解密SSL流量,发现隐藏威胁

加密传输技术进一步得到应用,一方面保护了个人隐私信息,另外一方面也助长了犯罪行为。

随着加密传输技术进一步得到应用,过去的五年中,谷歌、YouTube、推特等大公司使用 SSL 的行为推动了其它互联网企业使用加密连接的热情。

加密传输也带来了风险。由于加密信息对第三方不公开,网络罪犯也可以在不引人注意的情况下从事犯罪活动。他们使用传输层安全协议(Transport Layer Security,TLS)和安全套接层协议(Secure Socket Layer,SSL)加密其通信。

来自 Palo Alto Networks 公司威胁情报部门的瑞安·奥尔森(Ryan Olson)表示,安全专家主要的担心来自于防火墙无法监控加密通信。网络罪犯对此心知肚明,这迫使很多企业开始研究如何确定要解密的流量,以及其解密方式。

瑞安·奥尔森

如果企业解密所有流量,用户会感觉不安。要想在不牺牲隐私的前提下保护网络环境安全,企业只能引入另一层,从策略层面上确定要解密什么流量。

对一些机构而言,电子邮件可能是一种威胁向量,因此企业选择解密邮件流量。但这类答案对于每家企业而言都会有所不同,因为它们还必须从文化的角度来思考这一问题。

如果流量被加密,它对于企业而言就是一堆数据包。安全部门无法检测流量的内容,因此无法将罪犯使用的恶意流量与正常流量区分开来,也无法确定流量到底是流入还是流出的。所以要化解网络威胁,安全团队必须看到加密流量的内容。

SSL 连接发源于浏览器,终止于服务器。经过签名的证书表示认可,接下来就是密钥交换,通讯双方可以加密端对端通信的所有内容。这种加密通信方式通讯双方的负担并不大,但给中间方产生了不小的麻烦。

SSL交互认证原理

当然,企业也可以通过引入一份新证书实现解密,但这只适用于企业环境;对于要处理加密流量的安全厂商而言,则必须在两点上确定流量的内容。比如,用户浏览器访问谷歌,防火墙发现了这次会话并将其终止。厂商经过解密、分析、重新加密的过程,再重新连接到谷歌。

这样,企业就仍能保持对信息基础设施的控制权。

企业可以获得平衡。将流量再次加密,这样对隐私的冲击不会那么大。这对企业而言也是敏感话题,因为归根结底,网络是他们的,数据是他们的,设备也是他们自己的。他们所处的位置能够让他们宣称对这些信息保密并不重要。

通过确定网络上 SSL 加密流量的比例,企业能够获得一定的平衡和可见性。

“每个人都应当问,他们想要网络上的多少东西被加密。安全人员应当与用户展开对话,讨论 SSL 加密的重要性,以及如何在保护隐私的前提下将其实现。”

来自 A10 Networks 公司的宣传人员卡西·克洛斯(Kasey Corss)在一次在线研讨会上表示:你的企业现在就有可能被感染了,而你对此毫不知情。

卡西·克洛斯

一些安全专家认为他们能够通过在防火墙上解密流量来化解威胁,但克洛斯认为,这样做必须先考虑到整个生态系统以及这些产品使用 SSL 加密的必要性,也必须提供一种能够为所有这些产品提供 SSL 可见性的方法。

DDoS 防护、安全和信息事件管理、数据丢失防护工具所代表的整个安全生态系统必须将加密的 SSL 流量纳入考虑。所以关键在于找到一种能够高效地提升这种可见性方法。

你不会想要在每个点上解密这类流量,因为它将会导致大量效能损失。

Vectra 公司首席安全官甘特·奥尔曼(Gunter Ollmann)认为,能够检查这种流量对于“确定损失”和“在网络层上大幅度减少威胁”很有帮助。但 SSL 流量带来的安全威胁与其它类型的主要威胁并没有什么区别。

加密通信确实让检测和识别威胁变得更加困难,但如果启用适当的日志,它将能够帮助记录威胁的行为,以及攻击发生过程中发生的事件。SSL 数据块是一种元数据,但安全事件发生后的调查工作则更依赖于日志本身。

“中间人解密”提供了另一层次的可见性。“网络监控以及诊断”目前正在确定和消除此类威胁方面扮演着重要角色。未来,这种角色会更加重要。

尽管安全人员无法看到通讯和被传输的数据,他们仍能获取信息来源的相关数据,比如时间、频率、时长。这些信息都可以被用于探测威胁。

使用流量加密并不会带来什么效能负担,但却会带来很多商业利益。

“如果我是机构的首席安全官或 IT 部门首脑,我工作的前提将会是:我传输的所有数据都会在某个点上进行加密。”

目前,企业有三种解决 SSL 中隐藏威胁的选择:

这些技术可以在通讯内容被加密之前检查其内容,因此加密对安全人员工作的影响就不再那么大了。但是问题在于,如果有恶意软件发起攻击,它们要做的第一件事就是将此类软件关闭。

为了解决加密带来的威胁,一些人强调要保护通讯双端,但这同样带来了一些问题。例如这类软件代理都会消耗算力,让设备变得缓慢。随着自带设备办公(BYOD)时代的到来,设备和操作系统数量快速增长,这超出了厂商软件能够覆盖的速度。

这是一场真实的战斗,它必定还将持续很久。要建立更好的防御,就应该审视所处的环境,并清醒的认识到一个事实:我们不再对网络流量的数据层拥有可见性了。

本文转自d1net(转载)

时间: 2024-11-17 09:16:36

解密SSL流量,发现隐藏威胁的相关文章

利用Fiddler和Wireshark解密SSL加密流量

原文地址:http://kelvinh.github.io/blog/2014/01/12/decrypt-ssl-using-fiddler-and-wireshark/ Fiddler是一个著名的调试代理工具,它不仅能解析HTTP,而且还能解析加密的HTTPS流量.Wireshark则是一个非常强大的网络包监控以及协议分析工具. 在本文中,只考虑使用SSL来加密HTTP,所以并不严格区分SSL和HTTPS,虽然从广义上来讲,将二者混为一谈是非常不合理的 . 看到这里,大多数人都会很困惑:Fi

为何我们要检查SSL流量?

