Stor andel attacker osynliga genom kryptering

Cyberattacker krypteringAtt allt fler webbplatser anammar SSL/TLS-kryptering för att skydda förbindelsen och kommunikationen mellan besökaren och webbplatsen är förstås positivt – och just kryptering lyfts frekvent fram som en av de viktigaste säkerhetsåtgärderna. Men, det finns en liten mörkare baksida av den utbredda krypteringen (som till sin natur givetvis försvårar insyn). Allt fler cyberkriminella har börjat använda kryptering för att dölja och lansera sina attacker. En av anledningarna till ökningen är att SSL-certifikat, som tidigare var relativt svåra att erhålla, nu är tillgängliga gratis och genom automatiserade processer.

Molnsäkerhetsföretaget Zscaler släppte nyligen rapporten Cloud Security Insights Threat Report för 2019, och i den framgår tydligt att hot som utnyttjar kryptering växer oroande snabbt. Rapporten, som är en analys av SSL/TLS-baserade hot där Zscalers forskningsteam ThreatLabZ granskat all krypterad trafik över Zscaler-molnet från juli till december 2018, tar upp ett stort antal hot som identifierats, däribland nätfiskeattacker, botnets, utnyttjade webbläsarsårbarheter och olika typer av skadligt innehåll som distribueras i krypterade kanaler.

Under de sex månader som trafiken analyserade blockerade Zscaler totalt 1,7 miljarder hot som gömde sig i SSL-trafik, vilket innebär att i genomsnitt 283 miljoner hot blockerades varje månad. De flesta attackerna gjordes via giltiga webbplatser med komprometterade certifikat, och i många fall överfördes det skadliga innehållet med hjälp av gratis certifikat – och upptäcktes inte av vanliga säkerhetslösningar.

Företag upptäcker inte krypterade hot

Enligt ZScaler inspekterar de flesta företag inte den krypterade trafiken, eftersom de antar att allt som kommer från betrodda källor är fritt från skadlig kod. Denna rena okunnighet skapar en blindzon för deras cyberförsvar, eftersom fria certifikat bevisligen utnyttjas allt mer som bärare av skadligt innehåll.

”Med den ständigt ökande oron kring datasäkerhet har vi sett en snabbt växande trend att anta kryptering som standard. Det är en självklart en bra sak för dataskydd, men det utgör samtidigt en utmaning för IT-säkerhetsansvariga. Dekryptering, inspektion och omkryptering av trafik är ingen barnlek, och kan också innebära betydande prestandaminskningar på traditionella nätverks- och säkerhetsfunktioner – och de flesta organisationer är heller inte rustade för att kunna inspektera krypterad trafik i stor skala”, säger Amit Sinha, CTO på Zscaler och fortsätter:

”På grund av att en hög andel av hoten nu levereras med SSL-kryptering, och att över 80 procent av internettrafiken nu är krypterad, blir företagen blinda för över hälften av all skadlig kod som skickas till deras anställda.”

Som ett exempel på allvarliga hot som döljs av kryptering, pekar Zscaler på en kraftig ökning av sofistikerade skimmingattacker som baseras på JavaScript. Dessa attacker inleds med att e-handelssajter angrips och injiceras med skadlig och förvillande JavaScript-kod, som i sin tur försöker få tillgång till transaktioner som sker på webbplatsen. När denna typ av attacker sker inom SSL-miljön blir de mycket svåra att upptäcka för webbplatsägare, även om de har andra säkerhetslösningar på plats.

Avvägningar på alla fronter

Det här är förstås ett både komplext och utmanande problem med många avvägningar att göra. Klart är i alla fall att cyberkriminella i allt högre grad använder sig av kryptering för att kringgå traditionella säkerhetsverktyg som inte dekrypterar och inspekterar trafik. Det är ett reellt och tilltagande problem. Men det är självklart inget alternativ att inte använda SSL/TLS eftersom det skyddar kommunikationen på din webbplats på oändligt många sätt, och med tanke på att det idag närmast betraktas som ett krav för alla seriösa nätaktörer (webbläsare har som bekant flaggar okrypterade webbplatser som osäkra) bör du absolut se till att implementera SSL/TLS.

Zscaler, och andra leverantörer, som saluför lösningar för inspektion av krypterad trafik menar givetvis att de sitter på lösningen, men erkänner samtidigt att en utbredd dekryptering, inspektion och omkryptering har en negativ inverkan på prestandan. Enligt en rapport från NSS Labs blir den inbyggda SSL-funktionaliteten reducerad med upp till 80 procent på exempelvis vissa nätverkssäkerhetsprodukter när SSL-inspektion är påslaget, vilket drastiskt påverkar användarupplevelsen.

Dessutom innebär en sådan lösning att dessa leverantörer fungerar som en ”man in the middle” som de facto ”ser” den krypterade trafiken. Nu ska väl dessa aktörer trots allt betraktas som pålitliga, men att en kryptering bryts längs vägen utgör ändå alltid en svag länk och en risk. Vissa organisationer kan möjligen lösa problemet genom stark end-point-säkerhet med hård blockering av icke-betrodda webbplatser och certifikat, men det är långt ifrån alla som kan arbeta effektivt på det sättet. Och säkerhetsrisken kvarstår så fort en användare befinner sig utanför de säkrade nätverket eller använder egna enheter för att utföra arbetsrelaterade uppgifter.

För att få någorlunda kontroll över situationen kommer det förmodligen att krävas en mångsidig strategi med flera lager av säkerhet – och ett bredare samarbete mellan användare, säkerhetsleverantörer och certifikatsutfärdare. Bloggen följer vad som sker på området och kommer att ge er de bästa råden vi kan. Idag är det grundläggande rådet: grips inte av panik, men se till att du verkligen sätter dig in i hur det hela fungerar och vidta de åtgärder du känner att din organisation har missat.

Den här artikeln är skriven utav Binero och hämtad från Klicka här för att gå till orginal

Du kanske gillar

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More