Verschlüsselte Malware – Encrypted Malware

Direkt vor den Augen der Sicherheitsteams

Vor fünf Jahren gab Cisco eine vielsagende Prognose ab: Cyberkriminelle werden in Zukunft verstärkt verschlüsselten Datenverkehr nutzen, um Malware zu verstecken. Ein neues Phänomen also nicht. Und wie sich jetzt zeigt, hat Cisco damals ins Schwarze getroffen. Denn laut einer aktuellen Analyse des Watchguard Threat Lab verstecken sich 93 Prozent der Malware hinter SSL/TLS-Verschlüsselung. Das bedeutet: Cyberkriminelle erstellen eine echt aussehende HTTPS-Webseite, verstecken den Schadcode aber im Verschlüsselungsprotokoll. Wenn sie nun einen Mitarbeiter eines Unternehmens mit einer Phishing-Mail auf diese Seite locken, lädt dieser automatisch die infizierten Inhalte herunter.

Cybersicherheitsteams scheinen von diesem Vorgehen der Cyberkriminellen wenig beeindruckt zu sein. So hat Gigamon im Rahmen einer aktuellen Hybrid-Cloud-Studie herausgefunden, dass nur 21 Prozent der deutschen IT- und Security-Entscheider Einblick in den verschlüsselten Datenverkehr haben, der über ihr Netzwerk läuft. Ein möglicher Grund: Die Datenpakete zu entschlüsseln, zu analysieren und wieder zu verschlüsseln kostet Zeit, Geld und Rechenleistung. Diese Kosten müssen CISOs gegenüber der Unternehmensleitung rechtfertigen, wenn es um die Verteilung von Budget und Ressourcen geht. Dies ist jedoch keine Entschuldigung dafür, das Sicherheitsrisiko zu ignorieren, das mit verschlüsseltem Datenverkehr einhergeht. Dadurch setzen CISOs die Sicherheit ihrer Hybrid-Cloud-Umgebung unnötig aufs Spiel.

Malware kommt unbemerkt durch die Hintertür

Es ist bekannt, dass Cyberkriminelle selbst Verschlüsselungstechnologien einsetzen. Bei einem Ransomware-Angriff verschlüsseln sie die Daten, die sich bereits im Netzwerk befinden. Erst wenn das betroffene Unternehmen der Lösegeldforderung nachkommt, geben sie die Mittel zur Entschlüsselung heraus. Gleichzeitig nutzen sie Verschlüsselungsprotokolle wie SSL und TLS, die beispielsweise Website-Inhalte und (sensible) Daten vor dem unberechtigten Zugriff Dritter schützen sollen, um über den Datenverkehr unbemerkt Schadsoftware in das Unternehmensnetzwerk einzuschleusen. Da viele Unternehmen diesen verschlüsselten Daten blind vertrauen, ist die Erfolgsrate eines solchen Angriffs recht hoch.

CISOs müssen sich dieses Sicherheitsrisikos bewusst sein und ihr Netzwerk entsprechend schützen. Das funktioniert aber nur, wenn sie das Netzwerk vollständig überblicken können und keine so genannten „toten Winkel“ existieren. Diese toten Winkel in On-Premise- und Cloud-Netzwerken sehen 52 Prozent der deutschen IT- und Security-Entscheider als größte Herausforderung, weil dadurch wichtige Informationen unter dem Radar durchfliegen. Beispiel horizontaler Datenverkehr: Laut Gigamon haben nur 53 Prozent der deutschen Unternehmen Einblick in diesen Datenverkehr. Bei 47 Prozent entsteht so ein „blinder Fleck“, über den Malware ins Netzwerk gelangen kann. Hinzu kommt, dass die zunehmende Komplexität der IT durch neue Technologien und verteilte Netzwerkumgebungen die Sichtbarkeit erheblich einschränkt. Diesem Verlust an Transparenz müssen CISOs entgegenwirken.

Blinde Flecken aufdecken

Die Gefahr, die verschlüsselter Datenverkehr potenziell aus dem Netzwerk mitbringt, konnte sich viel zu lange unbemerkt als Angriffsvektor etablieren. Für die Sicherheit der Unternehmens-IT spielt hier eine weitreichende und tiefe Transparenz eine wesentliche Rolle. Der Anteil der Unternehmen, die ihre Hybrid-Cloud-Umgebung von der Netzwerk- bis zur Applikationsebene vollständig einsehen können, ist jedoch überraschend gering. Laut Gigamon sind es nur 28 Prozent.

Mit Visibility-Lösungen, die Daten bis auf Netzwerkebene in ihre Analysen einbeziehen, können Sicherheitsteams die Sichtbarkeit deutlich erhöhen und einen besseren Einblick in den verschlüsselten Ost-West-Verkehr gewinnen. Dabei sorgen verschiedene Mechanismen wie Application Filtering und Deduplizierung dafür, dass die Rechenressourcen optimiert werden, ohne dass die Cybersicherheit darunter leidet. Beim Application Filtering wird der gesamte Datenstrom – einschließlich der verschlüsselten Inhalte – analysiert und in risikoarme und risikoreiche Daten unterteilt. Daten von vertrauenswürdigen Quellen wie Netflix und YouTube werden aus dem Datenstrom herausgefiltert und bleiben von den Entschlüsselungs- und Analyseprozessen verschont.

