Широкое использование шифрованной связи злоумышленниками вытекает из всё большего числа приложений и сервисов, которые используют именно такой способ передачи данных. Он стал в настоящее время доминирующим способом общения в Сети.
По данным SonicWall, в прошлом году зашифрованный трафик составлял 68% всех соединений, что означает рост на 24% по сравнению с 2016 годом.
«Примерный сценарий атаки на компанию с использованием зашифрованного соединения может выглядеть так: злоумышленник посылает электронное письмо, содержащее зараженный файл, который «притворяется» сообщением от кого-то знакомого. Сообщение проходит через зашифрованное соединение, приэтом антивирус не в состоянии обнаружить его, если не имеет включенной функции анализа зашифрованного трафика. Если пользователь откроет переданный ему файл, это грозит ему и всем другим сотрудникам компании потерей данных», – объясняет специалист по безопасности из компании Passus SA.
По словам представителя Passus, блокировка такого зараженного файла должна осуществляться на этапе его открытия, но не всегда персональные компьютеры оснащены достаточно надежной антивирусной программой, которая может обнаружить угрозу. В частности, распространенной практикой среди кибер-преступников стало смешение кодов вредоносных программ и создание, таким образом, новых версий.
«По данным SonicWall, в случае вымогателей рост в создании различных вариантов этого типа вредоносных программ достиг 101% по сравнению с 2016 годом! Из-за этого нужна действительно многоуровневая защита, чтобы выявить такую угрозу. В идеале уже на этапе анализа зашифрованного трафика на брандмауэре, чтобы зараженные файлы не попали на персональный компьютер и внутреннюю сеть компании».
Представитель Passus отмечает при этом, что запуск защиты от угроз, связанных с атаками через зашифрованные соединения в организациях является достаточно сложным проектом.
«К сожалению, не достаточно щелкнуть мышью в соответствующее поле, чтобы обеспечить своей компании такую защиту. Если мы хотим остановить атаки этого типа на уровне межсетевого экрана, то должны соответствующим образом подготовиться – начиная с заботы о сертификате, который будет использоваться для проверки зашифрованного трафика, создания списка исключений для приложений с собственным сертификатом, который нельзя заменить, чтобы обеспечить их бесперебойную работу, и определения сервисов, на которых анализ зашифрованного трафика имеет приоритетное значение, например, банковские сайты, медицинские порталы или такие, где происходит оплата картой».