数据流量加密是否有利于网络安全?某种程度上来说,的确如此.然而美好的事物往往都是鱼和熊掌不可兼得,为提高安全性而牺牲应用性能是我们需要避免的事情. 大多数企业机构的SSL流量平均已占网络总流量的15%至25%,在垂直细分市场中的此类流量更高.行业规范诸如支付卡行业安全标准以及HIPAA法案均要求各企业在数据传输中对敏感数据进行加密(例如:银行往来数据.商户或医疗行业相关网站等).重要企业应用程序如Microsoft Exchange.Salesforce.com.Dropbox也针对Linked

暗伏的危机——为何我们需要SSL流量检查

数据流量加密是否有利于网络安全?某种程度上来说,的确如此.然而美好的事物往往都是鱼和熊掌不可兼得,为提高安全性而牺牲应用性能是我们需要避免的事情. 大多数企业机构的SSL流量平均已占网络总流量的15%至25%,在垂直细分市场中的此类流量更高.行业规范诸如支付卡行业安全标准(PCI-DSS)以及HIPAA法案均要求各企业在数据传输中对敏感数据进行加密(例如:银行往来数据.商户或医疗行业相关网站等).重要企业应用程序如Microsoft Exchange.Salesforce.com.Dropbox

为何我们要检查SSL流量?

数据流量加密是否有利于网络安全?某种程度上来说,的确如此.然而美好的事物往往都是鱼和熊掌不可兼得,为提高安全性而牺牲应用性能是我们需要避免的事情. 大多数企业机构的SSL流量平均已占网络总流量的15%至25%,在垂直细分市场中的此类流量更高.行业规范诸如支付卡行业安全标准以及HIPAA法案均要求各企业在数据传输中对敏感数据进行加密(例如:银行往来数据.商户或医疗行业相关网站等).重要企业应用程序如Microsoft Exchange.Salesforce.com.Dropbox也针对Linked

三种解密 HTTPS 流量的方法介绍

三种解密 HTTPS 流量的方法介绍 Web 安全是一项系统工程,任何细微疏忽都可能导致整个安全壁垒土崩瓦解.拿 HTTPS 来说,它的「内容加密.数据完整性.身份认证」三大安全保证,也会受到非法根证书.服务端配置错误.SSL 库漏洞.私钥被盗等等风险的影响.很多同学认为只要访问的网站地址前有一把小绿锁就绝对安全,其实不然.本文通过介绍三种最常规的 HTTPS 流量解密方法及原理,浅谈一下 HTTPS 的安全风险. Man-in-the-middle Man-in-the-middle(中间人,

瞻博网络设备现后门:万能密码登录设备、可解密VPN流量

Juniper Networks发布紧急更新,修复ScreenOS上一个"未授权代码".攻击者可以利用该漏洞解密NetScreen设备的VPN流量. 百科:Juniper Networks Juniper网络公司(中文名:瞻博网络)致力于实现网络商务模式的转型.作为全球领先的联网和安全性解决方案供应商,Juniper网络公司对依赖网络获得战略性收益的客户一直给予密切关注.公司的客户来自全球各行各业,包括主要的网络运营商.企业.政府机构以及研究和教育机构等.Juniper网络公司推出的一

请教得到client_write_key后用rc4解密ssl密文的问题

问题描述 https解密数据包过程中已得到client_write_key,server_write_key,用rc4解密ssl密文却解不出明文,我确保client_write_key,server_write_key是正确的,问题出在哪呢?谢谢 解决方案 解决方案二:加密算法对吗?解决方案三:这个版好冷清啊!我今天要把所有的帖都顶起来!支持一下!大家活跃起来啊!

谷歌眼镜被用于测试宝马 可帮助发现隐藏缺陷

谷歌眼镜被用于测试宝马 可帮助发现隐藏缺陷最近不少媒体报道了 GoogleGlass的负面消息,有些用户给它取了不雅的外号,还有些行业分析师把它比作是江河日下的Segway.不过宝马公司似乎对这款可穿戴设备情有独钟,他们正在美国南卡罗纳州运行一个试点项目,希望探索Google Glass是如何提升汽车小批量生产过程中的质量控制,帮助公司更好地从原型开发过渡到正式定型量产阶段.在现代汽车制造过程中,小批量生产是非常重要的一个环节.一开始,汽车会有一个吸引眼球的设计概念,然后 它们会进入原型制造阶段

解密Win7中的隐藏分区

裸机全新安装Windows 7的用户,在安装完成后运行diskmgmt.msc打开磁盘管理器,可以看到在系统分区(一般为C分区)之前有一个大小为200MB的隐藏分区.这个特殊的隐藏分区与Windows 7系统有什么关联呢?下面就让我们一探究竟. 1.分区状态 该分区的格式为NTFS,没有磁盘卷标也没有分配驱动器号,其磁盘状态描述为:系统.活动.主分区.因为没有驱动器号,所以在资源管理器中是不可见的.(图1) 2.该分区中都有什么呢? 为了一探究竟,笔者为其分配了一个驱动器号F.操作方法是:在磁盘