防止数据加密劫持网络的四大策略

2017-08-22 09:23:00 作者:Lora O'Haver 分类 : 比特网

  加密能保护网络流量免遭黑客与网络罪犯侵害,却阻止了安全及监测工具探知网络中传递的数据包的内部情况。事实上,许多企业机构都未对加密流量进行全面检查就任其流经自己的网络,黑客往往会利用加密来隐藏恶意软件并发起攻击,从而劫持用户网络。为了保持强健的防御能力以及降低安全漏洞和数据丢失的风险,我们必须对所有的网络流量进行解密、检查并再重新加密这一过程。

  解密带来的负担

  解密设备必须保证功能强大。为了抵御数据劫持,加密算法也日益变得越来越长而且逾加复杂。多年前,NSS实验室进行的测试表明,密码从1024位变为2048位后,8款领先的防火墙平均性能下降81%。事实上,针对SSL的解密无需在防火墙处完成。而现在,一些新策略已支持offload解密工作,并向工具发送明文,从而让其高效工作并处理更多流量。以下四项策略可让解密变得更加轻松、快速且经济高效。

  策略一:在解密前移除恶意流量

  曾用于网络攻击的许多IP地址会被重新使用,并被公布于安全社区内。相关专门组织每天都会跟踪并确认已知的网络威胁,并将此类信息保存在情报数据库内。通过该数据库对流入及流出的数据包进行比对,我们可以辨别出恶意流量并从网络中对其加以阻止。由于对比是通过明文格式的包头完成的,该策略无需对数据包进行解密。提前将与已知攻击者相关的流量过滤掉可以减少需要解密的数据包数量。此外,对这部分同时将会引发安全警报的流量进行剔除也有助于安全团队提高效率。

  部署此项策略的最快方法是在防火墙前端安装被称之为威胁情报网关的专用硬件设备。该设备旨在快速、大量地阻止恶意流量,包括来自未经验证国家的信息,并通过综合威胁情报源对其自身进行不间断的更新。安装后,该网关将无需人工干预,也无需创建或维护相应的过滤器。恶意流量要么被立即丢弃,要么被发送至沙箱接受进一步的分析。根据您所处的行业以及被恶意攻击的频率,您可以因此减少最高可达到80%的安全警报。

  另外,我们也可以在防火墙上配置自定义的过滤器以阻止特定IP地址。但遗憾的是,防火墙过滤器必须手动配置与维护,并且在能创建的过滤器数量方面也存在限制。随着联网设备与遭受攻击IP地址的爆炸性增长令防火墙能力捉襟见肘。此外,在防火墙一类高级设备上进行循环处理只为完成简单对比的操作,并不是阻止流量的经济高效方式。

  策略二:寻求高级解密功能

  对来往于恶意源头的加密数据包进行移除之后,余下的部分数据亦需要由解密设备加以处理。许多安全工具,例如下一代防火墙(NGFW)或入侵防御系统(IPS),均具有SSL解密功能。但是,NSS实验室发布的一篇文章警告称,某些安全工具可能未包含最新密钥,从而将导致在非标准端口上发生的SSL通信丢失,还有可能无法按照所宣称的吞吐率完成加密、甚至会在完全未实施解密的情况下快速建立某些连接。

  密码学依赖于先人一步的预防措施。安全解决方案必须支持最新加密标准,结合各式各样的密钥与算法,并拥有使用更大2048位与4096位密钥以及更新Elliptic Curve密钥解密流量的能力。随着安全技术复杂度攀升,解决方案必须能够有效且经济高效地处理解密——即避免丢包、引发错误或者未能完成全面检查。

  随着SSL流量数量的增加,为了实现完全的网络可视性,解密解决方案的质量将日渐重要。此外,“纵深防御”也成为公认的最佳实践,其通常需要使用多项同类最佳的安全设备(如:独立防火墙与IPS)。而让这些设备全部经历一遍流量解密与再加密将会导致安全工具效率低下,不仅会增加网络延迟,同时还会降低策略效力以及端到端的可视性。

  策略三:选择操作简单的工具

  另一项关键特性是管理员可以通过简单操作来创建并管理解密相关策略。那些杰出的解决方案可以提供基于拖放式的用户操作界面来完成过滤器的创建,从而有能力实现选择性的数据转发或者针对基于内容识别的数据脱敏,例如身份证,或银行卡号。这些解决方案还可以很容易为每个被使用的SSL密钥以及通信过程中产生的所有异常(如丢失的会话、SSL故障、无效证书以及出于策略原因而无需解密的会话)保存完整记录。对于审计、取证、网络故障排除以及容量规划而言,这些详细的日志都非常宝贵。

  策略四:规划经济高效的可扩展性

  随着加密流量数量的增加,解密将对安全基础架构的性能带来更大的影响,因此提前规划十分必要。虽然简单地“开启”防火墙中的SSL解密功能,或一体化威胁管理(UTM)解决方案似乎合情合理,但解密是一项需要在过程中进行大量处理的功能。由于SSL流量增加以及解密需要的更多周期,整体性能将会受到影响,工具同时也可能出现丢包。为了增强多功能设备中流量的流动能力,唯一的选项就是扩大整体容量。扩容会带来大量资本支出,同时为了确保设备能够承担解密,某些功能还将产生额外成本。

  更好的一个选项是通过采用具有SSL解密功能的网络可视性解决方案或网络数据包中转设备(NPB)来实现SSL解密从而实现针对安全工具的SSL卸载。许多企业机构利用网络数据包中转设备汇聚网络流量、识别相关数据包并将其高速分发给安全工具。使用硬件加速的网络数据包中转设备可以在零丢包的情况下以线速处理流量,并实现自动化负载均衡。另外,它们无需多种串联设备来进行各自独立的解密/再加密。扩展网络数据包中转设备的成本低于扩展大部分安全设备的成本,并可以提供快速的投资回报。

  结论

  随着更多的互联网转向加密流量,SSL流量内的攻击将变得更加普遍。为了保护数据与网络免遭黑客与网络罪犯侵害,检查所有加密的网络流量势在必行。尚未实施严格加密流量检查制度的企业将令网络安全性大打折扣,并带来因漏洞与数据丢失引发的难以承受的风险。但幸运的是,以提高SSL解密效率与经济效益为目标的新型解决方案正不断涌现。

芥末视频

最近更新
科普

科普图集
互联网+升级到智能+,开启万物智联新时代

互联网+升级到智能+,开启万物智联新时代>>详情

中国互联网消费市场,发展潜力一片大好

中国互联网消费市场,发展潜力一片大好>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。