日前����,網(wǎng)絡(luò)安全公司Zscaler的 ThreatLabz研究團(tuán)隊(duì)編寫(xiě)發(fā)布了《2023年加密攻擊態(tài)勢(shì)調(diào)查報(bào)告》���,報(bào)告數(shù)據(jù)顯示,目前85.9%的網(wǎng)絡(luò)威脅是通過(guò)加密通道發(fā)起的���,包括惡意軟件、數(shù)據(jù)竊取和網(wǎng)絡(luò)釣魚(yú)攻擊����。更重要的是,許多加密攻擊使用了合法的���、受信任的加密隧道服務(wù)來(lái)托管惡意負(fù)載���,這使得對(duì)這些攻擊的檢測(cè)和防范變得更具挑戰(zhàn)性。
利用加密隧道攻擊的10種類(lèi)型
現(xiàn)代企業(yè)面臨了諸多挑戰(zhàn)�����,使他們無(wú)法大規(guī)模掃描所有的SSL/TLS流量�����,從而導(dǎo)致許多攻擊可以在不被發(fā)現(xiàn)的情況下通過(guò)����。為了加強(qiáng)加密隧道中的數(shù)字安全防御能力��,企業(yè)應(yīng)該首先了解攻擊者會(huì)如何利用加密隧道發(fā)起攻擊�,以下總結(jié)了攻擊者惡意利用加密隧道的常見(jiàn)類(lèi)型�����。
1���、中間人攻擊(MitM)
在MitM攻擊中�����,攻擊者會(huì)攔截并可能更改流經(jīng)隧道的數(shù)據(jù)����。2014年發(fā)生了一起引人注目的事件����,當(dāng)時(shí)某大型計(jì)算機(jī)設(shè)備制造商在所有生產(chǎn)的電腦上安裝了Superfish視覺(jué)搜索廣告軟件。這使得攻擊者可以在加密的網(wǎng)頁(yè)上創(chuàng)建和部署廣告��,并通過(guò)修改SSL證書(shū)來(lái)添加自己的廣告。為了緩解這種威脅���,需要實(shí)施強(qiáng)大的身份驗(yàn)證機(jī)制和定期更新加密協(xié)議�����。
2���、端點(diǎn)漏洞利用
加密隧道的安全性很大程度上取決于它所連接的端點(diǎn)設(shè)備���。如果連接到隧道的端點(diǎn)設(shè)備被破壞�,就可以作為惡意活動(dòng)的入口點(diǎn)��。一個(gè)典型的例子是2017年發(fā)生的Equifax數(shù)據(jù)泄露事件����,該公司網(wǎng)絡(luò)中的端點(diǎn)設(shè)備受到攻擊,導(dǎo)致敏感的消費(fèi)者數(shù)據(jù)暴露�。該事件強(qiáng)調(diào)了定期安全審計(jì)、補(bǔ)丁管理和端點(diǎn)保護(hù)措施的重要性��。
3�、弱加密算法破解
加密算法的強(qiáng)度會(huì)直接影響加密隧道抵御攻擊的能力。過(guò)時(shí)或弱的加密算法很容易受到暴力破解攻擊。2015年的“Logjam”漏洞九凸顯了弱加密算法的風(fēng)險(xiǎn)����,導(dǎo)致了包括政府門(mén)戶網(wǎng)站在內(nèi)的數(shù)百個(gè)網(wǎng)站淪為被攻擊者秘密竊聽(tīng)的對(duì)象。為了應(yīng)對(duì)此類(lèi)威脅���,企業(yè)組織應(yīng)該跟上行業(yè)發(fā)展趨勢(shì)���,采用更強(qiáng)大的加密方法。
4����、內(nèi)部威脅
具有惡意企圖的內(nèi)部攻擊者同樣會(huì)對(duì)加密隧道使用構(gòu)成重大風(fēng)險(xiǎn)。有權(quán)訪問(wèn)加密隧道的雇員或承包商可能會(huì)濫用他們的特權(quán)��。2018年�����,由于缺乏可靠的訪問(wèn)管理機(jī)制�����,思科公司的云基礎(chǔ)設(shè)施就陷入被非法訪問(wèn)的危機(jī)����。一名惡意的前雇員利用這些弱點(diǎn)訪問(wèn)了基礎(chǔ)設(shè)施并部署了惡意代碼��。企業(yè)組織要想緩解內(nèi)部威脅�����,就需要實(shí)現(xiàn)嚴(yán)格的訪問(wèn)控制�����、進(jìn)行定期審計(jì)和培養(yǎng)具有安全意識(shí)的文化���。
5����、拒絕服務(wù)(DoS)攻擊
雖然加密隧道側(cè)重于數(shù)據(jù)機(jī)密性,但可用性同樣至關(guān)重要���。DoS攻擊是指向系統(tǒng)發(fā)送大量流量�,使其資源不堪重負(fù)�,從而破壞加密隧道的功能。2012年�,針對(duì)美國(guó)六大銀行機(jī)構(gòu)的DDoS攻擊嚴(yán)重破壞了其在線服務(wù)����,這一事件凸顯了數(shù)字漏洞和網(wǎng)絡(luò)攻擊的潛在影響�。為了增強(qiáng)加密隧道抵御DoS攻擊的彈性,組織可以采用流量過(guò)濾�、負(fù)載平衡和冗余基礎(chǔ)設(shè)施。
