当前位置:首页 > 物联网 > 智能应用
[导读] 加密能保护网络流量免遭黑客与网络罪犯侵害,却阻止了安全及监测工具探知网络中传递的数据包的内部情况。事实上,许多企业机构都未对加密流量进行全面检查就任其流经自己的网络,黑客往往会利用加密来隐藏恶意软件并发起攻击,从而劫持用户网络。为了保持强健的防御能力以及降低安全漏洞和数据丢失的风险,我们必须对所有的网络流量进行解密、检查并再重新加密这一过程。

 加密能保护网络流量免遭黑客与网络罪犯侵害,却阻止了安全及监测工具探知网络中传递的数据包的内部情况。事实上,许多企业机构都未对加密流量进行全面检查就任其流经自己的网络,黑客往往会利用加密来隐藏恶意软件并发起攻击,从而劫持用户网络。为了保持强健的防御能力以及降低安全漏洞和数据丢失的风险,我们必须对所有的网络流量进行解密、检查并再重新加密这一过程。

解密带来的负担

解密设备必须保证功能强大。为了抵御数据劫持,加密算法也日益变得越来越长而且逾加复杂。多年前,NSS实验室进行的测试表明,密码从1024位变为2048位后,8款领先的防火墙平均性能下降81%。事实上,针对SSL的解密无需在防火墙处完成。而现在,一些新策略已支持offload解密工作,并向工具发送明文,从而让其高效工作并处理更多流量。以下四项策略可让解密变得更加轻松、快速且经济高效。

策略一:在解密前移除恶意流量

曾用于网络攻击的许多IP地址会被重新使用,并被公布于安全社区内。相关专门组织每天都会跟踪并确认已知的网络威胁,并将此类信息保存在情报数据库内。通过该数据库对流入及流出的数据包进行比对,我们可以辨别出恶意流量并从网络中对其加以阻止。由于对比是通过明文格式的包头完成的,该策略无需对数据包进行解密。提前将与已知攻击者相关的流量过滤掉可以减少需要解密的数据包数量。此外,对这部分同时将会引发安全警报的流量进行剔除也有助于安全团队提高效率。

部署此项策略的最快方法是在防火墙前端安装被称之为威胁情报网关的专用硬件设备。该设备旨在快速、大量地阻止恶意流量,包括来自未经验证国家的信息,并通过综合威胁情报源对其自身进行不间断的更新。安装后,该网关将无需人工干预,也无需创建或维护相应的过滤器。恶意流量要么被立即丢弃,要么被发送至沙箱接受进一步的分析。根据您所处的行业以及被恶意攻击的频率,您可以因此减少最高可达到80%的安全警报。

另外,我们也可以在防火墙上配置自定义的过滤器以阻止特定IP地址。但遗憾的是,防火墙过滤器必须手动配置与维护,并且在能创建的过滤器数量方面也存在限制。随着联网设备与遭受攻击IP地址的爆炸性增长令防火墙能力捉襟见肘。此外,在防火墙一类高级设备上进行循环处理只为完成简单对比的操作,并不是阻止流量的经济高效方式。

策略二:寻求高级解密功能

对来往于恶意源头的加密数据包进行移除之后,余下的部分数据亦需要由解密设备加以处理。许多安全工具,例如下一代防火墙(NGFW)或入侵防御系统(IPS),均具有SSL解密功能。但是,NSS实验室发布的一篇文章警告称,某些安全工具可能未包含最新密钥,从而将导致在非标准端口上发生的SSL通信丢失,还有可能无法按照所宣称的吞吐率完成加密、甚至会在完全未实施解密的情况下快速建立某些连接。

密码学依赖于先人一步的预防措施。安全解决方案必须支持最新加密标准,结合各式各样的密钥与算法,并拥有使用更大2048位与4096位密钥以及更新Elliptic Curve密钥解密流量的能力。随着安全技术复杂度攀升,解决方案必须能够有效且经济高效地处理解密——即避免丢包、引发错误或者未能完成全面检查。

随着SSL流量数量的增加,为了实现完全的网络可视性,解密解决方案的质量将日渐重要。此外,“纵深防御”也成为公认的最佳实践,其通常需要使用多项同类最佳的安全设备(如:独立防火墙与IPS)。而让这些设备全部经历一遍流量解密与再加密将会导致安全工具效率低下,不仅会增加网络延迟,同时还会降低策略效力以及端到端的可视性。

策略三:选择操作简单的工具

另一项关键特性是管理员可以通过简单操作来创建并管理解密相关策略。那些杰出的解决方案可以提供基于拖放式的用户操作界面来完成过滤器的创建,从而有能力实现选择性的数据转发或者针对基于内容识别的数据脱敏,例如身份证,或银行卡号。这些解决方案还可以很容易为每个被使用的SSL密钥以及通信过程中产生的所有异常(如丢失的会话、SSL故障、无效证书以及出于策略原因而无需解密的会话)保存完整记录。对于审计、取证、网络故障排除以及容量规划而言,这些详细的日志都非常宝贵。

策略四:规划经济高效的可扩展性

随着加密流量数量的增加,解密将对安全基础架构的性能带来更大的影响,因此提前规划十分必要。虽然简单地“开启”防火墙中的SSL解密功能,或一体化威胁管理(UTM)解决方案似乎合情合理,但解密是一项需要在过程中进行大量处理的功能。由于SSL流量增加以及解密需要的更多周期,整体性能将会受到影响,工具同时也可能出现丢包。为了增强多功能设备中流量的流动能力,唯一的选项就是扩大整体容量。扩容会带来大量资本支出,同时为了确保设备能够承担解密,某些功能还将产生额外成本。

更好的一个选项是通过采用具有SSL解密功能的网络可视性解决方案或网络数据包中转设备(NPB)来实现SSL解密从而实现针对安全工具的SSL卸载。许多企业机构利用网络数据包中转设备汇聚网络流量、识别相关数据包并将其高速分发给安全工具。使用硬件加速的网络数据包中转设备可以在零丢包的情况下以线速处理流量,并实现自动化负载均衡。另外,它们无需多种串联设备来进行各自独立的解密/再加密。扩展网络数据包中转设备的成本低于扩展大部分安全设备的成本,并可以提供快速的投资回报。

结论

随着更多的互联网转向加密流量,SSL流量内的攻击将变得更加普遍。为了保护数据与网络免遭黑客与网络罪犯侵害,检查所有加密的网络流量势在必行。尚未实施严格加密流量检查制度的企业将令网络安全性大打折扣,并带来因漏洞与数据丢失引发的难以承受的风险。但幸运的是,以提高SSL解密效率与经济效益为目标的新型解决方案正不断涌现。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