù)運(yùn)營(yíng)對(duì)技術(shù)的依賴程度如何?’如今這種依賴性通常很高。‘不同技術(shù)系統(tǒng)之間的相互依賴程度如何?’,也就是一個(gè)系統(tǒng)被攻擊會(huì)在企業(yè)內(nèi)部引起多米諾骨牌效應(yīng)嗎?”
雖然在技術(shù)上是可行的,但解密流量會(huì)引發(fā)其他問題,例如隱私信息。Green表示,首席信息安全官需要首先就解密可接受的內(nèi)容尋求法律建議,并根據(jù)適用的運(yùn)營(yíng)國(guó)家/地區(qū)審查隱私原則。他說,“實(shí)施跨越人員和技術(shù)的程序和標(biāo)準(zhǔn),使其與企業(yè)政策以及任何法律和安全要求保持一致。然后定期或持續(xù)確保遵守相關(guān)的隱私法規(guī)則。”
在管理隱私方面,Evotek公司的Stamper認(rèn)為解密流量需要考慮可能暴露的重要隱私。他指出,“在解密過程中,敏感內(nèi)容將會(huì)可見。也就是說這是如何處理的重要背景,更重要的是,將會(huì)發(fā)生在何處。”
Stamper提出了一種方法,要求首席信息安全官和隱私管理人員審查加密流量確實(shí)被解密和檢查的場(chǎng)景和影響,以用于安全和其他目的(例如數(shù)據(jù)丟失預(yù)防)。
他說,“在理想情況下,這種流量的分類應(yīng)該與由少數(shù)經(jīng)過嚴(yán)格審查的員工管理的高級(jí)安全應(yīng)用程序一起進(jìn)行,以便對(duì)流量進(jìn)行機(jī)器審查,以在有限的人工干預(yù)下審查惡意軟件和其他問題。”