如何通过强化可视性提高安全性

无形之中的威胁防不胜防。

第 1 部分

近 90% 的互联网流量都经过加密,并且我们正在迅速向一个几乎所有传输数据皆是如此的互联网过渡。虽然这对于隐私和保密性十分有益,但却造成了严重的安全盲点。

71%

通过网络钓鱼安装的恶意软件中,有一部分隐藏在加密技术中。

F5 Labs 威胁情报

加密恶意软件:隐藏的威胁

利用加密技术,攻击者可以绕过大多数检查设备,在网络内部传递恶意软件。此外,加密数据渗漏可以绕过安全工具,而无需进行检查。F5 Labs 的威胁研究显示,71% 的恶意软件在通信回指令和控制位置时使用加密技术进行隐藏。此外,仅仅访问一次57% 的恶意软件网站和 95% 的钓鱼网站,就会使事件响应调查变得复杂。

网络犯罪分子深知组织在解密和检查流量方面存在困难,他们利用这一点来获取优势。攻击者利用恶意软件(如间谍软件、勒索软件和黑客程序)以及漏洞,破坏用户、网络和应用以窃取个人数据。

2018 年,Verizon 2019 年数据泄露调查报告显示,28% 的数据泄露涉及某种形式的恶意软件。除了被犯罪组织用来获取经济利益外,恶意软件也越来越多地被国家支持的实体用来破坏其他国家数据并进行间谍活动。

 

获得对加密流量的更好的可视性,是您可以采取的保护您的应用和业务的最重要措施之一。

此问题并不陌生。多年来,网络安全行业设计了多种工具以检测或阻止恶意软件和恶意流量。各组织也已部署一系列技术,例如下一代防火墙以观察用户行为、沙盒以发现零日攻击、入侵防护系统以阻止恶意有效负载、数据丢失预防扫描器以防止数据渗漏,以及 Web 网关服务以确保入站和出站流量。

这些解决方案经过多年改善,已能妥当防止恶意软件感染用户的系统,以及阻止危及企业网络或应用。然而,它们并非为大规模的加密/解密而设计,因此无法检查加密流量中的内容。加密数据的兴起为攻击者创造了机会,也为网络管理员带来了棘手的问题。更糟糕的是,许多检查设备无法跟上快速变化的加密环境,例如 TLS 1.3 中对完全正向保密 (PFS) 的要求,导致盲点或性能下降。如果您希望让应用、数据和组织免受恶意软件的侵害,便不能对加密视而不见。

利用加密手段,攻击者可以绕过大多数检查设备,将恶意软件部署到网络内,并悄无声息地删除数据。

 

攻击者利用加密技术逃避检测,而网络钓鱼则是比较流行的攻击场景之一。

网络钓鱼和恶意软件如何规避检查?

加密的恶意软件是对企业最严重的威胁之一,可能会导致经济损失、声誉受损、服务中断和数据泄露。令问题变得更加复杂的是,只要用户访问受感染的网站或点击钓鱼邮件中的恶意附件,就有可能感染令人厌恶的恶意软件。

恶意软件喜欢加密,以使其能够在不被发现的情况下通过流量绕过,而网络钓鱼则是比较流行的攻击场景之一。免费和低成本的 HTTPS 证书提供商使攻击者更容易渗透恶意软件和渗入被盗资产。在 2019 年应用保护报告中,F5 Labs 发现,网络钓鱼需对 21% 的违规行为负责。观看此短片,了解如何利用钓鱼恶意软件发生此情况。

攻击者开发恶意软件,意图造成破坏或获得访问权,从而达到窃取数据的目的,而且通常是在受害者不知情的情况下发起攻击。

防御加密威胁

如果您希望让应用、数据和组织免受恶意软件的侵害,便不能对加密视而不见。获得对加密流量的更佳可视性,是您目前可以采取的最重要的步骤之一。问题是,在无损应用性能的情况下实现这一点的最佳方法是什么?阅读文章,获取问题答案。

阅读文章

防御加密威胁

Return To Hub ›

第 2 部分

不久前,安全套接层 (SSL) 或传输层安全协议 (TLS) 几乎只为政府机构和大型金融机构使用。如今,各大组织都在使用 TLS 1.3 来保护其通过无数网站和应用传输的数据。

.     .     .     .    .     .     .     .     .     .     .     .     .    .     .     .     .     .     .     .     .     .    
.     .     .     .    .     .     .     .     .     .     .     .     .    .     .     .     .     .     .     .     .     .    
.     .     .     .    .     .     .     .     .     .     .     .     .    .     .     .     .     .     .     .     .     .    