6����、IPsec隧道利用
IPsec作為安全VPN的基石,也很可能成為網(wǎng)絡(luò)入侵者的誘人目標(biāo)�����。在入侵過(guò)程中�����,攻擊者可以利用IPsec隧道兩側(cè)的專有硬件設(shè)備�����,這也再次強(qiáng)調(diào)了加強(qiáng)VPN端點(diǎn)安全的重要性����。因此很明顯���,組織需要增強(qiáng)安全協(xié)議并嚴(yán)格監(jiān)控IPsec隧道,實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)(IDS)和定期更新安全配置都是非常有效的措施�。
7、VPN隧道隱秘偵察
對(duì)很多大型組織來(lái)說(shuō)�,其所使用的Site-to-Site VPN隧道可能會(huì)為攻擊者進(jìn)行網(wǎng)絡(luò)偵察提供隱蔽的路線。2019年���,攻擊者就成功通過(guò)Site-to-Site VPN對(duì)一家跨國(guó)公司進(jìn)行了隱秘的網(wǎng)絡(luò)偵察����,這凸顯了企業(yè)組織對(duì)VPN隧道中的偵察活動(dòng)缺乏定期檢查的現(xiàn)實(shí)��。為了防止網(wǎng)絡(luò)間諜活動(dòng)的隱蔽路線�,組織應(yīng)該實(shí)施強(qiáng)大的流量監(jiān)控和記錄系統(tǒng)。定期分析日志和采用入侵防御系統(tǒng)(IPS)可以幫助識(shí)別和阻止?jié)撛诘耐{�����。
8��、SSH隧道隱形攻擊
SSH隧道是為安全數(shù)據(jù)傳輸而設(shè)計(jì)的���,但其創(chuàng)建安全隧道的作用同樣吸引了攻擊者的關(guān)注��。被破壞的SSH隧道可能成為攻擊者開(kāi)展非法行動(dòng)的途徑����。組織應(yīng)該實(shí)現(xiàn)強(qiáng)大的身份驗(yàn)證機(jī)制��,定期更新SSH配置����,并對(duì)SSH流量進(jìn)行實(shí)時(shí)監(jiān)控。持續(xù)檢查SSH隧道(包括跟蹤用戶活動(dòng)和審計(jì)訪問(wèn)日志)對(duì)于檢測(cè)和緩解潛在的安全漏洞至關(guān)重要�����。
9���、TLS/SSL隧道身份操縱
通常用于保護(hù)web交易的TLS/SSL隧道可能成為身份操縱的“幫兇”����。攻擊者可能會(huì)采用中間人之類(lèi)的策略����,利用虛假身份,這也強(qiáng)調(diào)了持續(xù)對(duì)訪問(wèn)者身份進(jìn)行審查的必要性����。此外��,實(shí)現(xiàn)強(qiáng)大的證書(shū)管理實(shí)踐�、定期更新SSL/TLS協(xié)議和使用web應(yīng)用程序防火墻(WAF)也都是必不可少的步驟��。
10�、加密網(wǎng)絡(luò)釣魚(yú)
網(wǎng)絡(luò)釣魚(yú)者會(huì)利用TLS/SSL隧道使用被盜證書(shū)來(lái)創(chuàng)建欺騙性網(wǎng)站。當(dāng)攻擊者操縱SSL/TLS隧道時(shí)���,HTTPS會(huì)話中的信任會(huì)變得脆弱�,需要采取主動(dòng)措施和定期驗(yàn)證�。近年來(lái),利用加密隧道的網(wǎng)絡(luò)釣魚(yú)攻擊不斷發(fā)展��。在2021年的“DarkTequila”活動(dòng)中���,網(wǎng)絡(luò)犯罪分子巧妙地利用TLS加密連接來(lái)掩蓋其惡意活動(dòng)�。通過(guò)部署帶有被盜SSL證書(shū)的欺騙性網(wǎng)站��,攻擊者成功地鎖定了用戶的敏感信息��。這個(gè)例子強(qiáng)調(diào)了實(shí)施主動(dòng)措施以防止加密網(wǎng)絡(luò)釣魚(yú)攻擊的緊迫性��。
加密隧道攻擊防護(hù)建議
如上所見(jiàn)���,攻擊者會(huì)在攻擊鏈的多個(gè)階段利用加密隧道:從通過(guò)VPN等工具獲得初始入口����,到通過(guò)網(wǎng)絡(luò)釣魚(yú)攻擊建立立腳點(diǎn)��,再到通過(guò)域控制器橫向移動(dòng)并泄露數(shù)據(jù)���。因此�����,企業(yè)組織應(yīng)該詳細(xì)規(guī)劃阻止加密威脅的機(jī)制���,并在攻擊鏈的每個(gè)階段采取合適的控制措施。以下是Zscaler安全研究人員給出的加密隧道攻擊防護(hù)建議:
01����、使用零信任架構(gòu)檢查所有的加密流量
