博客

SSL 是否将恶意软件走私到您的企业中?

Gary Newe 缩略图
加里·纽威
2015 年 10 月 21 日发布

我们都知道 SSL,它是保护我们在线通信的重要加密工具。 它保护我们使用的网络浏览器与托管此类网站的服务器之间的通信。 您可以通过挂锁符号或地址中的 HTTPS 来识别安全网站。

总体来说,SSL 是个好东西。 任何涉及财务信息的交易(例如银行业务或网上购物)都使用 SSL 来保护您的信息隐私。 但最近,人们开始倡导使用 SSL 来保护所有互联网流量,而不仅仅是包含用户名/密码组合或财务数据的流量。 爱德华·斯诺登揭露全球大规模监控等引人注目的新闻报道意味着越来越多的用户要求在线加密,而提供商也乐意满足他们的要求。

这就是它的使用日益增多的原因;世界上大多数最受欢迎的网站,例如谷歌、亚马逊和 Facebook,现在所有流量都默认启用 HTTPS(提供 SSL 加密)。 据估计,到2015 年底,全球超过一半的互联网流量将被加密。 (这主要是因为 Netflix 占据了互联网流量的很大一部分并且正在切换到 HTTPS。)

不过,虽然加密互联网流量无疑会保护更多敏感数据,但它确实给企业带来了更大的风险。 这是因为许多企业安全设备无法识别加密流量中的内容,这意味着恶意软件可以不被发现地潜入其中。

防火墙、网络网关、入侵防御系统等都很难检测到通过加密流量传输的恶意软件。 如果网络犯罪分子能够在所谓安全的交易中隐藏恶意软件,这对企业来说可能是一场噩梦。 而且这是双向的;恶意软件不仅可以在不被检测到的情况下到达,还可以通过大多数安全工具无法检测到的加密交易将敏感信息发送回其控制者。

Dyre 银行恶意软件就是其中一个例子。 据报道,该恶意软件能够在加密启动之前窃取信息,并以合法加密流量的名义将其发回命令和控制服务器。 至关重要的是,当显示挂锁符号时,会话看起来很安全,但在后台,敏感数据正在被窃取。

事实上,任何不可靠的网站都可能提供驱动恶意软件,并且如果会话是加密的,安全工具就无法确定该流量的实际内容是什么,或者它要去哪里。 代理服务器或 URL 过滤网关等设备对此完全视而不见。

这是企业面临的一个非常现实的问题。 Gartner 的数据表明,不到 20% 使用防火墙、IPS 或 UTM 的组织可以解密 SSL 流量,这意味着隐藏在 SSL 流量中的恶意软件将绕过这些安全平台。 Gartner 还声称,到 2017 年,超过 50% 针对企业的网络攻击将使用 SSL 来绕过安全措施。

企业如何确保自己不会被隐藏在加密流量中的恶意软件所攻击? 简单的答案就是解密该流量,但问题是如何做到这一点而不侵犯隐私或使敏感数据受到攻击。

因此问题就变成了知道哪些流量应该被解密。 如果企业向外部用户提供内容,则需要使用某种设备来卸载服务器的 SSL 流量,然后在流量中插入保护。 这会破坏 SSL,但是以一种智能的方式;您不想解密银行会话,但您想解密 Facebook 会话。

安全性需要具备智能,能够了解流量去向,然后决定是否解密或保持原样。 它正在破解 SSL,但是是以一种安全和智能的方式。