加密互联网流量的比例继续增长,创造了一个空间,不仅私人信息,而且犯罪分子可以在不被发现的情况下移动。在过去的五年中,来自谷歌、YouTube和Twitter等大公司的SSL通信的出现,也催生了为企业加密互联网通信的广泛运动。
然而,采取这种安全措施的风险是,虽然通过互联网进行信息交换,但坏人也可以徘徊不受伤。当然,犯罪分子知道这一点并用它来实现他们的优势,在运输层安全(TLS)或安全套接字层(SSL)流量中粘附攻击。
威胁情报股42号威廉奥尔森·帕洛阿托网络表示,对安全专业人士的关注是安全防火墙无法检查流量。坏人知道这一点,这让许多公司试图弄清楚解密的流量以及如何进行解密。
奥尔森说,“答案并不那么简单。如果公司解密一切,用户都不舒服。“为了在不影响隐私的情况下保护环境,他们需要另一个图层,这意味着决定他们将加密的策略视角,为什么。
“在一些组织中,电子邮件可能是一个威胁载体,所以一家公司可能会选择解密这些信息,但答案会因公司而异,因为他们也需要从文化的角度来考虑问题。”
奥尔森说,当流量被加密后,它就变成了一团不透明的数据。“如果不能进行检查,罪犯就会被监视交通的人隐藏起来,就像其他人一样。你是瞎子,因为你不知道里面装着什么。”
因为安全团队无法查看加密通信的内部,他们不知道是数据在进出。为了减少威胁,安全团队需要能够看到加密的流量。
奥尔森说:“SSL连接发生在浏览器到服务器之间。一个签名证书表示‘ok’,就可以进行密钥交换,并加密两端的所有通信。”不过,问题并不在任何一端,而是在正中间。
“添加一个新的证书,这样我们就可以进行解密,这只有在公司环境中才可能,”Olson说。“对于一个安全供应商来说,要进入这个流量,他们需要在两个点上终止流量。例如,用户浏览器到达谷歌,防火墙捕获流量并终止连接。我们解密,检查,重新加密,然后建立到谷歌的连接。”
在这样做的过程中,公司仍然控制着他们建立的基础设施。奥尔森说:“你可以找到平衡。加密对隐私没有太大影响的流量。这是一个热门话题,尤其是对企业来说,因为归根结底,是他们的网络,他们的数据,他们的计算机。他们可以说,他们被允许监控这些数据。”
找到平衡意味着通过确定SSL加密且无法检查的流量是多少,通过确定了多少流量。“每个人都应该问他们想要加密他们的网络的流量。与用户进行对话,谈谈SSL加密的价值以及它们如何在不影响隐私的情况下进行操作,“Olson表示。
在最近的网络研讨会中A10 & Infonetics Research: put a Stop To Hidden Threats in SSL Traffic,A10网络的安全宣传员凯西·克罗斯说:“你的组织可能现在就被感染了,而你甚至可能没有意识到。”
一些安全专家认为他们可以通过在防火墙上解密流量来检测威胁,但是Cross说,“你真的需要考虑整个生态系统,以及所有这些产品都需要关注SSL流量这一事实。你需要想出一种方法,为所有这些产品提供SSL可见性。”
从DDOS预防到SIEM或数据丢失预防工具的整个安全生态系统都需要查看流量,包括加密流量表示十字架。诀窍在于找到有效地提供可见性的方法,称十字架,“因为你不想在每一点上解密流量,或者你会遭受真正糟糕的表现。”
VünteroLlmann,vectra表示,“检查交通的能力非常有助于能够识别亏损,大大减少网络水平的威胁,但SSL交通的安全威胁与任何其他主要威胁没有什么不同。“
虽然加密确实使得难以检测或识别威胁,但“如果打开了足够的日志,则该记录将提供攻击期间发生的威胁和活动的证据跟踪。SSL件再次成为元数据伪影,但后攻击调查将专注于原木本身。“
中间人解密提供了额外的可视性水平,但Ollmann表示,“网络监控和取证正在播放,并将继续在识别和减轻这些威胁方面发挥更大的部分。”
While they can’t see the communication and they can’t see the data inside the transit, the other attributes about source information that security professionals can obtain, such as timing, frequency, and duration, can be used at a network level to detect threats.
奥尔曼说,加密流量实际上不会对性能造成影响,但有很多商业好处。
“我觉得如果我是一个组织的CSO或它的负责人,我将在假设某个时候,我的所有流量都将加密,”Ollmann说。
现在企业有三种选择在SSL中处理其隐藏的威胁。块加密流量全部,SSL终止使用中间人查看流量,或第三个,Ollman继续,是企业在计算机本身上安装许多软件代理。
奥尔曼说:“那些在计算机上运行的技术在加密之前就已经看到了流量,所以加密不再重要。”这个选项的问题是,在恶意软件攻击中,它做的第一件事就是关闭这些东西。
强调保护端点以减轻加密威胁是一个问题,Ollmann说,“因为所有这些代理都假定处理能力,降低机器的速度。随着BYOD的出现,有如此多的设备和操作系统,需要被保护的设备的范围正在以比供应商提供有能力保护的软件更快的速度增长。”
这是一场与另一边的真正敌人的持久战。为了建立最好的防御,Ollmann说,“他们应该看看他们的环境,并假设他们将不再能够看到他们的网络流量的数据层。”
这个故事"解密SSL通信以检测隐藏的威胁"最初是由CSO .