解密 SSL 流量,发现隐藏威胁
作者:星期二, 二月 16, 20160

加密传输技术进一步得到应用,一方面保护了个人隐私信息,另外一方面也助长了犯罪行为。

640.webp

随着加密传输技术进一步得到应用,过去的五年中,谷歌、YouTube、推特等大公司使用 SSL 的行为推动了其它互联网企业使用加密连接的热情。

加密传输也带来了风险。由于加密信息对第三方不公开,网络罪犯也可以在不引人注意的情况下从事犯罪活动。他们使用传输层安全协议(Transport Layer Security,TLS)和安全套接层协议(Secure Socket Layer,SSL)加密其通信。

来自 Palo Alto Networks 公司威胁情报部门的瑞安·奥尔森(Ryan Olson)表示,安全专家主要的担心来自于防火墙无法监控加密通信。网络罪犯对此心知肚明,这迫使很多企业开始研究如何确定要解密的流量,以及其解密方式。

640.webp (1)

瑞安·奥尔森

如果企业解密所有流量,用户会感觉不安。要想在不牺牲隐私的前提下保护网络环境安全,企业只能引入另一层,从策略层面上确定要解密什么流量。

对一些机构而言,电子邮件可能是一种威胁向量,因此企业选择解密邮件流量。但这类答案对于每家企业而言都会有所不同,因为它们还必须从文化的角度来思考这一问题。

如果流量被加密,它对于企业而言就是一堆数据包。安全部门无法检测流量的内容,因此无法将罪犯使用的恶意流量与正常流量区分开来,也无法确定流量到底是流入还是流出的。所以要化解网络威胁,安全团队必须看到加密流量的内容。

SSL 连接发源于浏览器,终止于服务器。经过签名的证书表示认可,接下来就是密钥交换,通讯双方可以加密端对端通信的所有内容。这种加密通信方式通讯双方的负担并不大,但给中间方产生了不小的麻烦。

640.webp (2)

SSL交互认证原理

当然,企业也可以通过引入一份新证书实现解密,但这只适用于企业环境;对于要处理加密流量的安全厂商而言,则必须在两点上确定流量的内容。比如,用户浏览器访问谷歌,防火墙发现了这次会话并将其终止。厂商经过解密、分析、重新加密的过程,再重新连接到谷歌。

这样,企业就仍能保持对信息基础设施的控制权。

企业可以获得平衡。将流量再次加密,这样对隐私的冲击不会那么大。这对企业而言也是敏感话题,因为归根结底,网络是他们的,数据是他们的,设备也是他们自己的。他们所处的位置能够让他们宣称对这些信息保密并不重要。

通过确定网络上 SSL 加密流量的比例,企业能够获得一定的平衡和可见性。

“每个人都应当问,他们想要网络上的多少东西被加密。安全人员应当与用户展开对话,讨论 SSL 加密的重要性,以及如何在保护隐私的前提下将其实现。”

来自 A10 Networks 公司的宣传人员卡西·克洛斯(Kasey Corss)在一次在线研讨会上表示:你的企业现在就有可能被感染了,而你对此毫不知情。

640.webp (3)

卡西·克洛斯

一些安全专家认为他们能够通过在防火墙上解密流量来化解威胁,但克洛斯认为,这样做必须先考虑到整个生态系统以及这些产品使用 SSL 加密的必要性,也必须提供一种能够为所有这些产品提供 SSL 可见性的方法。

DDoS 防护、安全和信息事件管理、数据丢失防护工具所代表的整个安全生态系统必须将加密的 SSL 流量纳入考虑。所以关键在于找到一种能够高效地提升这种可见性方法。

你不会想要在每个点上解密这类流量,因为它将会导致大量效能损失。

Vectra 公司首席安全官甘特·奥尔曼(Gunter Ollmann)认为,能够检查这种流量对于“确定损失”和“在网络层上大幅度减少威胁”很有帮助。但 SSL 流量带来的安全威胁与其它类型的主要威胁并没有什么区别。

加密通信确实让检测和识别威胁变得更加困难,但如果启用适当的日志,它将能够帮助记录威胁的行为,以及攻击发生过程中发生的事件。SSL 数据块是一种元数据,但安全事件发生后的调查工作则更依赖于日志本身。

“中间人解密”提供了另一层次的可见性。“网络监控以及诊断”目前正在确定和消除此类威胁方面扮演着重要角色。未来,这种角色会更加重要。

尽管安全人员无法看到通讯和被传输的数据,他们仍能获取信息来源的相关数据,比如时间、频率、时长。这些信息都可以被用于探测威胁。

使用流量加密并不会带来什么效能负担,但却会带来很多商业利益。

“如果我是机构的首席安全官或 IT 部门首脑,我工作的前提将会是:我传输的所有数据都会在某个点上进行加密。”

目前,企业有三种解决 SSL 中隐藏威胁的选择:

  • 阻断所有加密连接
  • 使用中间人方式决定应当终止的 SSL 连接
  • 企业在计算机设备上安装一些软件代理

这些技术可以在通讯内容被加密之前检查其内容,因此加密对安全人员工作的影响就不再那么大了。但是问题在于,如果有恶意软件发起攻击,它们要做的第一件事就是将此类软件关闭。

为了解决加密带来的威胁,一些人强调要保护通讯双端,但这同样带来了一些问题。例如这类软件代理都会消耗算力,让设备变得缓慢。随着自带设备办公(BYOD)时代的到来,设备和操作系统数量快速增长,这超出了厂商软件能够覆盖的速度。

这是一场真实的战斗,它必定还将持续很久。要建立更好的防御,就应该审视所处的环境,并清醒的认识到一个事实:我们不再对网络流量的数据层拥有可见性了。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章