Bei der Deduplizierung hingegen liegt der Schwerpunkt auf eindeutigen Datenquellen. In beiden Fällen sinken das Verarbeitungsvolumen, die Rechenleistung und damit die Kosten. Gleichzeitig steigt die Transparenz – und zwar bis auf Netzwerkebene. Von dieser neu gewonnenen Transparenz profitieren andere Sicherheitsarchitekturen wie das Zero-Trust-Modell. Denn Sicherheitsteams können nur dann vertrauensbasierte Zugriffsprivilegien einrichten, wenn sie wissen, wo sich sensible Daten in ihrer Hybrid-Cloud-Umgebung befinden und wer oder was auf diese Daten zugreift.

Fazit: Was man nicht sieht, kann man nicht schützen

Cyberkriminelle nutzen immer häufiger den Umweg über verschlüsselten Datenverkehr, um unbemerkt in die IT von Unternehmen einzudringen. Wenn Sicherheitsteams keinen vollständigen Einblick – einschließlich dieser Daten – in ihr Netzwerk haben, setzen sie Systeme und Daten einem enormen Sicherheitsrisiko aus. Dies lässt sich mit Visibility-Lösungen vermeiden, die den HTTPS-Datenverkehr analysieren und so kosteneffizient jeden Winkel der IT-Umgebung bis hinunter auf die Netzwerkebene sichtbar machen. So gibt es keine „blinden Flecken“ mehr, in denen Cyberkriminelle sich und ihre Malware verstecken können.

Right in front of security teams

Five years ago, Cisco made a bold prediction: Cybercriminals will increasingly use encrypted traffic to hide malware. So this is not a new phenomenon. And as we can now see, Cisco was right back then. According to a recent Watchguard Threat Lab analysis, 93 percent of malware hides behind SSL/TLS encryption. This means that cybercriminals create an HTTPS-looking Web site, but hide the malicious code in the encryption protocol. When a phishing email lures a company employee to that site, the employee automatically downloads the infected content.

Cybersecurity teams seem unfazed by the cybercriminals‘ approach. In a recent hybrid cloud study, Gigamon found that only 21% of German IT and security decision makers have visibility into the encrypted traffic passing through their network. One possible reason is that decrypting, analyzing and re-encrypting data packets takes time, money and computing power. CISOs need to justify these costs to management when it comes to allocating budget and resources. However, this is no excuse for ignoring the security risk associated with encrypted traffic. By doing so, CISOs are unnecessarily compromising the security of their hybrid cloud environment.

Malware sneaks through the back door undetected

Cybercriminals have been known to use encryption technologies themselves. In a ransomware attack, they encrypt data already on the network. Only when the victim pays the ransom do they release the means to decrypt the data. At the same time, they use encryption protocols such as SSL and TLS, which are designed to protect website content and (sensitive) data from unauthorized third-party access, to infiltrate malware into the corporate network undetected via data traffic. Since many companies blindly trust this encrypted data, the success rate of such an attack is quite high.

CISOs need to be aware of this security risk and protect their network accordingly. But they can only do this if they have a complete view of the network and no blind spots. These blind spots in on-premises and cloud networks are seen as the biggest challenge by 52% of German IT and security decision makers because they allow important information to fly under the radar. Take horizontal traffic, for example: according to Gigamon, only 53% of German companies have visibility into this traffic. For 47 percent, this creates a „blind spot“ through which malware can enter the network. In addition, the increasing complexity of IT due to new technologies and distributed network environments significantly limits visibility. CISOs must address this loss of visibility.

Eliminating Blind Spots

The threat of encrypted traffic coming from the network has gone unnoticed as an attack vector for far too long. Widespread and deep visibility plays a key role in enterprise IT security. However, the percentage of organizations that have complete visibility into their hybrid cloud environment from the network to the application layer is surprisingly low. According to Gigamon, only 28 percent do.

With visibility solutions that include data down to the network level in their analysis, security teams can significantly increase visibility and gain greater insight into encrypted east-west traffic. Several mechanisms, such as application filtering and deduplication, ensure that computing resources are optimized without compromising cybersecurity. Application filtering analyzes the entire data stream-including encrypted content-and segregates it into low-risk and high-risk data. Data from trusted sources such as Netflix and YouTube is filtered out of the stream and spared from the decryption and analysis process.

Deduplication, on the other hand, focuses on unique data sources. In both cases, processing volume, computing power, and costs are reduced. At the same time, visibility is increased down to the network level. Other security architectures, such as the Zero Trust model, benefit from this newfound visibility. This is because security teams can only set up trust-based access privileges if they know where sensitive data is in their hybrid cloud environment and who or what is accessing that data.

Conclusion: You Can’t Protect What You Can’t See

Cybercriminals are increasingly using encrypted traffic to infiltrate corporate IT systems undetected. Unless security teams have complete visibility into their network, including this data, they are exposing systems and data to a huge security risk. This can be avoided with visibility solutions that analyze HTTPS traffic and provide cost-effective visibility into every corner of the IT environment, down to the network level. This means there are no more blind spots where cybercriminals can hide themselves and their malware.