企業資安防護技術全球廠商 Blue Coat Systems, Inc. 發佈研究報告指出,因應隱私顧慮而攀升的加密應用,正在為內藏惡意程式的加密功能提供犯罪溫床,惡意軟體的偵測精確度甚至因而降低,導致惡意軟體能順利躲避偵測。
加密應用存在於大量網站,橫跨企業端與消費者端,現卻導致個人隱私的疑慮節節升高。事實上,Alexa 統計排名全球前十大的網站裡,有多達八個網站全面或局部地部署 SSL 加密技術。舉例來說,技術巨擘 Google、 Amazon 與 Facebook 就已經轉為 「啟用 HTTPS 」 模式來保護使用 SSL 加密傳輸的所有資料。
企業必備的應用程式如檔案儲存、搜尋、雲端企業軟體與社群媒體,長期以來都以加密方式來保護傳輸資料。然而,若缺乏對 SSL 傳輸的可視性,代表的是潛在弱點,許多安全設備無法區分企業加密流量是善意或惡意的 SSL。如此一來,加密反而讓威脅能跳過網路安全層級,導致敏感的員工或公司資料從企業內部外洩出去。Blue Coat 實驗室每週接到超過 10 萬筆來自客戶的查詢,針對的都是使用 HTTPS 加密協定的網站被惡意程式操控的安全資訊課題。
揭發可視性漏洞
Blue Coat 最新的資安報告「2014 安全報告—可視性漏洞(Security Report – The Visibility Void)」 就指出加密傳輸正成為網路犯罪的溫床,原因在於:
- 惡意程式攻擊以加密做為偽裝,藉此免除複雜設計,因為惡意程式的幕後黑手認為加密可以防止企業察覺攻擊。
- 大量資料外洩可能肇因於不懷好意的外來者或心懷不滿的內部人員的惡意行為,尤其後者能輕鬆轉送敏感資訊。
- 只要透過 SSL 簡單地以「一日網站 (One-Day Wonders)」結合加密方式,執行下載的惡意程式,以及資料竊取的外傳,企業組織就可能對這種攻擊毫無所悉,當然也無法阻止、偵測或因應。
加密應用的增長,意味著許多企業無法有效追蹤網路傳入與傳出的正規企業資訊,等於是為企業製造了愈來愈多的盲點。事實上,從 2013 年 9 月以來的這一年多時間裡,Blue Coat 研究員每週接獲的資安需求中,有多達 11% 至 14% 是來詢問加密網站相關資訊。
Dyre 是隱藏在加密傳輸但較單純的惡意程式,這個源自烏克蘭的木馬程式專門竊取密碼,而且透過簡單的加密手法來達到廣為散佈的目的。在最成功的木馬惡意程式之一「宙斯(Zeus)」被關閉後,Dyre 迅速透過簡單的增添加密功能取而代之。目前 Dyre 會窺探人的行為,鎖定擁有大量帳戶資訊的部分世界級大型企業,其可能被曝露的帳戶資訊包括社會安全號碼、銀行帳戶資料,隱密的健康資料、智慧財產及其他更多資訊。
Blue Coat 安全策略長 Hugh Thompson 博士表示:「企業網路普遍使用的 SSL 已引發新一波的惡意程式攻擊,個人隱私與企業資安之間的拔河卻造成門戶大開,將導致每個人的資料都深陷風險。企業要保護客戶資料的安全及符合法規要求,就必須具備針對加密傳輸隱藏威脅的可視性與精確控制,才能確信員工隱私也同樣獲得保障。」
如何確保安全性與隱私
企業資安需求必須兼顧隱私政策與適用法規。由於企業政策與適用法規會隨著個別企業組織、產業及所在地區的不同而改變,企業需要的是彈性、易於配置、可客製化及專門解密的能力,以滿足其獨特的業務需求。為了讓企業在落實政策與規範需求的同時,能有效防制隱藏在加密傳輸裡的威脅,Blue Coat 發展出一份關鍵要件清單,做為 IT 資安部門在組織內應對相關課題時的參考。完整的指南內容詳見「可視性漏洞」報告。
- 「The Visibility Void: A Dark Data Economy Threatens the Enterprise」完整內容,請造訪: 2014 Security Report – The Visibility Void
- 全新的 E 指南(E-Guide)亦已開放下載,請造訪:https://www.bluecoat.com/etm-guide/
科技新報粉絲團
加入好友
訂閱免費電子報
