Attacker mot krypterade tjänster allt vanligare

[KRÖNIKA] Kryptering är en av de mest grundläggande nödvändigheterna i säkerhetsskyddet.

Utan kryptering skulle banker inte kunna erbjuda penningtransaktioner och andra banktjänster online, eller konsumenter kunna handla online med sina kredit- och betalkort. Kryptering skyddar också allmänhetens kontakter med myndigheter eller vårdgivare. Ändå lär ingen förvånas av att krypterade tjänster är de främsta målen för DDoS-attacker. Sådana tjänster ger åtkomst till en uppsjö av personliga, konfidentiella och finansiella data. Det är kalas för identitetstjuvar och cyberbrottslingar om de lyckas knäcka krypteringen i webbtjänster.

Enligt NETSCOUT Arbors 13:e årliga globala rapport om infrastruktursäkerhet (WISR) har attacker riktade mot krypterade webbtjänster blivit allt vanligare på senare år. Tillfrågade inom företag, myndigheter och utbildning uppgav att 53 procent av upptäckta attacker var riktade mot krypterade tjänster i applikationslagret. Och 42 procent hade erfarit attacker riktade mot TLS-/SSL-protokoll (Transport Layer Security/Secure Socket Layer) som styr klient–serverautentisering och säker kommunikation. Bland tjänstleverantörer ökade andelen som erfarit attacker riktade mot säkra webbtjänster (HTTPS) avsevärt jämfört med året innan, från 52 till 61 procent.

De fyra främsta typerna av krypteringsattacker

DDoS-attacker riktade mot krypterade tjänster tenderar att tillhöra en av fyra kategorier:

• Attacker riktade mot SSL-/TLS-förhandlingen, den så kallade handskakningen, som fastställer hur två parter i en Internetanslutning ska kryptera sin kommunikation.
• Protokoll- eller anslutningsattacker mot SSL-tjänstportar, som försöker utnyttja sårbarheter i SSL.
• Volumetriska attacker riktade mot SSL-/TLS-tjänstportar, som överbelastar portkapaciteten med höga trafikvolymer.
• Applikationslagerattacker mot undertjänst som körs via SSL/TLS.

Angripare är hänsynslösa i sina attacker mot krypterade mål av högt värde. Eftersom de flesta krypterade applikationer och tjänster är oerhört viktiga kan en enda lyckad attack få förödande konsekvenser. Med bredden, variationen och upptrappningen av attacker mot säkra webbtjänster följer ett ökat behov av en defensiv hållning i flera lager, med möjlighet att upptäcka och lindra alla typer av förekommande attacker.

Sätta hårt mot hårt: Omintetgöra krypterade attacker

Något som gör det extra besvärligt för säkerhetsteam är att angripare själva ofta använder SSL-/TLS-kryptering för att dölja sin aktivitet. Stora volymer Internettrafik rör sig mellan nätverk utan att upptäckas eller inspekteras, vilket gör det lättare för illasinnade aktörer att dölja sig i legitim trafik och förbereda attacker mot säkra HTTPS-servrar. En viktig del i säkerhetsskyddet är därför möjligheten att kunna inspektera krypterad trafik på ett säkert sätt, och fastställa att den är tillförlitlig, utan att legitim trafik fördröjs, störs eller äventyras. Dekryptering är inte alltid nödvändig för att uppnå lindring, men det är tydligt att det finns ett ökande behov av skalbara lösningar för dekryptering av paket.

En positiv slutsats från vår 13:e WISR är att både tjänstleverantörer och företag inser att traditionella brandväggar och system för intrångsskydd inte är tillräckliga för att bemöta avancerade DDoS-attacker – i synnerhet inte krypterade attacker riktade mot krypterade tjänster. Kryptering är viktig, men man kan inte förlita sig enbart på detta för att förhindra beslutsamma och avancerade angripare. Operatörer av säkra webbtjänster och värdar för dessa ser i allt högre grad specialbyggda, intelligenta DDoS-lindringssystem (IDMS) som det enda effektiva alternativet för att lindra DDoS-attacker. För bästa praxis krävs en lösning i flera lager genom en kombination av ett lokalt inrättat försvar som ständigt är aktivt och molnbaserade lindringsfunktioner som aktiveras automatiskt grundat på hotets omfattning och art.

Att anseendet och varumärket skadas uppges ofta vara den värsta följden av en DDoS-attack. Inget kan vara mer skadligt för en organisations anseende än att äventyra de säkra tjänster som kunder har fått förtroende för och förlitar sig på varje dag utan närmare eftertanke. Institutioner måste vidta mer omfattande åtgärder än kryptering för att säkerställa integritet och tillgänglighet för sina absolut viktigaste tjänster.

Av: Olli Lähteenmaa, Nordenchef på Arbor Networks