增強加密是把雙刃劍
無處不在的加密也對企業安全造成了困擾——因為加密技術的存在,發現敏感數據流出或者檢測惡意軟件與其命令和控制服務器的通信變得更加困難。
云郵件服務、在線存儲網站,以及其他云應用提供商已經開始加密流量了。甚至社交網站都在加密他們的通信數據。最近,火狐也在實驗將加密擴展到網頁的各個部分。
戴爾最近的一份報告指出,進出企業防火墻的加密數據流量在去年里翻了一番,目前已經占據全部通信流量的60%。但是,并不是所有的企業都對流經企業網絡的流量全部進行加密做好了準備。
幸運的是,盡管美國國防部門和情報機構無力阻止加密的迅速擴張,企業依然可以采取一些措施來保證加密是利于企業發展而非相反。比如,最新型智能防火墻能夠解密并監控進出防火墻的數據,幫助公司進行資料外泄防護和惡意軟件監控。
該升級的防火墻
受無處不在的加密影響最大的,應該是使用舊式防火墻和數據外泄防護解決方案的那些企業。
一旦瀏覽器開始加密所有東西,識別惡意流量將變得更加困難。安全分析員需要切實看到進出的流量才能判斷敏感數據是否正在流出或者惡意軟件有沒有被下載。加密在保護數據不被窺探的同時,也妨礙保護機制對惡意活動的檢測。
據一份調查報告,傳統的網絡設備對60%的流量完全視若無睹。問題非常嚴重。不過,解決方案早已推出市場,以網頁代理和其他能夠提供解密方法的安全設備的形式。有了這些解決方案,就能使安全設施能夠檢查加密流量。
在過去,對流量進行解密和分析的系統往往會影響通信性能。因此必須購買專用設備來進行安全套接層(SSL)的卸載。另一個選擇是基于云的網頁應用防火墻——盡管這讓企業不得不將自己的SSL密鑰交付給外部廠商。
流氓加密危害大
問題是外部代理并不總能夠解密所有進出公司系統的流量。
比如,使用未經公司批準的自有加密程序仍然可以加密文檔,再將文檔發送至云存儲、文件共享網站、個人電子郵件賬戶,或者不可信的第三方。而采用加密來隱藏惡意流量的惡意程序可不會與公司防火墻分享他們的密鑰。
不過也可這樣來想,即使不能解密這些數據流量,未經批準的加密流量本身就已經是警報信號了。另外,惡意軟件有可能根本不知道它得經過代理服務器才能連接上目標主機。如果在網絡環境中發現始終有持續不斷的網絡監控,就能夠分辨出是客戶發起的合法SSL連接還是惡意軟件的未授權連接。
當然,惡意軟件作者們也會適應環境的改變。
監控流量目的地址和源地址
處理加密流量的另一種方法,是查找可疑目的地址。
攻擊者仍然需要將數據偷運出公司,而且他們通常使用已知的惡意基礎設施作為目的地。即使安全團隊查不到加密流量內部的真實數據,依然可以通過觀察流量目的地來判斷是否發生了數據泄露。
除了已知惡意站點,公司還可以找尋其他標明流量非法的信號。舉個例子,如果流量奔向Tor匿名網絡,那就可以直接阻止這一通信請求。然后流量源頭也是可以觀察的地方,并非所有的企業系統都需要與外界通信。
有時候問題不在于流量是否加密,而是應不應該出現流量。傳向陌生IP地址的大量數據就是潛在威脅的指示器。”
小心隱私問題
當員工對隱私權有所保留,比如說工作間隙用互聯網處理點私事兒,那么IT部門發出的“此行為違反了公司通信守則”的警告會引起什么樣的反感?
建議企業最好讓員工明確知道當自己登錄公司系統時自己的通信是被監控的。這種做法可以顯示出公司是坦率的,而且還有減少公司設備和帶寬被濫用的額外好處。
或者,公司也可以選擇不檢查特定目的地址的流量,比如與個人財務狀況有關的網站。設置一個白名單,不解密到與社交網絡或金融等涉及個人事務的網站的流量。
