Angebliche C.I.A.-Hacking-Dokumente verstärken die Notwendigkeit einer SSL-Verkehrsprüfung
WikiLeaks hat diese Woche Tausende von Dokumenten mit mehreren hundert Millionen Codezeilen veröffentlicht, die angeblich ein Licht auf die Lösungen und Taktiken werfen, mit denen die Central Intelligence Agency (CIA) Geräte wie Smartphones, Computer und intelligente Fernsehgeräte ausspioniert und gehackt hat.
Die Echtheit der Dokumente ist zwar noch fraglich, aber wenn sie echt sind, zeigen sie, dass die CIA ausgeklügelte Instrumente eingesetzt hat, um unter anderem Schadsoftware und Abhörtechnik im SSL-verschlüsselten Datenverkehr zu verstecken.
Es ist bereits bekannt, dass Nationalstaaten über ausgeklügelte Werkzeuge verfügen, wie sie von WikiLeaks behauptet werden, aber mit der Aufmerksamkeit, die Leaks wie dieses erregen, verbreiten sich die Werkzeuge und Ideen nun in der freien Natur und werden zunehmend für ruchlosere Aktivitäten genutzt.
HIVE und Befehl und Kontrolle
Es gibt zahlreiche Verbreitungsmechanismen für die Malware, aber sobald sie implantiert ist, sind die meisten von ihnen auf eine Art von Command-and-Control-Infrastruktur (C2) angewiesen. Diese Infrastruktur wird in der Regel zur Steuerung der Malware und der Botnets verwendet und kann direkt von den Malware-Betreibern kontrolliert werden oder auf von der Malware kompromittierter Hardware laufen.
WikiLeaks behauptet, dass die CIA über ein spezielles Projekt namens HIVE verfügt, bei dem es sich um eine plattformübergreifende Malware-Suite handelt, die Command and Control (C2) über "anpassbare Implantate für Windows-, Solaris-, MikroTik- (in Internet-Routern verwendet) und Linux-Plattformen sowie eine Listening Post (LP)/Command and Control (C2)-Infrastruktur zur Kommunikation mit diesen Implantaten" bietet. Laut WikiLeaks verwendet HIVE speziell SSL (HTTPS), um seine Spuren zu verwischen.
Während die Verwendung von SSL für die Steuerung von Malware immer häufiger vorkommt, ging HIVE noch einen Schritt weiter und führte die Client-Zertifikat-Authentifizierung ein, eine Technik, die es ihnen ermöglicht, das Risiko des Abfangens von SSL zu verringern, wie WikiLeaks behauptet.
Die Macht der SSL-Inspektion
Obwohl A10 nicht in der Lage ist, die Anschuldigungen von WikiLeaks zu kommentieren, zeigt es doch, wie wichtig es ist, zu verstehen, was im verschlüsselten Datenverkehr enthalten ist und was sich möglicherweise im Verborgenen abspielt. Es liegt an Ihnen als Unternehmen oder Verbraucher zu entscheiden, welchen Datenverkehr Sie als gut und welchen als unerwünscht einstufen.
Es besteht kein Zweifel daran, dass die Verschleierungstechniken für den Befehls- und Kontrollverkehr, wie sie von HIVE verwendet werden, sehr bald öffentlich zugänglich sein werden und in die Hände bösartiger Akteure fallen, die sie für schändliche Zwecke nutzen können. Selbst Skript-Kiddies werden Zugang zu ausgefeilten Tools haben, wie die von WikiLeaks behaupteten und von Nationalstaaten verwendeten, die es ihnen ermöglichen werden, ihre Spuren zu verwischen.
Stellen Sie sich vor, welche Methoden APTs (Advanced Persistent Threats) anwenden, um sich im blinden Fleck von SSL/TLS zu verstecken und Ihr Unternehmen und Ihr geistiges Eigentum auszuspionieren, wenn diese Techniken angeblich vom Geheimdienst zum Schutz nationaler Interessen eingesetzt werden. Der Verizon Data Breach Investigations Report zeigt, dass 89 Prozent der Sicherheitsverletzungen ein finanzielles oder spionagebezogenes Motiv hatten.
Deshalb ist die Möglichkeit, verschlüsselten Datenverkehr zu entschlüsseln und zu überprüfen, eine kluge Geschäftsentscheidung.
A10 Thunder SSLi bietet Einblick in den SSL-verschlüsselten Datenverkehr, um potenzielle Bedrohungen zu stoppen. Mit Thunder SSLi kann Command-and-Control-Verkehr, wie der von HIVE, erkannt, protokolliert und blockiert werden. Thunder SSLi erkennt, wenn Client-Zertifikate für die Authentifizierung verwendet werden, und lässt nur autorisierte Sites zu, während alle anderen blockiert werden; alle Aktivitäten werden protokolliert.
Verteidigung in der Tiefe
Thunder SSLi ist eine Schlüsselkomponente einer Defense-in-Depth-Strategie.
Wir bei A10 empfehlen den Einsatz von Best-of-Breed-Lösungen, um einen zuverlässigen Schutz vor den sich ständig weiterentwickelnden Bedrohungen zu gewährleisten und Ihre Verteidigungsebenen zu maximieren. Mehrere Sicherheitsebenen erhöhen die Chancen, Malware abzufangen und zu beseitigen, bevor sie die Gelegenheit hat, Schaden anzurichten. Ein mehrschichtiger Schutz mindert auch das Risiko, dass ein einzelnes Gerät kompromittiert und unwirksam wird.
Darüber hinaus empfehlen wir nachdrücklich die Verwendung eines Hardware-Sicherheitsmoduls (HSM) zur Sicherung und Verwaltung privater SSL-Schlüssel, die als Hauptschlüssel für jede digital verschlüsselte Kommunikation angesehen werden können, um eine starke Authentifizierung und den Datenschutz zu gewährleisten.
Zusammenfassend empfehlen wir Folgendes, um Ihr Unternehmen zu schützen:
- Maximieren Sie Ihre Verteidigungsschichten
- Minimieren Sie die Ausbreitung Ihrer privaten Schlüssel
- Schutz der privaten Schlüssel über HSM
Weitere Informationen zum Schutz vor Bedrohungen, die sich im verschlüsselten Datenverkehr verstecken, finden Sie in unserem kostenlosen Whitepaper "The Ultimate Guide to SSL Inspection: Bedrohungen im SSL-Verkehr aufdecken".
Sehen ist Glauben.
Vereinbaren Sie noch heute eine Live-Demo.