Skadeprogram i krypterade meddelanden ökar snabbt – så stoppar du dem

Utan kontroller kan krypterade data medföra ett avsevärt säkerhetshot, och mängden skadeprogram i krypterade meddelanden ökar. De flesta organisationer har ingen beredskap för att möta hotet genom att analysera ingående trafik.

It-säkerhetsansvariga är förstås medvetna om att skadeprogram utgör en risk. Men det mesta, hela 91.5 procent, kommer genom krypterade förbindelser, enligt Watchguard internet security report. Och det mest skrämmande med den siffran är att bara 20 procent av organisationerna klarar av att övervaka krypterad trafik. Det innebär att 80 procent av organisationerna riskerar att missa de flesta skadeprogrammen därför att de inte dekrypterar meddelanden för att skanna dem för skadeprogram.

Prestandahänsyn och skydd av privat information är de främsta anledningarna till att skadeprogram slinker igenom:

– Alltför ofta görs det ingen inspektion av krypterad trafik därför att det drabbar prestanda. Det är därför som så många skadeprogram kommer in i organisationer genom port 443 – ingen dekrypterar paketen för att leta efter skadeprogram. Vi måste modernisera våra säkerhetsarkitekturer för att klara prestandakraven när det visar sig nödvändigt med dekryptering och djup paketinspektion, säger Matt Stamper, it-säkerhetschef på Evotek.

Matt Stamper förespråkar att man kör hotmodeller för att pröva olika risker knutna till skadeprogram i krypterad trafik. Han anser också att säkerhetsarkitekturerna måste utformas utifrån tanken att den mesta trafiken kan och bör vara krypterad.

Matt Stamper pekar också på behovet av att skala säkerhetsarkitekturen för att matcha hotet:

– För it-säkerhetsansvariga är det nödvändigt att betrakta risker ur ett brett perspektiv och att inse var det kan finnas blinda fläckar i organisationer, områden där den nuvarande säkerhetsorganisationer och rutinerna för säkerhetsövervakning kan lämna organisationen oavsiktligt öppen, säger han.

Matt Stamper anser att en aspekt av det defensiva tänkandet är att nolltillitsprincipen måste utvidgas till att man inte utgår från att man kan lita på krypterad trafik:

– För att tilliten ska finnas, eller höjas, bör krypterad trafik dekrypteras, inspekteras och sållas, och det ska göras på ett sätt som inte undergräver prestanda i systemet och nätverket, säger han.

Men äldre säkerhetsarkitekturer är inte utrustad för att göra detta i stor skala. Det är därför som organisationer som vill göra sig av med den ”jobbar snabbt för att modernisera sin säkerhetspraktik för att hinna ikapp motståndarnas taktik”.

Börja med att begränsa användarnas access till data

Stephen Green, första säkerhetsarkitekt för Unisys Stillahavsasienregion, pekar också på nyttan av att tillämpa nolltillitsprinciper. I detta fall att användarnas access begränsas till enbart vad de behöver:

– Se sedan till att förstklassig ändpunktssäkerhet tillämpas, säger Stephen Green.

Det här är inget nytt hot. Faktum är att det är billigt, enkelt och lättåtkomligt för angriparna. Något som gör hotet farligare nu är att de kriminella kan gå till generiska, molnbaserade webbadresser, till exempel genom Amazon S3, vilket minskar nyttan av vanliga säkerhetskontroller som webbadressfiltrering:

– Det är ett allvarligt hot mot organisationer som inte har en tydlig plan på plats för att hantera detta slags hotbärare på flera nivåer, säger Stephen Green.

Säkerhetsansvariga bör också ha klart för sig vad som behöver skyddas innan de inför några nya tekniska lösningar, säger Stephen Green. Sedan bör de tillämpa djupförsvarsprinciper med flera lager av säkerhetskontroller runt den resurs som ska skyddas. Hotmodellering kan sedan användas både på utformningen och för att testa inställningarna. Det är ett tillvägagångssätt som rör sig utåt, mot hotets utgångspunkt, och går genom ”kontroller i lager, till sist till webbadressfiltrering, ssl/tls-uppfångning och skadeprogramskanning som används där det är lämpligt för inspektion och filtrering av trafik i flykten, säger han:

– Varje kontroll har sina brister. Ssl/tls-uppfångning har en tendens att bryta upp webbplatser, så ibland lägger man in undantag. Det är därför som djupförsvar med överlappande kontroller är så viktiga för att minska riskerna, tillägger Stephen Green.

Stephen Greens råd till säkerhetsansvariga som strävar efter att minska risknivån är att bedöma hur sårbar organisationer är för detta slags attacker. Det finns en enkel ekvation:

– Risk = hotet x sårbarheten, säger han.

För att kvantifiera risken måste den säkerhetsansvariga bedöma hur sannolikt det är att det inträffar och konsekvenserna, ifall det skulle inträffa:

– För att bedöma konsekvenserna, ställ dig frågor som: ”hur beroende av it är denna organisation om den ska kunna fungera?” Nuförtiden är nivån på beroendet vanligtvis hög. ”Hur ömsesidigt beroende är mina olika it-system?” – kommer en attack mot ett av systemen starta en dominoeffekt inom organisationen?

Hantering av personlig integritet

Även där det är tekniskt genomförbart finns det andra problem med dekryptering av datatrafik, nämligen privatlivet. Här anser Stephen Green att man som säkerhetsansvarig först måste rådfråga jurister om vad som kan anses godtagbart när det gäller dekryptering. Man måste också gå igenom regelverken för skydd av privatlivet för de länder som organisationen verkar i:

– Inför procedurer och standarder för människor och teknik som går i linje med företagets policy och med alla juridiska och säkerhetsmässiga krav. Kolla sedan regelbundet eller löpande att ni efterlever tillämpliga lagar om personlig integritet.

När det gäller hantering av personlig integritet håller Matt Stamper med om att dekryptering av datatrafik kan blottlägga känslig privat information:

– Känsligt innehåll kan bli synligt genom dekrypteringsprocessen. Men det finns ett sammanhang som detta kan hanteras i och även som det kan inträffa i, påpekar han.

Matt Stamper föreslår ett tillvägagångssätt där it-säkerhetschefen och den inom organisationen som ansvarar för personlig integritet går igenom de situationer där krypterad trafik dekrypteras, och vad det kan leda till, vare sig det gäller it-säkerhet eller annat, som förebyggande av dataförlust.

– Det idealiska är om sållningen av detta slags trafik görs med avancerad säkerhetsprogram som sköts av ett litet antal högt betrodda anställda. Det sker då en maskinell granskning av trafiken där det letas efter skadeprogram och andra problem, och detta sker med minsta möjliga mänsklig inblandning, säger Matt Stamper.