Der „Cloud Security Insight Threat Report“ vom Cloud-Security-Spezialisten Zscaler enthält eine Analyse der SSL/TLS-basierten Bedrohungen, die die Zscaler-Cloud von Juli bis Dezember 2018 im verschlüsselten Datenverkehr aufgespürt hat. Der Bericht der Sicherheitsforscher des Zscaler-ThreatLabZ befasst sich mit einer Vielzahl von Angriffen, die über SSL ausgeführt und blockiert wurden, einschließlich Phishing-Angriffen, Botnets, Browser-Exploits und bösartigen Inhalten.
Da SSL zunehmend zum Standardprotokoll wird, verwenden Cyber-Kriminelle immer häufiger eine Verschlüsselung, um ihre Angriffe zu verschleiern und damit im Verborgenen zu starten. Begünstigt wird dieses Vorgehen der Angreifer durch die Tatsache, dass die bisher nur schwer zu beschaffenden SSL-Zertifikate heute kostenlos zur Verfügung stehen. Während des Untersuchungszeitraums blockierte Zscaler 1,7 Milliarden im SSL-Verkehr versteckte Bedrohungen, was durchschnittlich 283 Millionen geblockten Advanced-Threats pro Monat entspricht.
Die hauptsächlichen Ergebnisse der Studie:
- Phishing: Im Durchschnitt blockierte die Zscaler-Cloud-Plattform im Jahr 2018 rund 2,7 Millionen Phishing-Angriffe über verschlüsselte Kanäle pro Monat. Dies entspricht einer Steigerung von mehr als 400 Prozent gegenüber den 2017 blockierten, SSL-basierten Phishing-Angriffen.
- Bösartige Inhalte: 2018 wurden jeden Monat durchschnittlich 32 Millionen Botnet-Rückrufversuche durch die Cloud-Plattform blockiert.
- Browser-Exploits: Die Cloud-Plattform blockierte 2018 durchschnittlich 240.000 Versuche von Browser-Exploits pro Monat.
- Neu registrierte Domains: Fast 32 Prozent der neu registrierten Domains, die von der Cloud-Plattform blockiert wurden, verwendeten SSL-Verschlüsselung.
„Mit den immer größer werdenden Bedenken hinsichtlich des Datenschutzes hat sich ein massiver Trend hin zu standardmäßiger Verschlüsselung von Internet-Inhalten ergeben. Was gut für den Datenschutz ist stellt aber eine Herausforderung für die IT-Sicherheit dar. Das Entschlüsseln, Überprüfen und erneute Verschlüsseln des Datenverkehrs ist nicht trivial und führt zu erheblichen Leistungseinbußen bei herkömmlichen Sicherheits-Appliances. Die meisten Unternehmen sind nicht gerüstet, um verschlüsselten Datenverkehr im großen Stil zu überprüfen“, sagt Amit Sinha, Executive Vice President of Engineering and Cloud Operations und Chief Technology Officer von Zscaler. „Da heutzutage ein großer Anteil von Malware hinter SSL-Verschlüsselung transportiert wird und bereits mehr als 80 Prozent des Internet-Datenverkehrs verschlüsselt ist, sind Unternehmen blind gegenüber solchen Angriffen. Die Zscaler-Cloud-Plattform ermöglicht eine leistungsfähige „Man-in-the-Middle“-SSL-Inspektion im großen Stil, sodass sie den SSL-Verkehr ohne Latenz- und Kapazitätsbeschränkungen überprüfen kann und den Kunden Schutz vor der wachsenden Zahl von Bedrohungen bietet, die sich hinter der Verschlüsselung verstecken.“
„Einer der bemerkenswertesten SSL-Malware-Trends, den wir 2018 gesehen haben, war die Zunahme von JavaScript Skimmer-basierten Angriffen. Diese Attacken beginnen damit, dass E-Commerce-Sites kompromittiert und mit bösartigem, verschleierten JavaScript versehen werden. Das Script wiederum versucht, Einkäufe und Transaktionen anzuzapfen“, so Deepen Desai, Vice President of Security Research von Zscaler: „Durch die Zunahme von JavaScript Skimmer-basierten Angriffen können Kriminelle ihre schädlichen Aktivitäten innerhalb der schützenden SSL-Umgebung durchführen, ohne dass die meisten E-Commerce-Websites davon etwas mitbekommen.“
Als weltweit größte Sicherheitsplattform in der Cloud verarbeitet Zscaler im Durchschnitt mehr als 60 Milliarden Transaktionen pro Tag. Fast 80 Prozent des Datenverkehrs ist verschlüsselt und die Zscaler-Cloud blockiert durchschnittlich 9,5 Millionen SSL-basierte Advanced-Threats pro Tag.
Statement Mathias Widler zum „Cloud Security Insights Report“
„Es gibt zwei Hauptgründe, warum sich Unternehmen mit dem Thema SSL-Scanning schwer tun und dadurch Sicherheitsrisiken in Kauf nehmen.
Aus organisatorischer Sicht trauen sich manche Unternehmen aus Datenschutzgründen nicht an das Aufbrechen von SSL-verschlüsselten Datenströmen heran, um den Betriebsrat nicht auf den Plan zu rufen. Die Diskussionen mit den internen Datenschützern sind komplex und langwierig, da ein Verständnis dafür aufgebaut werden muss, dass SSL-Scanning nicht als Überwachungstool den Mitarbeitern gegenüber eingesetzt wird, sondern aus Gründen der Datensicherheit. Wie der Bericht zeigt, versteckt sich zunehmend mehr Malware hinter der SSL-Verschlüsselung, die mit herkömmlichen Sicherheitsmechanismen nur schwer durchschaubar ist. Werden über eingeschleuste Malware aber sensible Daten des Unternehmens ausgespäht, kann das folgenschwere Konsequenzen nach sich ziehen, die den Fortbestand des Unternehmens gefährden. Der Betriebsrat muss also an Bord geholt werden mit einer Erklärung, warum eine Untersuchung des verschlüsselten Datenverkehrs geschäftskritische Bedeutung haben kann.
Technisch gesehen wird beim SSL-Scanning der Datenverkehr außerhalb des Unternehmens am Gateway aufgebrochen, auf Schadcode untersucht und anschließend wieder verschlüsselt. Dadurch kann erkannte Malware gestoppt werden, bevor sie auf dem Endgerät eintrifft. Allerdings ist die vorhandene Hardware-Infrastruktur in Unternehmen derzeit oft nicht in der Lage, der Masse an verschlüsselten Daten Herr zu werden. Per Design sind Appliances nicht dafür ausgelegt, den gesamten Datenverkehr zu entschlüsseln. Unternehmen müssen sich angesichts der Gefahrenlage Gedanken machen, wie sie performant und skalierbar mit der zunehmenden Verschlüsselung umgehen wollen. Eine Lösung aus der Cloud kann hier mit der Leistungsfähigkeit punkten – und was wichtiger ist: die Malware-Untersuchung erfolgt noch eine Stufe weiter entfernt von den sensitiven Unternehmensdaten.“
#Netzpalaver #Zscaler
