Шифрование давно стало нормой для интернет-трафика: протоколы TLS/SSL защищают почти все веб-соединения. Но у этой медали есть обратная сторона — тем же самым шифрованием всё активнее пользуются злоумышленники, пряча внутри «безопасных» соединений вредоносный код, фишинговые страницы, скрипты для криптоджекинга и каналы утечки данных. Именно эту тенденцию проанализировала компания Zscaler в отчёте ThreatLabz 2024 Encrypted Attacks Report.
Что показал анализ 32 миллиардов атак
Исследователи ThreatLabz изучили 32,1 млрд зашифрованных атак, заблокированных облаком Zscaler с октября 2023 по сентябрь 2024 года. Вот главные выводы.
- Доля зашифрованных атак продолжает расти. Они составили 87,2% всех заблокированных атак — на 10,3% больше, чем годом ранее. Злоумышленники всё чаще делают ставку именно на TLS/SSL как способ обойти защиту.
- Вредоносное ПО лидирует. На malware пришлось 86,5% всех заблокированных зашифрованных угроз — атакующие адаптируют вредоносы под работу внутри шифрованных каналов, чтобы обмануть системы обнаружения.
- Резкий рост криптоджекинга, XSS и фишинга. Криптомайнинг/криптоджекинг вырос на 122,9% год к году, межсайтовый скриптинг (XSS) — на 110,2%, а фишинг — на 34,1%. В отчёте отмечается, что этот всплеск может быть связан с распространением генеративного ИИ, который упрощает создание скриптов для майнинга, автоматизацию XSS-атак и подготовку убедительных фишинговых кампаний.
- Производство — самая атакуемая отрасль. На неё пришлось 13,5 млрд попыток атак за год, следом идут технологический сектор и сфера услуг.
- США и Индия — главные цели. США получили 11 млрд зашифрованных атак, Индия — 5,4 млрд. Далее в списке идут Франция, Великобритания и Австралия.
APT-группировки маскируются под облачные сервисы
Отдельная тенденция, которую подробно разбирает отчёт, — злоупотребление легитимными облачными сервисами со стороны продвинутых группировок (APT). Смешивая свой трафик с обычными обращениями к облачным платформам, атакующие пользуются тем, что такие соединения по умолчанию защищены TLS/SSL, и таким образом обходят сетевые средства защиты. В отчёте приведены списки APT-групп, наиболее активно эксплуатирующих облака, топ-10 злоупотребляемых облачных сервисов и типичные тактики доставки полезной нагрузки через них. Отдельно отмечается рост атак adversary-in-the-middle (AiTM), когда TLS/SSL-шифрование используется для создания практически незаметных фишинговых кампаний.
Подход Zscaler к защите
В отчёте Zscaler описывает, как её платформа Zero Trust Exchange противостоит зашифрованным угрозам: сервис Zscaler Internet Access (ZIA) выполняет полную инспекцию TLS/SSL-трафика для обнаружения скрытых атак, а Zscaler Private Access (ZPA) ограничивает горизонтальное перемещение атакующих внутри сети за счёт сегментации с нулевым доверием и технологий-приманок. Отдельно ZIA анализирует исходящий и входящий зашифрованный трафик, чтобы блокировать связь вредоносного ПО с серверами управления (C2) и предотвращать утечку данных.
В качестве примера в отчёте приводится кейс компании Wipro: после перехода с традиционных файрволов и VPN на решения Zscaler с инспекцией всего интернет- и SaaS-трафика компания заблокировала 8,2 млн зашифрованных угроз всего за один квартал.
Полная версия отчёта также содержит прогнозы на 2025 год и практические рекомендации по усилению защиты от атак через зашифрованные каналы.
Источник: NetworkWorld.