精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

加密傳輸技術進一步得到應用，一方面保護了個人隱私信息，另外一方面也助長了犯罪行為。

隨著加密傳輸技術進一步得到應用，過去的五年中，谷歌、YouTube、推特等大公司使用 SSL 的行為推動了其它互聯網企業使用加密連接的熱情。

加密傳輸也帶來了風險。由于加密信息對第三方不公開，網絡罪犯也可以在不引人注意的情況下從事犯罪活動。他們使用傳輸層安全協議（Transport Layer Security，TLS）和安全套接層協議（Secure Socket Layer，SSL）加密其通信。

來自 Palo Alto Networks 公司威脅情報部門的瑞安·奧爾森（Ryan Olson）表示，安全專家主要的擔心來自于防火墻無法監控加密通信。網絡罪犯對此心知肚明，這迫使很多企業開始研究如何確定要解密的流量，以及其解密方式。

　　瑞安·奧爾森

如果企業解密所有流量，用戶會感覺不安。要想在不犧牲隱私的前提下保護網絡環境安全，企業只能引入另一層，從策略層面上確定要解密什么流量。

對一些機構而言，電子郵件可能是一種威脅向量，因此企業選擇解密郵件流量。但這類答案對于每家企業而言都會有所不同，因為它們還必須從文化的角度來思考這一問題。

如果流量被加密，它對于企業而言就是一堆數據包。安全部門無法檢測流量的內容，因此無法將罪犯使用的惡意流量與正常流量區分開來，也無法確定流量到底是流入還是流出的。所以要化解網絡威脅，安全團隊必須看到加密流量的內容。

SSL 連接發源于瀏覽器，終止于服務器。經過簽名的證書表示認可，接下來就是密鑰交換，通訊雙方可以加密端對端通信的所有內容。這種加密通信方式通訊雙方的負擔并不大，但給中間方產生了不小的麻煩。

　　SSL交互認證原理

當然，企業也可以通過引入一份新證書實現解密，但這只適用于企業環境；對于要處理加密流量的安全廠商而言，則必須在兩點上確定流量的內容。比如，用戶瀏覽器訪問谷歌，防火墻發現了這次會話并將其終止。廠商經過解密、分析、重新加密的過程，再重新連接到谷歌。

這樣，企業就仍能保持對信息基礎設施的控制權。

企業可以獲得平衡。將流量再次加密，這樣對隱私的沖擊不會那么大。這對企業而言也是敏感話題，因為歸根結底，網絡是他們的，數據是他們的，設備也是他們自己的。他們所處的位置能夠讓他們宣稱對這些信息保密并不重要。

通過確定網絡上 SSL 加密流量的比例，企業能夠獲得一定的平衡和可見性。

“每個人都應當問，他們想要網絡上的多少東西被加密。安全人員應當與用戶展開對話，討論 SSL 加密的重要性，以及如何在保護隱私的前提下將其實現。”

來自 A10 Networks 公司的宣傳人員卡西·克洛斯（Kasey Corss）在一次在線研討會上表示：你的企業現在就有可能被感染了，而你對此毫不知情。

　　卡西·克洛斯

一些安全專家認為他們能夠通過在防火墻上解密流量來化解威脅，但克洛斯認為，這樣做必須先考慮到整個生態系統以及這些產品使用 SSL 加密的必要性，也必須提供一種能夠為所有這些產品提供 SSL 可見性的方法。

DDoS 防護、安全和信息事件管理、數據丟失防護工具所代表的整個安全生態系統必須將加密的 SSL 流量納入考慮。所以關鍵在于找到一種能夠高效地提升這種可見性方法。

你不會想要在每個點上解密這類流量，因為它將會導致大量效能損失。

Vectra 公司首席安全官甘特·奧爾曼（Gunter Ollmann）認為，能夠檢查這種流量對于“確定損失”和“在網絡層上大幅度減少威脅”很有幫助。但 SSL 流量帶來的安全威脅與其它類型的主要威脅并沒有什么區別。

加密通信確實讓檢測和識別威脅變得更加困難，但如果啟用適當的日志，它將能夠幫助記錄威脅的行為，以及攻擊發生過程中發生的事件。SSL 數據塊是一種元數據，但安全事件發生后的調查工作則更依賴于日志本身。

“中間人解密”提供了另一層次的可見性。“網絡監控以及診斷”目前正在確定和消除此類威脅方面扮演著重要角色。未來，這種角色會更加重要。

盡管安全人員無法看到通訊和被傳輸的數據，他們仍能獲取信息來源的相關數據，比如時間、頻率、時長。這些信息都可以被用于探測威脅。

使用流量加密并不會帶來什么效能負擔，但卻會帶來很多商業利益。

“如果我是機構的首席安全官或 IT 部門首腦，我工作的前提將會是：我傳輸的所有數據都會在某個點上進行加密。”

目前，企業有三種解決 SSL 中隱藏威脅的選擇：

這些技術可以在通訊內容被加密之前檢查其內容，因此加密對安全人員工作的影響就不再那么大了。但是問題在于，如果有惡意軟件發起攻擊，它們要做的第一件事就是將此類軟件關閉。

為了解決加密帶來的威脅，一些人強調要保護通訊雙端，但這同樣帶來了一些問題。例如這類軟件代理都會消耗算力，讓設備變得緩慢。隨著自帶設備辦公（BYOD）時代的到來，設備和操作系統數量快速增長，這超出了廠商軟件能夠覆蓋的速度。

這是一場真實的戰斗，它必定還將持續很久。要建立更好的防御，就應該審視所處的環境，并清醒的認識到一個事實：我們不再對網絡流量的數據層擁有可見性了。