86%

如今,几乎 86% 通过 Web 加载的页面都采用 HTTPS 加密。

F5 Labs 威胁情报

TLS 1.3 的兴起

PCI DSS、HIPAA 和欧盟《通用数据保护条例》(GDPR) 等监管标准加速了 SSL/TLS 的采用,这些标准要求对传输的数据进行加密。此外,Google 搜索结果策略也促使各组织采用 SSL/TLS,对加密网站给予优惠待遇。

然而,SSL/TLS 的兴起并非百利而无害。攻击者越来越多地将阴险攻击隐藏在加密流量中,这意味着安全协议本身已成为威胁载体。重新获得对加密流量的可视性是您可以采取的保护应用、数据和业务最重要的措施之一。

 

 

 

什么是 TLS 1.3?

当 Web 客户端(互联网浏览器)连接到安全网站时,数据会被加密。但是,这一切是如何发生的?使用哪种类型的加密,以及互联网浏览器如何知道网络服务器要使用哪种类型的加密?这都是由所谓的 TLS 加密套件决定。在此视频中,您将了解其运行方式。

 

 

 

TLS 1.3 握手

客户端与服务器间的握手过程在新的 TLS 1.3 协议下发生了巨大变化。新的过程比之前的版本更加高效,并且允许加密应用数据比在之前的版本中流动更快。在此视频中,我们概述了 TLS 1.3 握手过程及其所有全新功能。

升级到 TLS 1.3

加密标准在不断发展,因此与当前最佳实践保持同步至关重要。最新版本的 TLS 协议(1.3 版)近期被国际互联网工程任务组 (IETF) 批准。该协议有多处关键变化,例如要求使用支持完全正向保密 (PFS) 的密码,以及引入零往返时间握手以恢复会话。在此视频中,我们概述了此新协议的许多重要特性。

TLS 在企业中的应用

TLS 1.3 已获得 IETF 批准,在安全、性能和隐私方面都有重大改进。TLS 1.3 所提供的性能提升十分值得用户升级,但 PFS 存在一些安全挑战,使得解密和检查日益困难。

但是,PFS 也消除了执行被动检查的能力,使发现恶意流量和防御隐藏在加密流量中的攻击变得更加困难。如欲了解更多关于组织部署 TLS 1.3 的策略、政策和方法,请阅读 TLS 1.3 在企业中的应用报告。

75%

75% 的 IT 从业人员表示,他们最关心的加密问题是监控应用安全的能力。

第 3 部分

SSL/TLS 流量的增长迫使组织寻找解决方案,使其网络和应用能够应对广泛加密的需求增加。

.     .     .     .    .     .     .     .     .     .     .     .     .    .     .     .     .     .     .     .     .     .    
.     .     .     .    .     .     .     .     .     .     .     .     .    .     .     .     .     .     .     .     .     .    
.     .     .     .    .     .     .     .     .     .     .     .     .    .     .     .     .     .     .     .     .     .

毫无措施是问题的根源所在

许多组织并不具备使用现有安全堆栈检测隐藏在加密流量中的恶意软件的能力。然而,随着攻击者越来越多地将恶意代码隐藏在安全设备无法检测的流量中,毫无措施便是问题的根源所在。而且投资在检查工具方面的费用也会被浪费,维护工具所投入的精力也付诸东流。从表面上看,似乎有多种选择,但是只有一种选择真正有效。

01  |  解密一切?

