Невидимая угроза
После локдауна из-за COVID-19 пошла волна атак с использованием программ-вымогателей. Они были направлены на компании из самых различных секторов экономики, таких как нефтегазовая отрасль, пищевая промышленность, финансовые структуры и сфера страхования. В чем смысл таких атак? В том, что преступления приносят деньги. Еще большую угрозу таят в себе те из них, о которых нам неизвестно. Их совершают пользователи внутри организации.
Механизмы шифрования с открытым ключом, которые защищают наши подключения, — протокол TLS (для защиты транспортного уровня) и его предшественник SSL (для уровня защищенных сокетов) — могут также использоваться злоумышленниками и вредоносными программами для доступа к конфиденциальной информации.
Изначально ботнеты предназначались для DDoS-атак. Сейчас некоторые из таких вредоносных программ контроля и управления используют зараженные ПК, чтобы требовать выкуп и получать прибыль (программы-вымогатели и ПО для майнинга). Это существенно нарушает производительность рабочих процессов компании, повышает операционные расходы и скорость износа зараженного оборудования. Такие атаки также могут готовить почву для заражения вредоносным ПО в будущем.
Большая часть вредоносных программ угрожает доступности, целостности и безопасности сети.
Как показали недавние события, зачастую атаки программ-вымогателей помимо вмешательства в критически важные рабочие процессы компании приводят к краже сведений и перехвату трафика.
Вредоносное ПО может создавать зашифрованные сеансы подключения к внешнему серверу. Единственное, что для этого нужно такой программе, — его открытый ключ. Так как у организации (пользователя или вредоносной программы) нет закрытого ключа к этому зашифрованному процессу, она не может дешифровать сеанс и не знает, какие данные отправляются за ее пределы.
С ростом использования зашифрованного трафика проблема будет становиться еще более масштабной. Многие компании уже стали жертвами таких кибератак, нацеленных на получение финансовой прибыли и доступа к ценным конфиденциальным данным.
Многие решения для проверки трафика, например технология предотвращения утечек данных (DLP), системы предотвращения вторжений (IPS) и брандмауэры, не поддерживают дешифрование исходящего зашифрованного трафика. Поэтому они не могут защитить от кибератак, начатых внутри компании путем подключения к внешнему серверу. Если такие системы все же обладают функционалом дешифрования, как правило, это дорогостоящие, плохо масштабируемые, а значит, нерентабельные решения.
Проверка и прозрачность — рецепт защиты от атак
Чтобы защититься от таких атак, самое главное — проверять трафик SSL. Как же работает проверка трафика SSL?
Системы проверки SSL опираются на то, что безопасность обеспечивается между двумя точками, а не по сквозному принципу. Решение для проверки трафика SSL получает и дешифрует входящие и исходящие сессии SSL, связывающие организацию и внешний мир. Его иногда называют законным вариантом посредника (man-in-the-middle). Это решение выступает специальным внешним сервером для внутренних пользователей и программ и обеспечивает безопасность подключения к реальному внешнему серверу. Принимающие серверы считают решение исходным пользователем или вредоносной программой.
Для легкого развертывания решение предлагает оба варианта проверки SSL: прозрачную проверку без перестройки сети, а также может выступать явным прокси-сервером, который пропускает всех пользователей через заданный SSL-прокси, настроенный в браузере пользователей.
Затем дешифрованный трафик направляется в любое уже развернутое решение для проверки контента, например брандмауэр, антивирус или систему защиты от утечек данных, где он проверяется на соответствие политикам компании. Сессии, прошедшие проверку безопасности, затем заново шифруются решением для проверки SSL и направляются на целевой сервер.
Для эффективной работы некоторый трафик может исключаться из проверки, например если сайт есть в списке доверенных ресурсов или имеет отношение к конфиденциальности данных сотрудника (сайт онлайн-банка или медицинского учреждения). В целях повышения производительности определенный трафик может быть заблокирован, часто это трафик игровых платформ или известных вредоносных серверов.
Так как дешифрование и повторное шифрование требуют больших вычислительных мощностей, что может приводить к задержкам, обратите внимание на эффективные подходы, например аппаратное ускорение, если у вас много пользователей или большой объем зашифрованного трафика. Применяйте шифрование избирательно. Используйте фильтры и белые списки, чтобы не дешифровать трафик надежных сайтов. Выбирайте экономически эффективные решения, которые позволяют использовать минимум устройств для масштабирования.
Дешифрование, проверка и наглядное представление сетевого трафика, которые предлагает решение для проверки SSL, помогают находить признаки вредоносного ПО. Чтобы снизить уровень рисков для компании, используйте передовые практики: ограничение полномочий и многофакторную аутентификацию в сочетании с брандмауэром веб-приложений для блокировки вредоносных веб-программ и защитой сети по периметру от атак типа «отказ в обслуживании». Также немаловажно объяснить сотрудникам меры кибербезопасности.
Комментарии (3)
Zolg
09.02.2022 10:35Mitmинье tls трафика может создавать проблем гораздо больше чем решать: начиная от неработоспособности ПО, ожидающего вполне определенные серверные или ca сертификаты, неработоспособности взаимной TLS аутентификации, заканчивая вполне очевидным рисками безопасности.
И, определенно, расшифровка TLS проблему определения вредоносов не решит: никто не обязывает зловред иметь TLS единственным слоем шифрования.
Ну и адреса well known C&C серверов входят в базы нормальных IPS и в каком-то объеме (хотя далеко и не полностью) обозначенная в посте проблема решается и без вскрытия трафика
Aelliari
Если трафик зашифрован - это не просто так, это значит что любопытным в него лезть не стоит. Если ты так печёшься о безопасности, что зашифрованный трафик попадает под твою модель угроз - блокируй его, а не лезть внутрь. В конце концов, есть политика белых списков, когда запрещено все, что неё разрешено