Articles

HVORFOR SSL / TLS-angrep øker

Posted by admin

som bedrifter blir bedre om kryptering av nettverkstrafikk for å beskytte data mot potensielle angrep eller eksponering, øker online angripere også Sitt Ssl/Tls-spill (Secure Sockets Layer/Transport Layer Security) for å skjule sine ondsinnede aktiviteter. I første halvdel Av 2017 har gjennomsnittlig 60 prosent av transaksjonene observert Av sikkerhetsselskapet Zscaler vært OVER SSL / TLS, sa selskapets forskere. Veksten I SSL / TLS-bruk inkluderer både legitime og ondsinnede aktiviteter, da kriminelle er avhengige av gyldige SSL-sertifikater for å distribuere innholdet. Forskere så i gjennomsnitt 300 treff per dag for webutnyttelser som inkluderte SSL som en del av infeksjonskjeden.

«Crimeware-familier bruker I økende grad SSL / TLS,» sa Deepen Desai, senior direktør for sikkerhetsforskning Ved Zscaler. Skadelig innhold som leveres OVER SSL / TLS har mer enn doblet seg de siste seks månedene, Sa Zscaler. Selskapet blokkerte i gjennomsnitt 8.4 millioner SSL / TLS-baserte ondsinnede aktiviteter per dag i første halvdel av 2017 for sine kunder På Sin zscaler cloud-plattform. Av de blokkerte var gjennomsnittlig 600 000 per dag avanserte trusler. Zscaler-forskere har sett 12.000 phishing-forsøk levert OVER SSL/TLS per dag i første halvdel av 2017, en økning på 400 prosent fra 2016.

disse tallene forteller bare en del AV SSL/TLS-historien, Da Zscaler ikke inkluderte andre typer angrep, for eksempel adware-kampanjer som bruker SSL/TLS til å levere nyttelast, i denne undersøkelsen.

når størstedelen av bedriftens nettverkstrafikk er kryptert, er det fornuftig fra det kriminelle perspektivet å også kryptere sine aktiviteter, siden DET ville være vanskeligere FOR IT-administratorer å kunne fortelle forskjellen mellom dårlig og god trafikk. Malware-familier bruker I økende grad SSL til å kryptere kommunikasjonen mellom det kompromitterte endepunktet og kommando-og kontrollsystemene for å skjule instruksjoner, nyttelast og annen informasjon som sendes. Antall nyttelaster som sendes over krypterte tilkoblinger doblet i de første seks månedene av 2017 sammenlignet med hele 2016, Sa Desai.

om 60 prosent av ondsinnet nyttelast ved HJELP AV SSL / TLS for kommando Og kontroll (C&C) aktivitet kom fra bank Trojanske familier Som Zbot, Vawtrak Og Trickbot, zscaler sa. En annen 12 prosent var infostealer Trojanske familier som Fareit Og Papra. En fjerdedel av nyttelastene kom fra ransomware-familier.

Phishing-mannskap bruker OGSÅ SSL/TLS, da De er vert for skadelige sider på nettsteder med legitime sertifikater. Brukere tror de er på et gyldig nettsted, siden de ser ordet «sikker» eller hengelåsikonet i nettleseren, ikke skjønner disse indikatorene, betyr bare at sertifikatet selv er gyldig og forbindelsen er kryptert. Det er ingen løfter blir gjort om legitimiteten av nettstedet, eller at det er hva det hevder å være. Den eneste måten en bruker kan fortelle nettstedet er faktisk eid av riktig eier er å se på selve sertifikatet. Noen nettlesere gjør det enklere ved å vise domeneeierens navn i nettleseren, i stedet for bare ordet «Sikker» eller hengelåsen.

Microsoft, LinkedIn og Adobe er blant de vanligste falske merkene. Desai sa han har sett phishing-nettsteder som nnicrosoft.com (der de to ‘ n ‘ved siden av hverandre ser ut som en ‘m’). Andre nettsteder som blir misbrukt av phishing-mannskap, inkluderer Amazon-Selger, Google Disk, Outlook Og DocuSign, Sa Desai.

ikke klandre gratis sertifikatmyndigheter (CAs) som Let ‘ S Encrypt for økningen i angrep ved HJELP AV SSL / TLS. Selv om disse tjenestene har gjort det mye enklere og raskere for nettstedseiere å skaffe SSL-sertifikater, er de ikke de eneste som feilaktig gir kriminelle gyldige sertifikater. Desai sa at teamet hans så sertifikater fra etablerte CAs også. Mens I Noen tilfeller utstedte CAs sertifikater når de ikke burde ha, i de fleste tilfeller ble sertifikatene riktig utstedt. De kriminelle hadde kapret og misbrukt de legitime nettstedene-vanligvis kjente skytjenester som Office 365, SharePoint, Google Drive og Dropbox – for å være vert for nyttelasten og å samle de eksfiltrerte dataene.

For Eksempel beskrev Desai hvordan CozyBear attack group brukte PowerShell-skript for å montere en skjult OneDrive-partisjon på en kompromittert maskin og kopiere alle dataene til den skjulte stasjonen. All aktivitet mellom maskinen Og tjenesten, I Dette tilfellet OneDrive, er kryptert som standard, Og Siden OneDrive ofte brukes av forretningsmessige årsaker, MERKER IT-avdelinger ikke alltid angrepene. Angriperne trenger ikke å svikaktig få et sertifikat, Da OneDrive gir det beskyttelsesnivået for alle brukere.

Kryptering er ikke valgfritt for bedrifter, og på grunn av det må de også tenke PÅ SSL-inspeksjon. Dette kan leveres av en skybasert plattform, for Eksempel Hva Zscaler tilbyr, eller av apparater som distribueres inline, for Eksempel de som Tilbys Av Microsoft, Arbor Networks og Check Point (for å nevne noen). Brukere trenger forsikringen om at informasjonen deres ikke vil bli fanget opp av uautoriserte parter når de er online, men bedrifter trenger en måte å fortelle hvilken kryptert trafikk som inneholder brukerdata og hvilke som har ondsinnede instruksjoner. Ettersom flere angrep er avhengige AV SSL / TLS for å unngå granskning av tradisjonelle nettverksovervåkingsverktøy, må bedrifter ta skritt for å sikre at alle data er beskyttet og at dårlig trafikk ikke sniker seg forbi deres forsvar.

Related Post

Leave A Comment