机房360首页 CalConv();
当前位置:首页 » 安全资讯 » 解密 SSL 流量,发现隐藏威胁

解密 SSL 流量,发现隐藏威胁

来源:安全牛 作者:DJ编辑 更新时间:2016-2-16 16:43:48

摘要:随着加密传输技术进一步得到应用,过去的五年中,谷歌、YouTube、推特等大公司使用 SSL 的行为推动了其它互联网企业使用加密连接的热情。

  随着加密传输技术进一步得到应用,过去的五年中,谷歌、YouTube、推特等大公司使用 SSL 的行为推动了其它互联网企业使用加密连接的热情。

  加密传输也带来了风险。由于加密信息对第三方不公开,网络罪犯也可以在不引人注意的情况下从事犯罪活动。他们使用传输层安全协议(Transport Layer Security,TLS)和安全套接层协议(Secure Socket Layer,SSL)加密其通信。

  来自 Palo Alto Networks 公司威胁情报部门的瑞安·奥尔森(Ryan Olson)表示,安全专家主要的担心来自于防火墙无法监控加密通信。网络罪犯对此心知肚明,这迫使很多企业开始研究如何确定要解密的流量,以及其解密方式。

640.webp (1)

  瑞安·奥尔森

  如果企业解密所有流量,用户会感觉不安。要想在不牺牲隐私的前提下保护网络环境安全,企业只能引入另一层,从策略层面上确定要解密什么流量。

  对一些机构而言,电子邮件可能是一种威胁向量,因此企业选择解密邮件流量。但这类答案对于每家企业而言都会有所不同,因为它们还必须从文化的角度来思考这一问题。如果流量被加密,它对于企业而言就是一堆数据包。安全部门无法检测流量的内容,因此无法将罪犯使用的恶意流量与正常流量区分开来,也无法确定流量到底是流入还是流出的。所以要化解网络威胁,安全团队必须看到加密流量的内容。

  SSL 连接发源于浏览器,终止于服务器。经过签名的证书表示认可,接下来就是密钥交换,通讯双方可以加密端对端通信的所有内容。这种加密通信方式通讯双方的负担并不大,但给中间方产生了不小的麻烦。

640.webp (2)

  SSL交互认证原理

  当然,企业也可以通过引入一份新证书实现解密,但这只适用于企业环境;对于要处理加密流量的安全厂商而言,则必须在两点上确定流量的内容。比如,用户浏览器访问谷歌,防火墙发现了这次会话并将其终止。厂商经过解密、分析、重新加密的过程,再重新连接到谷歌。

  这样,企业就仍能保持对信息基础设施的控制权。

  企业可以获得平衡。将流量再次加密,这样对隐私的冲击不会那么大。这对企业而言也是敏感话题,因为归根结底,网络是他们的,数据是他们的,设备也是他们自己的。他们所处的位置能够让他们宣称对这些信息保密并不重要。通过确定网络上 SSL 加密流量的比例,企业能够获得一定的平衡和可见性。

  “每个人都应当问,他们想要网络上的多少东西被加密。安全人员应当与用户展开对话,讨论 SSL 加密的重要性,以及如何在保护隐私的前提下将其实现。”

  来自 A10 Networks 公司的宣传人员卡西·克洛斯(Kasey Corss)在一次在线研讨会上表示:你的企业现在就有可能被感染了,而你对此毫不知情。

640.webp (3)

  卡西·克洛斯

  一些安全专家认为他们能够通过在防火墙上解密流量来化解威胁,但克洛斯认为,这样做必须先考虑到整个生态系统以及这些产品使用 SSL 加密的必要性,也必须提供一种能够为所有这些产品提供 SSL 可见性的方法。

  DDoS 防护、安全和信息事件管理、数据丢失防护工具所代表的整个安全生态系统必须将加密的 SSL 流量纳入考虑。所以关键在于找到一种能够高效地提升这种可见性方法。

