Większe wykorzystanie komunikacji szyfrowanej przez cyberprzestępców wynika z rosnącej liczby aplikacji i usług internetowych, które korzystają właśnie z tej metody przesyłania danych. Stała się ona obecnie dominującym sposobem komunikacji w sieci. Według SonicWall, w minionym roku zaszyfrowany ruch stanowił 68% wszystkich połączeń internetowych, co oznacza wzrost o 24% w porównaniu do 2016 roku.

Jak może wyglądać przykładowy scenariusz ataku na firmę z wykorzystaniem połączenia szyfrowanego? Cyberprzestępca przesyła nam maila zawierającego zainfekowany plik, który udaje wiadomość od kogoś znajomego. Jako że wiadomość przechodzi przez szyfrowane połączenie, to zabezpieczenia antywirusowe na firewallu nie są w stanie go wykryć, o ile nasz program nie ma włączonej funkcji inspekcji ruchu szyfrowanego. Jeśli użytkownik otworzy przesłany mu plik, zawierający np. oprogramowanie ransomware, grozi mu i innym pracownikom firmy utrata danych. Zablokowanie zainfekowanego pliku może się jeszcze odbyć na etapie jego otwierania, ale nie zawsze komputery osobiste są wyposażone w wystarczająco sprawne programy antymalwarowe, które mogą wykryć zagrożenia. Ponadto powszechną praktyką wśród cyberprzestępców stało się mieszanie kodów szkodliwego oprogramowania i tworzenie w ten sposób jego nowych wersji.

Wedle danych SonicWall, w przypadku ransomware wzrost w tworzeniu różnych wariantów tego typu szkodliwego oprogramowania sięgnął aż 101% w porównaniu do 2016 roku! Z tego powodu potrzebna jest naprawdę wielopoziomowa ochrona, żeby wychwycić takie zagrożenie. Idealnie już na etapie inspekcji ruchu szyfrowanego na firewallu, tak żeby zainfekowane pliki nie przedostały się na komputer osobisty i w ten sposób także do sieci wewnętrznej firmy.

Uruchomienie ochrony przed zagrożeniami związanymi z atakami przez zaszyfrowane połączenia w organizacjach jest dość skomplikowanym projektem. Niestety nie wystarczy kliknięcie w odpowiednie pole, żeby zapewnić swojej firmie taką ochronę. Jeżeli chcemy powstrzymać tego typu atak na poziomie firewalla, to musimy się do tego odpowiednio przygotować - poczynając od zadbania o certyfikat, który będzie wykorzystywany do inspekcji ruchu szyfrowanego, przez stworzenia listy wyjątków dla aplikacji z własnym certyfikatem, którego nie da się podmienić, tak żeby umożliwić ich poprawne funkcjonowanie, aż po określenie z jakich stron nie chcemy prowadzić inspekcji ruchu szyfrowanego, np. ze stron bankowych, medycznych, czy takich, gdzie odbywa się płatność kartą.

Autor: Konrad Antonowicz, Specjalista ds. Bezpieczeństwa z firmy Passus