無(wú)處不在的加密也對(duì)企業(yè)安全造成了困擾——因?yàn)榧用芗夹g(shù)的存在,發(fā)現(xiàn)敏感數(shù)據(jù)流出或者檢測(cè)惡意軟件與其命令和控制服務(wù)器的通信變得更加困難。
云郵件服務(wù)、在線存儲(chǔ)網(wǎng)站,以及其他云應(yīng)用提供商已經(jīng)開始加密流量了。甚至社交網(wǎng)站都在加密他們的通信數(shù)據(jù)。最近,火狐也在實(shí)驗(yàn)將加密擴(kuò)展到網(wǎng)頁(yè)的各個(gè)部分。
戴爾最近的一份報(bào)告指出,進(jìn)出企業(yè)防火墻的加密數(shù)據(jù)流量在去年里翻了一番,目前已經(jīng)占據(jù)全部通信流量的60%。但是,并不是所有的企業(yè)都對(duì)流經(jīng)企業(yè)網(wǎng)絡(luò)的流量全部進(jìn)行加密做好了準(zhǔn)備。
幸運(yùn)的是,盡管美國(guó)國(guó)防部門和情報(bào)機(jī)構(gòu)無(wú)力阻止加密的迅速擴(kuò)張,企業(yè)依然可以采取一些措施來(lái)保證加密是利于企業(yè)發(fā)展而非相反。比如,最新型智能防火墻能夠解密并監(jiān)控進(jìn)出防火墻的數(shù)據(jù),幫助公司進(jìn)行資料外泄防護(hù)和惡意軟件監(jiān)控。
該升級(jí)的防火墻
受無(wú)處不在的加密影響最大的,應(yīng)該是使用舊式防火墻和數(shù)據(jù)外泄防護(hù)解決方案的那些企業(yè)。
一旦瀏覽器開始加密所有東西,識(shí)別惡意流量將變得更加困難。安全分析員需要切實(shí)看到進(jìn)出的流量才能判斷敏感數(shù)據(jù)是否正在流出或者惡意軟件有沒(méi)有被下載。加密在保護(hù)數(shù)據(jù)不被窺探的同時(shí),也妨礙保護(hù)機(jī)制對(duì)惡意活動(dòng)的檢測(cè)。
據(jù)一份調(diào)查報(bào)告,傳統(tǒng)的網(wǎng)絡(luò)設(shè)備對(duì)60%的流量完全視若無(wú)睹。問(wèn)題非常嚴(yán)重。不過(guò),解決方案早已推出市場(chǎng),以網(wǎng)頁(yè)代理和其他能夠提供解密方法的安全設(shè)備的形式。有了這些解決方案,就能使安全設(shè)施能夠檢查加密流量。
在過(guò)去,對(duì)流量進(jìn)行解密和分析的系統(tǒng)往往會(huì)影響通信性能。因此必須購(gòu)買專用設(shè)備來(lái)進(jìn)行安全套接層(SSL)的卸載。另一個(gè)選擇是基于云的網(wǎng)頁(yè)應(yīng)用防火墻——盡管這讓企業(yè)不得不將自己的SSL密鑰交付給外部廠商。
流氓加密危害大
問(wèn)題是外部代理并不總能夠解密所有進(jìn)出公司系統(tǒng)的流量。
比如,使用未經(jīng)公司批準(zhǔn)的自有加密程序仍然可以加密文檔,再將文檔發(fā)送至云存儲(chǔ)、文件共享網(wǎng)站、個(gè)人電子郵件賬戶,或者不可信的第三方。而采用加密來(lái)隱藏惡意流量的惡意程序可不會(huì)與公司防火墻分享他們的密鑰。
不過(guò)也可這樣來(lái)想,即使不能解密這些數(shù)據(jù)流量,未經(jīng)批準(zhǔn)的加密流量本身就已經(jīng)是警報(bào)信號(hào)了。另外,惡意軟件有可能根本不知道它得經(jīng)過(guò)代理服務(wù)器才能連接上目標(biāo)主機(jī)。如果在網(wǎng)絡(luò)環(huán)境中發(fā)現(xiàn)始終有持續(xù)不斷的網(wǎng)絡(luò)監(jiān)控,就能夠分辨出是客戶發(fā)起的合法SSL連接還是惡意軟件的未授權(quán)連接。
當(dāng)然,惡意軟件作者們也會(huì)適應(yīng)環(huán)境的改變。
監(jiān)控流量目的地址和源地址
處理加密流量的另一種方法,是查找可疑目的地址。
攻擊者仍然需要將數(shù)據(jù)偷運(yùn)出公司,而且他們通常使用已知的惡意基礎(chǔ)設(shè)施作為目的地。即使安全團(tuán)隊(duì)查不到加密流量?jī)?nèi)部的真實(shí)數(shù)據(jù),依然可以通過(guò)觀察流量目的地來(lái)判斷是否發(fā)生了數(shù)據(jù)泄露。
除了已知惡意站點(diǎn),公司還可以找尋其他標(biāo)明流量非法的信號(hào)。舉個(gè)例子,如果流量奔向Tor匿名網(wǎng)絡(luò),那就可以直接阻止這一通信請(qǐng)求。然后流量源頭也是可以觀察的地方,并非所有的企業(yè)系統(tǒng)都需要與外界通信。
有時(shí)候問(wèn)題不在于流量是否加密,而是應(yīng)不應(yīng)該出現(xiàn)流量。傳向陌生IP地址的大量數(shù)據(jù)就是潛在威脅的指示器。”
小心隱私問(wèn)題
當(dāng)員工對(duì)隱私權(quán)有所保留,比如說(shuō)工作間隙用互聯(lián)網(wǎng)處理點(diǎn)私事兒,那么IT部門發(fā)出的“此行為違反了公司通信守則”的警告會(huì)引起什么樣的反感?
建議企業(yè)最好讓員工明確知道當(dāng)自己登錄公司系統(tǒng)時(shí)自己的通信是被監(jiān)控的。這種做法可以顯示出公司是坦率的,而且還有減少公司設(shè)備和帶寬被濫用的額外好處。
或者,公司也可以選擇不檢查特定目的地址的流量,比如與個(gè)人財(cái)務(wù)狀況有關(guān)的網(wǎng)站。設(shè)置一個(gè)白名單,不解密到與社交網(wǎng)絡(luò)或金融等涉及個(gè)人事務(wù)的網(wǎng)站的流量。