  你不会想要在每个点上解密这类流量,因为它将会导致大量效能损失。Vectra 公司首席安全官甘特·奥尔曼(Gunter Ollmann)认为,能够检查这种流量对于“确定损失”和“在网络层上大幅度减少威胁”很有帮助。但 SSL 流量带来的安全威胁与其它类型的主要威胁并没有什么区别。

  加密通信确实让检测和识别威胁变得更加困难,但如果启用适当的日志,它将能够帮助记录威胁的行为,以及攻击发生过程中发生的事件。SSL 数据块是一种元数据,但安全事件发生后的调查工作则更依赖于日志本身。“中间人解密”提供了另一层次的可见性。“网络监控以及诊断”目前正在确定和消除此类威胁方面扮演着重要角色。未来,这种角色会更加重要。

  尽管安全人员无法看到通讯和被传输的数据,他们仍能获取信息来源的相关数据,比如时间、频率、时长。这些信息都可以被用于探测威胁。

  使用流量加密并不会带来什么效能负担,但却会带来很多商业利益。

  “如果我是机构的首席安全官或 IT 部门首脑,我工作的前提将会是:我传输的所有数据都会在某个点上进行加密。”

  目前,企业有三种解决 SSL 中隐藏威胁的选择:

  阻断所有加密连接

  使用中间人方式决定应当终止的 SSL 连接

  企业在计算机设备上安装一些软件代理

  这些技术可以在通讯内容被加密之前检查其内容,因此加密对安全人员工作的影响就不再那么大了。但是问题在于,如果有恶意软件发起攻击,它们要做的第一件事就是将此类软件关闭。

  为了解决加密带来的威胁,一些人强调要保护通讯双端,但这同样带来了一些问题。例如这类软件代理都会消耗算力,让设备变得缓慢。随着自带设备办公(BYOD)时代的到来,设备和操作系统数量快速增长,这超出了厂商软件能够覆盖的速度。

  这是一场真实的战斗,它必定还将持续很久。要建立更好的防御,就应该审视所处的环境,并清醒的认识到一个事实:我们不再对网络流量的数据层拥有可见性了。

  责任编辑;DJ编辑

机房360微信公众号订阅
扫一扫,订阅更多数据中心资讯

本文地址:http://www.jifang360.com/news/2016216/n641878169.html 网友评论: pubajax('/comment.aspx','id=195990706914&commCount=1&ChID=0&Today=0','gCount1959907069143370');条 阅读次数:pubajax('/click.aspx','id=195990706914','click_195990706914');
版权声明:凡本站原创文章,未经授权,禁止转载,否则追究法律责任。
相关评论
正在加载评论列表...
function GetCommentList(page) { var Action='id=195990706914&ChID=0&CommentType=GetCommentList&page='+page; var options={ method:'get', parameters:Action, onComplete:function(transport) { var returnvalue=transport.responseText; if (returnvalue.indexOf("??")>-1) document.getElementById("Div_CommentList").innerHTML='加载评论列表失败'; else document.getElementById("Div_CommentList").innerHTML=returnvalue; } }; new Ajax.Request('/comment.aspx?no-cache='+Math.random(),options); } GetCommentList(1);
评论表单加载中...
function GetAddCommentForm() { var Action='id=195990706914&ChID=0&CommentType=GetAddCommentForm'; var options={ method:'get', parameters:Action, onComplete:function(transport) { var returnvalue=transport.responseText; var arrreturnvalue=returnvalue.split('$$$'); if (arrreturnvalue[0]=="ERR") document.getElementById("Div_CommentForm").innerHTML='加载评论表单失败!'; else document.getElementById("Div_CommentForm").innerHTML=arrreturnvalue[1]; } }; new Ajax.Request('/comment.aspx?no-cache='+Math.random(),options); } GetAddCommentForm(); function CommandSubmit(obj) { if(obj.UserNum.value=="") { obj.UserNum.value="Guest"; } if(obj.Content.value=="") { alert('评论内容不能为空'); return false; } var r = obj.commtype; var commtypevalue = '2'; for(var i=0;i
推荐图片