如果不进行适当的检查,随着加密流量中恶意软件数量的增加,加密数据可能成为重大的安全威胁。大多数企业不准备进行适当的流量分析来处理这个问题。这是对隐藏在加密流量中的恶意软件对企业构成威胁的研究得出的两个结论。根据最近发布的《WatchGuard 2021年第二季度互联网安全》调查报告,虽然许多CISO可能意识到恶意软件的风险,但大部分风险(高达91.5%)来自加密连接。这一统计数据令人震惊,只有20%的组织具备监控加密流量的能力——这意味着80%的组织可能会通过不解密加密流量进行安全扫描而错过大多数恶意软件。具体来说,WatchGuard被发现只有两种恶意软件变体,即XML.JSLoader和AMSI.Disable.A,它们占通过安全Web连接检测到的恶意软件的90%以上。如果没有有效的流量分析方法,无法识别,即使是少数几个变种也会造成严重的威胁。通过加密流量传送的恶意软件数量也大幅增加。Zscaler最近的一份调查报告显示,与2020年相比,COVID-19大流行已经导致2021年隐藏在加密流量中的恶意软件数量增加了314%,该报告分析了通过加密通道传输的数据。十亿威胁。性能问题和隐私问题是恶意软件得以通过的最大原因。“由于性能下降,加密流量检查过于频繁。这就是为什么有这么多恶意软件通过端口443进入企业,而没有人解密数据包来查找恶意软件。当需要解密和深度数据包检查时,我们必须对我们的安全架构进行现代化改造以满足性能要求,”EVOTEK首席信息安全官兼执行顾问MattStamper说。他还是国际信息系统审计协会(ISACA)圣地亚哥分会的主席。威胁模型可用于检查不同的Stamper说,加密流量中涉及恶意软件的固有风险。他还认为,安全架构必须考虑到大多数流量可以而且应该加密。Stamper指出需要扩展安全架构以应对威胁。“它在CISO的职责是广泛地看待风险并了解可能存在盲点的地方以及当前安全架构的不足之处和安全监控实践可能会让组织在不知不觉中暴露在外,”他说。根据Stamper的说法,部分防御策略是将零信任原则扩展到默认情况下不信任加密流量。他说,“为了提供或增强保证,加密流量应该以不破坏系统和网络的方式进行解密、检查和分类。以性能的方式。然而,传统的安全架构无法大规模地做到这一点。这就是为什么他补充说,希望淘汰遗留安全架构的企业正在迅速努力实现安全现代化。Unisys亚太区首席安全架构师StephenGreen也指出了应用零信任原则的好处,在这种情况下,用户可以被限制使用只访问他们需要的。然后应用最先进的端点安全。现在为了使这种威胁更加危险,网络犯罪分子可以求助于通用的基于云的URL,例如通过AmazonS3,从而降低常见的有效性URL过滤等安全控制。Green说,“对于没有明确计划在多个层面处理这个问题的企业来说,这是一个重大威胁。Green说,CISO还应该在任何新技术修复之前确定需要保护的内容,然后应用纵深防御原则对要保护的资产进行分层安全控制。然后可以将威胁建模应用于设计和测试控制。他说,这是一种向外移动到威胁源并继续分层控制的方法,最终以“URL过滤”、“SSL/TLS拦截和恶意软件扫描”来实时检查和过滤流量。Green补充说:“每个控件都有其弱点。例如,SSL/TLS拦截很容易破坏网站,有时会设置例外。这就是为什么通过重叠控件进行深度防御对于降低风险如此重要。Green对希望减少威胁的CISO的建议级别是考虑组织对此类攻击的脆弱性。需要理解简单的公式“风险=威胁x脆弱性”。为了量化风险,他说,CISO风险发生的可能性以及发生时的影响还必须考虑。“要评估影响,你需要问这个问题:'业务运营对技术的依赖程度如何?'如今,这种依赖性通常很高。“不同技术系统的相互依赖程度如何?”,即一个系统的妥协会在企业内引起多米诺骨牌效应吗?首先就什么是可以接受的解密和审查隐私原则寻求法律建议,以适用于运营国家。他说,“实施跨越人员和技术的程序和标准,使其与公司政策以及任何法律和安全要求保持一致。然后定期或持续确保遵守相关隐私法规则。在管理隐私方面,Evotek的Stamper认为,解密流量需要考虑可能暴露的重要隐私。他指出,“在解密过程中,敏感内容将是可见的。也就是说,这是一个关于如何处理它的重要背景,更重要的是,它会在哪里发生。“Stamper提出了一种方法,要求CISO和隐私管理员审查加密流量何时确实被解密和检查以用于安全和其他目的(例如数据丢失预防)的场景和影响。“在理想情况下,”他说,在这种情况下,这种流量的分类应该与由少数经过严格审查的员工管理的高级安全应用程序一起完成,以便在有限的人工干预下对流量进行机器审查以查找恶意软件和其他问题。”
