【CS论谈】增强加密是把双刃剑
作者:星期三, 五月 27, 20150

无处不在的加密也对企业安全造成了困扰——因为加密技术的存在,发现敏感数据流出或者检测恶意软件与其命令和控制服务器的通信变得更加困难。

云邮件服务、在线存储网站,以及其他云应用提供商已经开始加密流量了。甚至社交网站都在加密他们的通信数据。最近,火狐也在实验将加密扩展到网页的各个部分。

戴尔最近的一份报告指出,进出企业防火墙的加密数据流量在去年里翻了一番,目前已经占据全部通信流量的60%。但是,并不是所有的企业都对流经企业网络的流量全部进行加密做好了准备。

幸运的是,尽管美国国防部门和情报机构无力阻止加密的迅速扩张,企业依然可以采取一些措施来保证加密是利于企业发展而非相反。比如,最新型智能防火墙能够解密并监控进出防火墙的数据,帮助公司进行资料外泄防护和恶意软件监控。

该升级的防火墙

受无处不在的加密影响最大的,应该是使用旧式防火墙和数据外泄防护解决方案的那些企业。

一旦浏览器开始加密所有东西,识别恶意流量将变得更加困难。安全分析员需要切实看到进出的流量才能判断敏感数据是否正在流出或者恶意软件有没有被下载。加密在保护数据不被窥探的同时,也妨碍保护机制对恶意活动的检测。

据一份调查报告,传统的网络设备对60%的流量完全视若无睹。问题非常严重。不过,解决方案早已推出市场,以网页代理和其他能够提供解密方法的安全设备的形式。有了这些解决方案,就能使安全设施能够检查加密流量。

在过去,对流量进行解密和分析的系统往往会影响通信性能。因此必须购买专用设备来进行安全套接层(SSL)的卸载。另一个选择是基于云的网页应用防火墙——尽管这让企业不得不将自己的SSL密钥交付给外部厂商。

流氓加密危害大

问题是外部代理并不总能够解密所有进出公司系统的流量。

比如,使用未经公司批准的自有加密程序仍然可以加密文档,再将文档发送至云存储、文件共享网站、个人电子邮件账户,或者不可信的第三方。而采用加密来隐藏恶意流量的恶意程序可不会与公司防火墙分享他们的密钥。

不过也可这样来想,即使不能解密这些数据流量,未经批准的加密流量本身就已经是警报信号了。另外,恶意软件有可能根本不知道它得经过代理服务器才能连接上目标主机。如果在网络环境中发现始终有持续不断的网络监控,就能够分辨出是客户发起的合法SSL连接还是恶意软件的未授权连接。

当然,恶意软件作者们也会适应环境的改变。

监控流量目的地址和源地址

处理加密流量的另一种方法,是查找可疑目的地址。

攻击者仍然需要将数据偷运出公司,而且他们通常使用已知的恶意基础设施作为目的地。即使安全团队查不到加密流量内部的真实数据,依然可以通过观察流量目的地来判断是否发生了数据泄露。

除了已知恶意站点,公司还可以找寻其他标明流量非法的信号。举个例子,如果流量奔向Tor匿名网络,那就可以直接阻止这一通信请求。然后流量源头也是可以观察的地方,并非所有的企业系统都需要与外界通信。

有时候问题不在于流量是否加密,而是应不应该出现流量。传向陌生IP地址的大量数据就是潜在威胁的指示器。”

 

小心隐私问题

当员工对隐私权有所保留,比如说工作间隙用互联网处理点私事儿,那么IT部门发出的“此行为违反了公司通信守则”的警告会引起什么样的反感?

建议企业最好让员工明确知道当自己登录公司系统时自己的通信是被监控的。这种做法可以显示出公司是坦率的,而且还有减少公司设备和带宽被滥用的额外好处。

或者,公司也可以选择不检查特定目的地址的流量,比如与个人财务状况有关的网站。设置一个白名单,不解密到与社交网络或金融等涉及个人事务的网站的流量。

CS论谈

关注网络空间安全(Cyber Security),解读趋势前瞻,聚焦管理策略、体系指引,为企业、机构安全规划与实施提供咨询建议。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章