AI智能
改变未来

网络日益失去可见性

一、加密流量正在吞噬网络

根据统计数据显示,当前互联网流量中加密流量占比已突破了80%,而且预计这一数字仍会保持快速增长。如图流量统计显示了互联网流量中Https加密流量在2018.8-2019.8一年内的趋势,正在以惊人的速度增加。

互联网正在全面走向加密化,企业流量也不列外,基于Web的应用越来越多,企业持续增加对加密的依赖。虽然在许多方面,加密流量的增长对安全来说是一件好事,不但有效保护企业业务和数字资产,而且也为用户的隐私信息提供安全保障。

有利就有弊,加密代表着不可见和隐藏信息,企业网络中日益增多的加密流量,给IT团队的安全监测制造难度,网络正在走向越来越不可见,加密给监测网络流量、识别和阻止加密流量中的威胁行为带来了极大的影响和挑战。

二、网络正在走向不可见

说到加密,绕不开互联网流量加密的基础 SSL/TLS技术,图示SSL/TLS的发展历程。

今天我们就来扒一扒加密流量对于网络可见性的影响,文中用到几个术语如下:

SSL/TLS(Secure Socket Layer/Transport Layer Security):安全套接字层/传输层安全 ,用于加密流量。

SNI(Server Name Indication):主机名称指示。

ESNI(Encrypted SNI):加密主机名称指示。

SC(Server Certificate):服务器证书。

DoH((DNS-over-Https):DNS报文封装在Https数据包里。

监测和解析网络流量是维护企业网络安全的一项重要安全措施,为IT团队提供完全可见的网络行为,高效的发现、识别和阻止流量中的威胁和恶意行为。未加密流量的各种互联网应用,IT团队能够完全可见企业网络中的各种网络行为;自网景公司(Netscape)1994年首次在浏览器中引入安全套接字层(SSL)协议后,网络流量的可见性日益下降。

下面以访问一个example.com域名网站为例,从明文流量、基于TLS不同版本和DoH协议组合的情况下加密流量的情况,分别进行说明。

1、基于未加密流量的各种互联网应用,网络行为完全可见

网络流量是明文传输,通过流量解析,提取到访问的域名、IP地址、DSN服务器、以及用户访问网站的具体内容数据,从而在任何时候都能够对网络行为深度可见。

2、采用TLS1.2加密流量

提取不到用户访问网站的具体内容数据,但仍然可以从流量中提取到DNS、SNI、SC信息,即证书、域名、IP地址、DNS服务器等相关信息,能够对网络行为具有一定的可见。

3、采用TLS1.3和DoH组合的加密流量

DNS数据包、证书、访问网站的具体内容数据等都提取不到,只能根据SNI提取信息,网络行为的可见性进一步降低。

4、采用TLS1.3、DoH和ESNI组合的加密流量

连访问的域名也被加密后,IT团队除了能够获取IP地址外,将无法提取到任何有效信息,从监测网络角度,网络行为已经不可见了。

三、加密流量成为网络犯罪的乐土

加密只是一种手段,用来保护任何流量不被检测,无论是好的还是恶意的。加密技术是开放的,网络犯罪分子更是非常了解加密技术,越来越多的网络***和数据窃取行为也被隐藏在加密流量之下,利用它来掩盖自己的存在和逃避检测,这给企业IT团队监测网络流量中的威胁带来了极大的影响和挑战。

越来越多的恶意行为也利用TLS加密来隐藏其通信,以绕过传统的检测设备或平台,无论是分发恶意软件还是窃取的数据。根据Zscaler的新威胁研究报告显示,未来针对绕过传统安全控制和监测的加密流量(SSL/TLS)的和威胁将增长260%,其中最易受到基于加密流量威胁的行业主要是:医疗、金融和保险、制造业、政府、服务等等。据统计,自从去年全球爆发新冠疫情以来,新冠疫情推动各种勒索软件激增,加密流量的和威胁增加了5倍,加密流量的数据泄露和窃取事件加速上升。

四、总结

在企业安全体系架构中,网络流量监测和网络行为分析扮演着非常重要的角色。目前,主流的对于加密流量的分析,在不解密加密流量的情况下,主要是基于IP地址解析、域名算法、流量特征包括字节大小、发生时间、频次、标识等等进行统计学和算法的分析,但是随着TLS1.3、DoH和ESNI普及,网络流量监测的有效性将会越来越低。

如果要精确检测出加密流量中的威胁行为、恶意软件和数据外泄,最根本的方法是对加密数据进行解密,从解密后的流量中进行发现、识别和检测,当前大部分的网络流量监测的解决方案中,对于采集到要监测加密流量不具备解密能力,在全息的数据安全解决方中,从网络中采集的加密流量,能够在全息数据采集器端直接进行解密,从而全面可见网络行为。

加密流量日趋盛行的今天,企业更是要面对日益增多的加密恶意流量,如何能够在加密流量环境下,即保护好企业的数字资产和用户隐私的情况下,又能够保持对于网络的深度可见性,及时发现和阻止加密流量中的恶意行为,是每个企业IT团队需要认真思考的。

赞(0) 打赏
未经允许不得转载:爱站程序员基地 » 网络日益失去可见性