解密 SSL 流量,發現隱藏威脅

加密傳輸技術進一步得到應用,一方面保護了個人隱私信息,另外一方面也助長了犯罪行為。

隨著加密傳輸技術進一步得到應用,過去的五年中,谷歌、YouTube、推特等大公司使用 SSL 的行為推動了其它網際網路企業使用加密連接的熱情。

加密傳輸也帶來了風險。由於加密信息對第三方不公開,網絡罪犯也可以在不引人注意的情況下從事犯罪活動。他們使用傳輸層安全協議(Transport Layer Security,TLS)和安全套接層協議(Secure Socket Layer,SSL)加密其通信。

來自 Palo Alto Networks 公司威脅情報部門的瑞安·奧爾森(Ryan Olson)表示,安全專家主要的擔心來自於防火牆無法監控加密通信。網絡罪犯對此心知肚明,這迫使很多企業開始研究如何確定要解密的流量,以及其解密方式。

如果企業解密所有流量,用戶會感覺不安。要想在不犧牲隱私的前提下保護網絡環境安全,企業只能引入另一層,從策略層面上確定要解密什麼流量。

對一些機構而言,電子郵件可能是一種威脅向量,因此企業選擇解密郵件流量。但這類答案對於每家企業而言都會有所不同,因為它們還必須從文化的角度來思考這一問題。

如果流量被加密,它對於企業而言就是一堆數據包。安全部門無法檢測流量的內容,因此無法將罪犯使用的惡意流量與正常流量區分開來,也無法確定流量到底是流入還是流出的。所以要化解網絡威脅,安全團隊必須看到加密流量的內容。

SSL 連接發源於瀏覽器,終止於伺服器。經過簽名的證書表示認可,接下來就是密鑰交換,通訊雙方可以加密端對端通信的所有內容。這種加密通信方式通訊雙方的負擔並不大,但給中間方產生了不小的麻煩。

SSL交互認證原理

當然,企業也可以通過引入一份新證書實現解密,但這隻適用於企業環境;對於要處理加密流量的安全廠商而言,則必須在兩點上確定流量的內容。比如,用戶瀏覽器訪問谷歌,防火牆發現了這次會話並將其終止。廠商經過解密、分析、重新加密的過程,再重新連接到谷歌。這樣,企業就仍能保持對信息基礎設施的控制權。

企業可以獲得平衡。將流量再次加密,這樣對隱私的衝擊不會那麼大。這對企業而言也是敏感話題,因為歸根結底,網絡是他們的,數據是他們的,設備也是他們自己的。他們所處的位置能夠讓他們宣稱對這些信息保密並不重要。

通過確定網絡上 SSL 加密流量的比例,企業能夠獲得一定的平衡和可見性。

「每個人都應當問,他們想要網絡上的多少東西被加密。安全人員應當與用戶展開對話,討論 SSL 加密的重要性,以及如何在保護隱私的前提下將其實現。」來自 A10 Networks 公司的宣傳人員卡西·克洛斯(Kasey Corss)在一次在線研討會上表示:你的企業現在就有可能被感染了,而你對此毫不知情。

卡西·克洛斯

一些安全專家認為他們能夠通過在防火牆上解密流量來化解威脅,但克洛斯認為,這樣做必須先考慮到整個生態系統以及這些產品使用 SSL 加密的必要性,也必須提供一種能夠為所有這些產品提供 SSL 可見性的方法。

DDoS 防護、安全和信息事件管理、數據丟失防護工具所代表的整個安全生態系統必須將加密的 SSL 流量納入考慮。所以關鍵在於找到一種能夠高效地提升這種可見性方法。

你不會想要在每個點上解密這類流量,因為它將會導致大量效能損失。

Vectra 公司首席安全官甘特·奧爾曼(Gunter Ollmann)認為,能夠檢查這種流量對於「確定損失」和「在網絡層上大幅度減少威脅」很有幫助。但 SSL 流量帶來的安全威脅與其它類型的主要威脅並沒有什麼區別。

加密通信確實讓檢測和識別威脅變得更加困難,但如果啟用適當的日誌,它將能夠幫助記錄威脅的行為,以及攻擊發生過程中發生的事件。SSL 數據塊是一種元數據,但安全事件發生後的調查工作則更依賴於日誌本身。

「中間人解密」提供了另一層次的可見性。「網絡監控以及診斷」目前正在確定和消除此類威脅方面扮演著重要角色。未來,這種角色會更加重要。

儘管安全人員無法看到通訊和被傳輸的數據,他們仍能獲取信息來源的相關數據,比如時間、頻率、時長。這些信息都可以被用於探測威脅。使用流量加密並不會帶來什麼效能負擔,但卻會帶來很多商業利益。「如果我是機構的首席安全官或 IT 部門首腦,我工作的前提將會是:我傳輸的所有數據都會在某個點上進行加密。」

1.阻斷所有加密連接

2.使用中間人方式決定應當終止的 SSL 連接

3.企業在計算機設備上安裝一些軟體代理

這些技術可以在通訊內容被加密之前檢查其內容,因此加密對安全人員工作的影響就不再那麼大了。但是問題在於,如果有惡意軟體發起攻擊,它們要做的第一件事就是將此類軟體關閉。

為了解決加密帶來的威脅,一些人強調要保護通訊雙端,但這同樣帶來了一些問題。例如這類軟體代理都會消耗算力,讓設備變得緩慢。隨著自帶設備辦公(BYOD)時代的到來,設備和作業系統數量快速增長,這超出了廠商軟體能夠覆蓋的速度。

這是一場真實的戰鬥,它必定還將持續很久。要建立更好的防禦,就應該審視所處的環境,並清醒的認識到一個事實:我們不再對網絡流量的數據層擁有可見性了。