在用户隐私成为热门话题之前,许多组织在其入口处终止 SSL/TLS,让一切都在其数据中心内传输畅行无阻。

如今,GDPR 和其他法规都已生效,因备受瞩目的违规和滥用,隐私已成为当下热点话题,不再是可行的选择。根据您收集的数据类型及其相应的司法管辖区,您可能会受到各种隐私法律和法规的约束。

02  |  设置解密区

某些安全团队设置了解密区 (air gap),在此他们可以对入站和/或出站流量进行解密,然后通过安全检查工具的菊花链,再重新加密。

这种解决方案至少可以发现隐藏的恶意软件,但会造成路由的复杂性,并使改变架构变得更加困难。此外,当在线安全设备发生故障时,可能会发生灾难性的中断。

03  |  编排

编排是最为有效的选择。通过将基于策略的解密和流量引导应用于入站和出站流量,您可以像专业人士一样对安全设备进行协调。

高性能的 SSL/TLS 编排解决方案可以提高可视性并保护应用,同时提高您安全堆栈的安全性、效率和弹性。因为只有一个 SSL 解密和重新加密操作,因此自动消除了菊花链方法的延迟。

此过程非常关键,以至于美国国家安全局发布了题为《管理传输层安全协议检查的风险》的咨询意见。该咨询意见说道,为最大限度降低风险,破解和检查 TLS 流量应该只在企业网络内进行一次。该咨询意见还强烈建议不要采用冗余的 TLSI,即客户端-服务器流量由某个正向代理进行解密、检查和重新加密,然后正向传输到第二个正向代理进行更多相同的操作。

 

通过协调 SSL/TLS 流量,您可以最大限度地提高安全解决方案的效率,同时优化关键应用性能。

通过 SSL 可视性查看加密威胁

安全检测工具对 SSL/TLS 流量越来越盲目。虽然一些安全解决方案包括本机解密功能,但大规模执行解密和加密并不是其核心目的或重点。没有这一点,加密流量必须通过整个安全堆栈中重复的解密/检查/再加密过程的静态菊花链。

这个过程消耗了宝贵的时间和资源,增加了延迟,有损用户体验。此外,它很容易导致过度订阅,即超大安全服务的成本增加。

F5 SSL Orchestrator 具有完整的代理架构和动态服务链,为您在环境中处理恶意软件的方式提供了真正的模式转变。通过 SSL 可视性保护免受加密威胁。



 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

是否准备好阻止加密恶意软件?

因为 SSL Orchestrator 作为 SSL/TLS 和 HTTP 的完全代理,它可以做出智能决策,将入站和出站流量引导到安全栈内的服务链上,无论入站和出站加密要求有多复杂。

了解 SSL Orchestrator 如何提供对入站应用流量加密的可见性,其中包括其如何动态链接安全服务,并应用基于上下文的流量引导。

第 4 部分

我们已经确定,提高加密流量的可视性是保护数据安全的关键。SSL/TLS 编排解决方案为入站和出站流量提供经济高效的解密和加密,并通过灵活且基于策略的方法降低风险。

.     .     .     .    .     .     .     .     .     .     .     .     .    .     .     .     .     .     .     .     .     .    
.     .     .     .    .     .     .     .     .     .     .     .     .    .     .     .     .     .     .     .     .     .    
.     .     .     .    .     .     .     .     .     .     .     .     .    .     .     .     .     .     .     .     .     .

 

F5 SSL Orchestrator 提供高性能的入站和出站 SSL/TLS 流量解密,使安全检查能够暴露威胁、阻止攻击并降低业务风险。

 

01 | 加密流量的可视性

通过稳健的 SSL/TLS 解决方案,您可以获得解密和重新加密,以及强大的加密支持(包括 TLS 1.3),所有这些都可以让您了解加密流量的内部情况。

02  | 最佳灵活性

采用完全代理架构的解决方案可以让您对基础架构中的不同安全检查设备、网络拓扑和支持加密有更多的控制和更大的灵活性。此外,它还可以让您监控和负载均衡安全设备,以确保以最高效率运行。您甚至可以在发生故障时完全跳过某个设备,从而增加网络弹性。

