如果沒(méi)有適當(dāng)?shù)臋z查，隨著加密流量中惡意軟件數(shù)量的增加，加密數(shù)據(jù)可能成為重大的安全威脅。大多數(shù)企業(yè)都沒(méi)有準(zhǔn)備好進(jìn)行適當(dāng)?shù)牧髁糠治鰜?lái)應(yīng)對(duì)這個(gè)問(wèn)題。這是對(duì)隱藏在加密流量中的惡意軟件對(duì)企業(yè)構(gòu)成威脅進(jìn)行研究得出的兩個(gè)結(jié)論。

　　根據(jù)最近發(fā)布的《WatchGuard2021年第二季度互聯(lián)網(wǎng)安全》調(diào)查報(bào)告，雖然很多首席信息安全官可能意識(shí)到惡意軟件的風(fēng)險(xiǎn)，但其中大部分風(fēng)險(xiǎn)(高達(dá)91.5%)是通過(guò)加密連接帶來(lái)的。這一統(tǒng)計(jì)數(shù)據(jù)令人震驚，只有20%的企業(yè)配備監(jiān)控加密流量——這意味著80%的企業(yè)可能會(huì)因?yàn)椴唤饧用芰髁恳赃M(jìn)行安全掃描而遺漏了大多數(shù)惡意軟件。

　　具體而言，人們發(fā)現(xiàn)WatchGuard只有兩個(gè)惡意軟件變種XML.JSLoader和AMSI.Disable.A，它們的攻擊數(shù)量占通過(guò)安全Web連接檢測(cè)到的惡意軟件的90%以上。如果沒(méi)有一些有效的流量分析方法，并且沒(méi)有辦法識(shí)別的話，即使是少數(shù)變種，其帶來(lái)的威脅也嚴(yán)重。

　　通過(guò)加密流量傳遞的惡意軟件的數(shù)量也出現(xiàn)了巨大的增長(zhǎng)。根據(jù)Zscaler公司最近發(fā)布的一份調(diào)查報(bào)告，與2020年隱藏在加密流量中的惡意軟件的數(shù)量相比，新冠疫情已經(jīng)導(dǎo)致2021年出現(xiàn)了314%的增長(zhǎng)，該報(bào)告分析了通過(guò)加密渠道傳遞的數(shù)十億個(gè)威脅。

　　性能問(wèn)題和隱私考慮是惡意軟件通過(guò)的最大原因。“由于性能下降，加密流量的檢查過(guò)于頻繁。這就是會(huì)有如此多的惡意軟件通過(guò)端口443進(jìn)入企業(yè)的原因，而沒(méi)有人通過(guò)解密數(shù)據(jù)包來(lái)尋找惡意軟件。當(dāng)需要解密和深度數(shù)據(jù)包檢查時(shí)，我們必須對(duì)安全架構(gòu)進(jìn)行現(xiàn)代化改造，以滿足性能要求。”EVOTEK公司首席信息安全官兼執(zhí)行顧問(wèn)MattStamper說(shuō)。他也是國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)(ISACA)圣地亞哥分會(huì)的主席。

　　Stamper表示，可以使用威脅模型來(lái)審查加密流量中涉及惡意軟件的不同固有風(fēng)險(xiǎn)。他還認(rèn)為，安全架構(gòu)必須考慮到大多數(shù)流量都可以而且應(yīng)該加密。

　　Stamper指出需要擴(kuò)展安全架構(gòu)以匹配威脅。他說(shuō)，“對(duì)于首席信息安全官來(lái)說(shuō)，他們有責(zé)任廣泛地審視風(fēng)險(xiǎn)，并了解可能存在盲點(diǎn)的地方，以及當(dāng)前的安全架構(gòu)和安全監(jiān)控實(shí)踐可能使企業(yè)在不知情的情況下暴露的領(lǐng)域。”

　　Stamper認(rèn)為，防御策略的一部分是將零信任原則擴(kuò)展到默認(rèn)情況下不信任加密流量。他說(shuō)，“為了提供或增強(qiáng)保證，加密流量應(yīng)該被解密、檢查和分類，并以不破壞系統(tǒng)和網(wǎng)絡(luò)性能的方式進(jìn)行。然而，傳統(tǒng)的安全架構(gòu)無(wú)法大規(guī)模地做到這一點(diǎn)。”他補(bǔ)充說(shuō)，這就是希望淘汰傳統(tǒng)安全架構(gòu)的企業(yè)正在迅速努力使安全實(shí)現(xiàn)現(xiàn)代化的原因。

