当前位置:首页 > 新闻公告 > 为什么企业应该考虑通过HTTPS检查发现加密的恶意软件?

为什么企业应该考虑通过HTTPS检查发现加密的恶意软件?

发布时间:2020/6/29 10:51:24    来源: A5数据

HTTPS的设计目的是通过对通信进行加密来保证网络流量的安全,从而防止中间人攻击和其他类型的窃听。但是HTTPS可以隐藏指向企业的恶意流量,因为安全网关本身不会检查加密的内容。

HTTPS检查是一个可以分析加密网络流量和内容的过程,尽管一些企业对这种技术望而却步,因为如果实施不当,可能弊大于利。

据报告,上一季度67%的恶意软件是通过HTTPS传递的。由于现在越来越多的网站使用HTTPS进行加密连接,不少用户已经启用了HTTPS检查,通过在网关处解密流量来寻找恶意内容。虽然基于签名的安全产品可以对抗已知的威胁,但除非与加密流量的检查相结合,否则它们无法阻止大部分可以通过的恶意软件。

设置HTTPS检查可能很棘手,因为它确实需要一些额外的努力。而如果配置不当,这个过程实际上会削弱安全网关和产品提供的端到端加密和保护。

由于涉及额外的工作,一些企业不愿意设置HTTPS检查,但我们的威胁数据清楚地表明,大多数恶意软件是通过加密连接交付的,让流量不被检查根本不再是一种选择,随着恶意软件不断变得更加先进和规避,唯一可靠的防御方法是实施一套分层安全服务,包括先进的威胁检测方法和HTTPS检查。

使用HTTPS检测产品的企业应该验证其产品是否能正确验证证书链,并将任何警告或错误传递给客户端,可能受影响的产品的部分列表可在SSL检测的风险中获得。

一般来说,考虑使用HTTPS检查的企业应该在实施之前仔细考虑此类产品的利弊,企业还应该采取其他措施来确保端到端通信的安全。

随着向远程工作的转变,HTTPS检查也很重要。

恶意软件和其他威胁正在通过看似安全的连接传递,通过躲在HTTPS的虚假安全下逃避传统的AV措施,这并不奇怪,当企业没有进行充分的SSL检查时,他们很容易受到恶意攻击,并容易受到恶意软件交付的影响,例如本研究中描述的那些。将员工队伍几乎完全转移到远程,只会使问题更加复杂。因此,VPN和SSL基础设施不堪重负,因此黑客们正在使用老把戏通过SSL发送恶意文件和钓鱼链接,企业被蒙在鼓里。

检查SSL流量是公司必须采取的最重要措施之一,如果没有这一点,攻击者就能够绕过所有的安全措施,并使用任何用户最广泛使用的应用程序--浏览器。远程工作加剧了这一问题,因为人们并不是在安全的企业网络中工作,所以云安全解决方案已经变得至关重要,以使公司能够实施可扩展的SSL检查,无论用户在哪里工作。

为了增强您的整体安全防御能力,建议:

1、TLS检查是必要的。仅检查未加密的流量不会再减少流量。如果不检查TLS加密流量,则只会捕获三分之一的恶意软件进入您的网络。配置您的网络外围,以使用受信任的证书以安全的方式检查加密的流量。尽管这是一项额外的工作,但一旦完成,防火墙将对其他三分之二的恶意软件可见。

2、使用分层防御。在网络边界上使用过时的单一防御层不足以阻止大多数攻击。没有任何防病毒产品可以保护您免受每种恶意软件变种的侵害,但是分层防御不仅包括基于签名的安全性,而且还包括机器学习,恶意软件沙箱以及对最终用户的教育,可以大大提高您抵御当前威胁情况的机会。此外,我们建议在单台计算机上进行端点检测,以防止绕过外围的恶意软件,例如通过USB驱动器或智能手机传播的变体。

3、阻止命令和控制(C2C)通道和恶意站点。勒索软件和其他恶意软件越来越多地通过受感染的站点和域名抢注传播,其中恶意站点的名称看起来像是受欢迎的真实站点的名称。网络安全服务需要实时防护,以防止僵尸网络访问命令和控制域以及阻止用户访问网络钓鱼站点。任何端点检测还应不仅包括阻止恶意软件,还包括阻止勒索软件对业务关键数据采取的任何措施,以防止勒索软件。利用可通过DNS或常规HTTP查询阻止此类站点的安全服务。