Sophos 最新研究:《近一半的惡意軟體現在使用 TLS 進行隱匿通訊》,揭露網路犯罪分子在攻擊中使用 TLS 的情形激增。攻擊者使用越來越流行的策略來加密和封裝惡意通訊的內容,以防在進行攻擊時被偵測出來。因應此威脅,Sophos 最新 XGS 系列防火牆設備,具有傳輸層安全性 (TLS) 檢查功能,包括原生支援 TLS 1.3。
Sophos 產品總監 Dan Schiappa 表示:「Sophos Firewall XGS 系列設備是我們最重要的硬體升級,提供了無與倫比的偵測、保護和速度。安全部門再也不能因為擔心影響效能而忽略加密的流量了,因為風險實在太大。我們完全重新設計了 Sophos Firewall 的硬體,以因應當今加密過的網際網路。現在,安全部門能夠輕鬆地檢查加密流量,消除過去的盲點,並可以安心操作而不會影響效能。」
越來越多網路犯罪分子使用 TLS 以躲避偵測
事實上,從 2021 年 1 月到 2021 年 3 月,Sophos 偵測到 45% 的惡意軟體使用 TLS 隱藏惡意通訊。與 2020 年初 Sophos 報告中的 23% 相比,出現了驚人的成長。過去一年中,Sophos 還發現使用 TLS 進行勒索軟體攻擊的情況增加了,特別是使用手動部署的勒索軟體。Sophos 偵測到的惡意 TLS 流量主要包括初始攻擊的惡意軟體,例如裝載程式、惡意下載程式和文件型的安裝程式,如 BazarLoader、GoDrop 和 ZLoader。
Schiappa 表示:「毫無疑問,TLS 可以改善網際網路通訊的隱私,但是相對的,攻擊者也能更容易地下載和安裝惡意模組並傳輸竊取的資料,而且就在 IT 安全部門和大多數安全技術的眼前。攻擊者正在利用受 TLS 保護的 Web 和雲端服務來進行惡意軟體散佈以及命令和控制。初始攻擊的惡意軟體只不過是先頭部隊,為隨後的主要攻擊 (如勒索軟體) 建立陣地。」
加速威脅防護
XGS 系列設備採用 Sophos Firewall 的 Xstream 架構,可提供業界最佳的零時差威脅防護,識別並阻止最進階的已知和潛在威脅,包括勒索軟體。強大的威脅情報可增強保護功能,該情報可由 SophosLabs Intelix 取得 SophosLabs PB 級的威脅資料。可疑檔案將被送到 SophosLabs Intelix 虛擬環境中安全引爆,並進行深入的靜態分析,以獲得更多偵測防護能力和收集情報。
設備中的新型 Xstream 流量處理器可自動加速受信任的流量,例如 軟體即服務 (SaaS)、軟體定義的廣域網路 (SD-WAN) 和雲端應用程式,為需要 TLS 和深度封包檢查的流量提供最大的擴展能力。藉此可大幅減少延遲,並提高重要業務應用程式的整體效能,尤其是那些使用即時資料的業務應用程式。Xstream 流量處理器是可程式化的,以便 Sophos 可在未來需要時卸載額外的流量。此外,硬體本身增強和經過調整的連線彈性,可進一步保護客戶的硬體投資。
Sophos 提供直覺儀表板來監看 TLS 流量和檢查的問題,安全管理員只要按一下按鍵就可以將有問題的串流新增到例外項目。SophosLabs 更新並維護了一組豐富的規則集,可直接使用立即最佳化效能,將安全流量排除在檢查範圍之外。
Sophos Firewall XGS 系列設備和韌體可由雲端型 Sophos Central 平台輕鬆管理,和其他 Sophos 新一代網路安全解決方案一起運作。這些解決方案會共用威脅情報,並透過 Sophos 獨特的同步安全方法自動回應安全事件。與 Sophos Managed Threat Response (MTR) 整合後,可透過人工分析進一步增強對全天候託管式威脅偵測和回應的保護。
IDC 計畫副總裁 Frank Dickson 表示:「防火牆設備不斷發展,以保護雲端和突然大幅轉移成遠距工作所需的安全。Sophos Firewall Xstream 雙處理器架構的優雅之處,在於它能夠加速來自所謂「大象流」(大型媒體串流、VoIP 流量,甚至是雲端應用程式) 的可信任流量,然後利用通用 CPU 執行適合的資源密集處理序,例如深度封包檢查和 TLS 檢查。所以它是為一種適應性強的網路設備,在提供保護的同時,仍能滿足各種使用案例中不斷變化和加速的業務需求。」