　　首先限制用戶對(duì)數(shù)據(jù)的訪問(wèn)

　　Unisys公司亞太地區(qū)首席安全架構(gòu)師StephenGreen也指出了應(yīng)用零信任原則的好處，在這種情況下，可以限制用戶僅訪問(wèn)需要的內(nèi)容。然后確保應(yīng)用最先進(jìn)的端點(diǎn)安全。

　　現(xiàn)在使這種威脅更加危險(xiǎn)的是，網(wǎng)絡(luò)犯罪分子可以求助于基于云計(jì)算的通用URL，例如通過(guò)AmazonS3，從而降低URL過(guò)濾等常用安全控制措施的有效性。Green說(shuō)，“對(duì)于沒(méi)有制定明確計(jì)劃來(lái)在多個(gè)層面處理這個(gè)問(wèn)題的企業(yè)來(lái)說(shuō)，這是一個(gè)重大威脅。”

　　Green表示，首席信息安全官還應(yīng)該在采用任何新技術(shù)修復(fù)之前明確需要保護(hù)的內(nèi)容，然后采用縱深防御原則，對(duì)要保護(hù)的資產(chǎn)進(jìn)行分層安全控制。然后可以將威脅建模應(yīng)用于設(shè)計(jì)和測(cè)試控件。他表示，這是一種向外移動(dòng)到威脅源并繼續(xù)分層控制，最終達(dá)到“URL過(guò)濾”、“SSL/TLS攔截和惡意軟件掃描”的方法，用于實(shí)時(shí)檢查和篩選流量。

　　Green補(bǔ)充說(shuō)，“每個(gè)控件都有其弱點(diǎn)。例如，SSL/TLS攔截容易破壞網(wǎng)站，有時(shí)會(huì)設(shè)置異常。這就是通過(guò)重疊控制進(jìn)行縱深防御對(duì)于降低風(fēng)險(xiǎn)如此重要的原因。”

　　Green對(duì)希望降低威脅級(jí)別的首席信息安全官的建議是考慮企業(yè)對(duì)此類攻擊的脆弱性。需要理解“風(fēng)險(xiǎn)=威脅×漏洞”這個(gè)簡(jiǎn)單的公式。他表示，為了量化風(fēng)險(xiǎn)，首席信息安全官還必須考慮風(fēng)險(xiǎn)發(fā)生的可能性以及發(fā)生時(shí)的影響。他說(shuō)：“要評(píng)估影響，需要提出以下問(wèn)題：‘業(yè)務(wù)運(yùn)營(yíng)對(duì)技術(shù)的依賴程度如何?’如今這種依賴性通常很高。‘不同技術(shù)系統(tǒng)之間的相互依賴程度如何?’，也就是一個(gè)系統(tǒng)被攻擊會(huì)在企業(yè)內(nèi)部引起多米諾骨牌效應(yīng)嗎?”

　　管理隱私注意事項(xiàng)

　　雖然在技術(shù)上是可行的，但解密流量會(huì)引發(fā)其他問(wèn)題，例如隱私信息。Green表示，首席信息安全官需要首先就解密可接受的內(nèi)容尋求法律建議，并根據(jù)適用的運(yùn)營(yíng)國(guó)家/地區(qū)審查隱私原則。他說(shuō)，“實(shí)施跨越人員和技術(shù)的程序和標(biāo)準(zhǔn)，使其與企業(yè)政策以及任何法律和安全要求保持一致。然后定期或持續(xù)確保遵守相關(guān)的隱私法規(guī)則。”

　　在管理隱私方面，Evotek公司的Stamper認(rèn)為解密流量需要考慮可能暴露的重要隱私。他指出，“在解密過(guò)程中，敏感內(nèi)容將會(huì)可見(jiàn)。也就是說(shuō)這是如何處理的重要背景，更重要的是，將會(huì)發(fā)生在何處。”

　　Stamper提出了一種方法，要求首席信息安全官和隱私管理人員審查加密流量確實(shí)被解密和檢查的場(chǎng)景和影響，以用于安全和其他目的(例如數(shù)據(jù)丟失預(yù)防)。

　　他說(shuō)，“在理想情況下，這種流量的分類應(yīng)該與由少數(shù)經(jīng)過(guò)嚴(yán)格審查的員工管理的高級(jí)安全應(yīng)用程序一起進(jìn)行，以便對(duì)流量進(jìn)行機(jī)器審查，以在有限的人工干預(yù)下審查惡意軟件和其他問(wèn)題。”