Cyberprzestępcy coraz częściej przeprowadzają ataki z wykorzystaniem komunikacji szyfrowanej i plików malware. Passus zwraca uwagę na dane z najnowszego raportu SonicWall. Według nich  w 2017 roku każda przeciętna firma została zaatakowana w taki sposób aż 900 razy, a pośród wszystkich ataków malware, te z wykorzystaniem szyfrowanych połączeń stanowiły 5 proc.

Wzrost wykorzystania komunikacji szyfrowanej przez cyberprzestępców wiąże się z coraz większą liczbą aplikacji i usług internetowych, które wykorzystują właśnie taką metodę przesyłania danych. Stała się ona obecnie dominującym sposobem komunikacji w sieci. Według SonicWall, w minionym roku szyfrowany ruch stanowił 68 proc. wszystkich połączeń internetowych, co oznacza wzrost o 24 proc. w porównaniu do 2016 .

Jak może wyglądać atak na firmę z wykorzystaniem połączenia szyfrowanego? Według Konrada Antonowicza, specjalisty ds. bezpieczeństwa z Passusa na przykład w następujący sposób: cyberprzestępca przesyła nam maila zawierającego zainfekowany plik, który udaje wiadomość od kogoś znajomego. Ponieważ wiadomość przechodzi przez szyfrowane połączenie, to zabezpieczenia antywirusowe na firewallu nie są w stanie go wykryć, o ile program nie ma włączonej funkcji inspekcji ruchu szyfrowanego. Jeśli użytkownik otworzy przesłany mu plik, zawierający np. oprogramowanie ransomware, to grozi mu i wszystkim innym pracownikom firmy utrata danych. 

Zablokowanie takiego zainfekowanego pliku może się jeszcze odbyć na etapie jego otwierania, ale nie zawsze komputery osobiste są wyposażone w wystarczająco sprawne programy antymalwarowe, które mogą wykryć zagrożenia – mówi Konrad Antonowicz. – W szczególności, że powszechną praktyką wśród cyberprzestępców stało się mieszanie kodów szkodliwego oprogramowania i tworzenie w ten sposób jego nowych wersji. 

Według danych SonicWal, w przypadku ransomware wzrost w tworzeniu różnych wariantów tego typu szkodliwego oprogramowania sięgnął aż 101 proc. w porównaniu z 2016 rokiem. To dlatego potrzebna jest naprawdę wielopoziomowa ochrona, żeby wychwycić takie zagrożenie. Idealnie już na etapie inspekcji ruchu szyfrowanego na firewallu, tak żeby zainfekowane pliki nie przedostały się na komputer osobisty i w ten sposób także do sieci wewnętrznej firmy. Przedstawiciel Passusa zaznacza przy tym, że uruchomienie ochrony przed zagrożeniami związanymi z atakami przez zaszyfrowane połączenia w organizacjach jest dość skomplikowanym projektem.

Jeżeli chcemy powstrzymać tego typu atak na poziomie firewalla, to musimy się do tego odpowiednio przygotować  – poczynając od zadbania o certyfikat, który będzie wykorzystywany do inspekcji ruchu szyfrowanego, przez stworzenia listy wyjątków dla aplikacji z własnym certyfikatem, którego nie da się podmienić, tak żeby umożliwić ich poprawne funkcjonowanie, aż po określenie z jakich stron nie chcemy prowadzić inspekcji ruchu szyfrowanego, np. ze stron bankowych, medycznych, czy takich, gdzie odbywa się płatność kartą – wyjaśnia Konrad Antonowicz.