03  |  高效的动态服务链

这便是真正的神奇之处。F5 SSL Orchestrator 可以动态分配、连锁和重复使用安全服务。这意味着您可以通过不同的安全设备驱动不同类型的流量,并在不同的链中重复使用这些设备,或者根本不将其用于无需检查的流量。这样就可以轻松对流量进行分类,以便您可以根据某些不同的因素(包括特定用户的角色),将其智能地路由到检查设备或围绕检查设备。您可以动态分配、连锁和重复使用安全服务。

通过动态服务链,您可以扩展 SSL/TLS 解决方案,让现有安全设备集中在能为组织提供最大程度保护的方面,从而最大限度提高它们的使用率。此外,您还可以添加或删除安全服务,而不会出现停机。

04  |  性能更优

只有一个解密/重新加密过程,而不是多个过程;并且是由高性能的编排设备执行,而此编排设备正是为此目的而打造。

05  |  集中管理

获取提供集中管理的 SSL/TLS 解决方案后,您可以简化选择和更新密码套件的过程,有助于通过 SSL/TLS 确保网络连接安全。这将推动您的流量检测安全工具释放更佳性能,同时允许您更灵活地管理端到端加密中使用的密码。必要时,该解决方案可以支持联邦信息处理标准 (FIPS) 中概述的安全密钥存储。

SSL Orchestrator 具有完全代理架构,让您能够对不同协议和加密有更多的控制和更大的灵活性。

与您当前的基础架构进行整合和编排

通过与领先的安全合作伙伴整合,SSL Orchestrator 可以轻松与您现有的架构适配。该解决方案创建了可提升安全性、扩大规模和提高可用性,并降低运营成本的生态系统。SSL Orchestrator 支持多种部署模式,能够轻松与复杂架构集成,对入站和出站流量进行集中解密。

SSL Orchestrator 具有完全代理架构,让您能够对不同协议和加密有更多的控制和更大的灵活性。而且它可以进行负载均衡、监控,并且可能跳过故障设备。该架构让您不仅可以进行扩展,还可以通过智能方式,最大限度地正确使用您现有的安全投资。

 

了解 SSL ORCHESTRATOR 如何与您当前的基础架构配合

F5 SSL Orchestrator 旨在轻松与现有及不断变化的架构集成,并集中管理 SSL/TLS 解密/加密功能,从而在整个安全基础架构中提供最新的 SSL/TLS 协议版本和加密密码。

SSL 可视性只是开始。组织需要更好地控制他们的安全投资,而这正是 SSL Orchestrator 的真正优势所在。

可视性必不可少,但 SSL ORCHESTRATOR 可提供更多服务

将 F5 SSL Orchestrator 添加到环境中,可确保加密流量能够被解密,并由安全控制装置检查,然后重新加密。因此,您可以将安全检查技术投资最大化,防止入站和出站威胁,包括利用、回调和数据渗漏,这也增强了网络弹性策略。阅读文章,了解更多关于管理整个安全链中所有加密流量的好处。

阅读文章

增加检查技术的 ROI >

Return To Hub ›

客户案例:MEDICAL DATA VISION 公司

“我们负责处理临床数据,因此安全是我们业务系统的支柱,我们必须密切关注数据的维护。有针对性的网络攻击威胁日益显著,迫使我们必须始终保持领先一步。”

Yukihiro Watanabe
,Medical Data Vision 有限公司高级经理兼 Sakura DB 部门主管

SSL/TLS 流量的增加表明,组织更加注重保护客户数据和满足与加密相关的合规性要求,如 GDPR。

必须超越可视性,并对加密流量的检测进行编排,让您的安全检测设备能够保护应用、用户和网络。通过强大的 SSL/TLS 编排解决方案,您将获享更好的可视性、更高的性能和更大的灵活性。因此,您可以不再担心隐藏的恶意软件和应用漏洞,而是专注于开发和支持新的应用,以推动业务发展。

 

与 F5 安全专家交流

您是否有安全问题和疑惑,或是其他想探讨的问题?欢迎您与我们展开交流!
我们会确保派遣专人,于一个工作日内,通过电子邮件的方式与您联系接洽。

Thank you for your inquiry. We will be in contact with you shortly.