阻止加密攻擊的關(guān)鍵在于能夠大規(guī)模掃描所有的加密流量和內(nèi)容,同時(shí)又不影響網(wǎng)絡(luò)的運(yùn)行性能��。基于最小特權(quán)原則����,零信任架構(gòu)會(huì)根據(jù)身份、上下文和業(yè)務(wù)策略直接代理用戶和應(yīng)用程序之間的連接——而不是底層網(wǎng)絡(luò)�。因此,無(wú)論用戶消耗多少帶寬�����,所有加密的流量和內(nèi)容都可以通過(guò)統(tǒng)一的架構(gòu)����,對(duì)來(lái)自每個(gè)用戶的每個(gè)數(shù)據(jù)包進(jìn)行無(wú)限規(guī)模的SSL/TLS檢查。除此之外��,用戶和應(yīng)用程序的直接連接�����,使得將應(yīng)用程序流量分割到高度精細(xì)的用戶集變得更加容易�,從而消除了傳統(tǒng)扁平網(wǎng)絡(luò)中通常存在的橫向移動(dòng)風(fēng)險(xiǎn)。
02���、最小化企業(yè)網(wǎng)絡(luò)攻擊面
所有IP地址或面向互聯(lián)網(wǎng)的資產(chǎn)(包括企業(yè)應(yīng)用程序和工具�����,如VPN和防火墻)都是可發(fā)現(xiàn)的��,容易受到威脅行為者的攻擊�。破壞這些資產(chǎn)是網(wǎng)絡(luò)犯罪分子獲取立足點(diǎn)的第一步���,隨后他們會(huì)從傳統(tǒng)網(wǎng)絡(luò)橫向移動(dòng)到關(guān)鍵的應(yīng)用程序��。
因此����,企業(yè)需要做好攻擊面管理工作��,盡可能地在互聯(lián)網(wǎng)上隱藏各種應(yīng)用程序����,或?qū)⑺鼈冎糜谠瓢踩碇螅@樣只有經(jīng)過(guò)身份驗(yàn)證的用戶才能訪問(wèn)它們�。通過(guò)清除大量的外部攻擊面,企業(yè)可以防止應(yīng)用系統(tǒng)被威脅行為者發(fā)現(xiàn)��,并從一開(kāi)始就阻止許多加密攻擊的發(fā)生��。
03、利用體系化的威脅防護(hù)技術(shù)
企業(yè)可以使用許多工具來(lái)阻止加密威脅��,其中分層防御是最好的防護(hù)理念�����。關(guān)鍵的是�,這些防御措施應(yīng)該是相互關(guān)聯(lián)的,以便安全工具在加密流量實(shí)際交付之前檢測(cè)到惡意有效負(fù)載���。
有許多核心技術(shù)可以構(gòu)成最佳實(shí)踐防御�。其中包括具有ML功能的內(nèi)聯(lián)沙箱�,它允許組織立即、實(shí)時(shí)地隔離�����、阻止和引爆可疑文件和零日威脅�,而不會(huì)影響業(yè)務(wù)。此外���,云IPS���、URL過(guò)濾����、DNS過(guò)濾和瀏覽器隔離等技術(shù)結(jié)合起來(lái)也能夠?yàn)槠髽I(yè)提供針對(duì)加密威脅的有效防護(hù)��。
04���、采取多層策略保護(hù)數(shù)據(jù)安全
企業(yè)在阻止加密攻擊時(shí),還必須有效保護(hù)其網(wǎng)絡(luò)數(shù)據(jù)的流通和使用��,以防止網(wǎng)絡(luò)犯罪分子竊取數(shù)據(jù)�。如上所述,威脅行為者經(jīng)常使用“受信任的”加密隧道來(lái)托管惡意的有效載荷和泄露的數(shù)據(jù)��。如果不掃描出站SSL/TLS流量和內(nèi)聯(lián)內(nèi)容���,企業(yè)將很難知道這種情況正在發(fā)生����。與其他類(lèi)型的威脅預(yù)防措施一樣�����,企業(yè)也應(yīng)該采取多層方法來(lái)保護(hù)其數(shù)據(jù)�。作為最佳實(shí)踐�,企業(yè)應(yīng)該尋找像內(nèi)聯(lián)DLP這樣的功能�����,它可以檢查所有數(shù)據(jù)通道中的SSL/TLS內(nèi)容�,如SaaS應(yīng)用程序、端點(diǎn)�、電子郵件、私有應(yīng)用程序��,甚至云上的安全態(tài)勢(shì)���。
原文鏈接:
https://venafi.com/blog/5-worst-things-attackers-can-do-your-encrypted-tunnels/
https://www.encryptionconsulting.com/demystifying-threats-in-encrypted-tunnels-what-you-need-to-know/
https://www.zscaler.com/blogs/product-insights/4-ways-enterprises-can-stop-encrypted-cyber-threats
來(lái)源:安全牛
在線咨詢
在線咨詢
0371-63319761