博客

世界上一半的恶意软件现在都已加密

F5 缩略图
F5
2021 年 5 月 6 日发布

您看不到的东西可能会损害您的组织,而加密是一个主要的盲点。 据F5 实验室称,全球超过 80% 的互联网流量都是加密的,而加密流量缺乏可视性带来了巨大的安全威胁。 根据Sophos安全研究人员最近发布的一份报告,2020 年所有恶意软件中近一半 (46%) 都隐藏在加密包中。 因此,没有资源解密流量数据包的组织可能会让大量恶意软件进入其网络。 如果无法查看加密流量,您组织的资产可能会容易受到恶意攻击,例如命令和控制通信(以及由此产生的攻击)或数据泄露。

为什么如今有这么多恶意软件被加密?

在报告中,研究人员指出了加密恶意软件增加的两个主要原因。 首先,他们发现越来越多的恶意软件托管在合法的基于云的存储解决方案上,例如 GitHub 和 Google Workspace,这些解决方案都使用 TLS 加密。 因此,黑客利用受信任组织的现有证书来攻击企业。 其次,研究人员表示,支持 TLS 的代码片段的广泛使用使得不良行为者能够轻松且频繁地使用加密。 而且,随着冠状病毒大流行期间远程工作刺激的合法流量不断增加,组织更有必要在平衡组织安全的同时满足高需求。

但是,加密肯定不是“坏人”。 事实上,加密对于保护数据隐私至关重要。 在线处理敏感数据时,从访问银行记录到输入密码,再到检查医疗记录,浏览器栏中无处不在的挂锁为用户在浏览网页时提供了一种信心。 医疗记录和财务记录可以保持安全,数据盗窃和滥用的情况显著减少。 至关重要的是,应用主机可以遵守旨在保护用户隐私的法规,例如欧盟的通用数据保护条例(GDPR)(建议但不要求加密)和加州消费者隐私法案(CCPA),并充当用户数据的良好管理者。

但不良行为者也可以获取 TLS 证书。 加密虽然有助于保护用户的数据隐私,但如果不解密和检查进入您环境的恶意负载以及出站流量中的敏感数据泄露或命令和控制通信,则可能给您的企业带来严重风险。 虽然免费且随时可用的 TLS 证书允许应用主机以低成本保护其用户的数据隐私,但不法分子也可以将恶意软件隐藏在证书后面。 对他们来说,这样做变得越来越容易。

低效的解密解决方案可能导致多个安全故障点

在您的组织中,您可能已经通过使用安全堆栈中的设备(例如数据丢失防护软件 (DLP)、下一代防火墙 (NGFW) 或入侵防御系统(IPS) 等)来解密、检查包中是否存在恶意软件并重新加密穿越网络的流量,从而解决加密流量的威胁。 虽然这些安全解决方案可用于解密数据包,但它们的效果并不好,效率也不高。

这些解决方案旨在解决安全问题,而不是计算密集型的流量解密任务。 将宝贵的能源和时间从主要的安全任务上浪费掉,可能会导致设备不堪重负和无意的流量绕过,从而导致漏洞和攻击。 以“菊花链”配置串联在一起的安全设备可能会导致多个故障点,就像一串上的一系列灯一样。 如果在电线中有电流流过时一个保险丝烧断,那么灯串中烧断的保险丝后面的所有灯也将熄灭并且不再起作用。 每个组件都是一个可能的故障点。 一个元素崩溃,整个系统(或安全堆栈)都会受到影响。

像灯串一样采用菊花链式连接的安全设备也不经济高效。 除了创建多个故障点之外,该模型还通过要求订阅(或促进过度订阅)各种服务增加了安全的总拥有成本(TCO),导致最终用户的高延迟,并产生了巨大的复杂性。 这意味着许多组织正在以不切实际且不充分的方式处理加密威胁,甚至可能给最终用户带来与应用访问缓慢相关的额外挫败感。 幸运的是, F5 SSL Orchestrator是专门为检查加密流量而设计的。

协调弹性基础设施安全

F5 SSL Orchestrator 提供所有入站和出站 SSL/TLS 流量的经济高效的可视性和编排。 F5 SSL Orchestrator 并非将安全服务以精细的系列方式菊花链式连接在一起,而是采用动态服务链模型,使用基于策略的流量引导和上下文分类引擎,智能地管理整个安全链中的流量解密。 该系统具有弹性和非线性,因此当一项安全服务出现故障时,系统仍可保护您组织的资产。 SSL Orchestrator 还可轻松插入现有的安全解决方案,以实现最佳正常运行时间、服务分组、高级监控功能、扩展以及安全解决方案的负载均衡。

要了解 F5 SSL Orchestrator 如何帮助提高您的业务安全性,请联系Sales@f5.com