解密SSL流量检测隐藏的威胁

加密的互联网流量的比例持续增长创造一个空间，不仅是私人信息，而且犯罪分子行驶约未被发现。在过去的五年中，SSL流量来自谷歌，YouTube的和Twitter大公司的出现催生了对加密网络流量，为企业以及一个广阔的运动。

在采取这一安全措施的风险，不过，是同时通过互联网进行信息交换固定，坏人也可以苟延残喘被忽视。犯罪分子，当然知道这一点，用它自己的优势，隐形传输层安全（TLS）或安全套接字层（SSL）通讯内的攻击。

赖恩·奥尔森，威胁情报部42的主任，帕洛阿尔托网络说，安全专家关注的是，安全防火墙无法检查通信。坏人知道这一点，这让很多企业试图找出哪些流量进行解密和如何去解密。

奥尔森说，“答案并非如此简单。如果一家公司都进行解密，用户是不舒服。”为了不损害个人隐私来保护环境，他们需要另一个层，该装置从政策的角度看，他们会进行加密，以及为什么决定。

“在一些组织中，电子邮件可能是一个威胁载体，因此公司可能会选择解密流量，但得到的答复是要为每个公司不同，因为他们需要从文化的角度考虑的事情为好。”

当流量被加密，奥尔森说，它成为数据的这种不透明的水珠。“如果不能检查，罪犯是从那些谁surveilling交通隐患，因为它是从别人。你是盲人，因为你不知道什么是里面包含的想法。”

由于安全团队可以不看的加密流量中，他们不知道是否是数据走出去或来。为了减轻威胁，安全团队需要能够看到到加密流量。

奥尔森说，“从浏览器到服务器时出现的SSL连接。已签署的证书说“OK”，有密钥交换，他们加密所有的流量从一端到另一“。这个问题是没有这么多的两端，不过，因为它是正确的中间嫌民建联。

“添加一个新的证书，使我们可以解密，这是唯一可能在企业环境中，”奥尔森说。“对于安全厂商步入的流量，他们需要在两个点终止流量。例如，用户的浏览器达到了谷歌，防火墙捕获流量并终止连接。我们解密，检查，重新加密，然后进行长达谷歌的连接“。

在这一过程中，该公司仍然在他们到位的基础设施的控制。奥尔森说，“你可以找到一个平衡点。加密不会对隐私产生很大的影响交通。这是一个炎热的按钮的话题，特别是对企业，因为在这一天结束，这是他们的网络，他们的数据，他们的电脑。他们是在一个位置，说他们被允许surveil数据“。

通过确定多少流量寻找平衡的手段获得一些洞察他们的网络是SSL加密，无法进行检查。“每个人都应该问他们要多少流量加密他们的网络。有用户和谈论的SSL加密的价值，以及他们如何能做到这一点，而不损害个人隐私的对话，”奥尔森说。

在从最近的网络研讨会A10和Infonetics研究：在SSL流量杜绝了隐藏的威胁，凯西交叉，安全传道者，A10网络公司说：“你的组织可以马上感染，你甚至可能没有意识到这一点。”

一些安全专家认为他们可以通过他们的防火墙解密流量检测威胁，但克罗斯说：“你真的要考虑到你的整个生态系统，事实上，所有这些产品都需要看SSL流量。你需要想出一个办法来提供SSL看到所有这些产品。”

从DDoS攻击防护的整个安全生态系统SIEM或数据丢失预防工具需要看流量，包括加密流量，克罗斯说。诀窍是找到一种有效地提供可视性，克罗斯说：“因为你不想解密在每一点上的交通或者你要遭受非常糟糕的表现。”

冈特Ollmann，首席安全官，威达说，“检查流量的能力是能够识别的损失，大大降低在网络层面的威胁非常有帮助的，但是SSL通信的安全威胁，没有任何其他重大威胁的不同。”

虽然加密确实使其更加难以检测或识别威胁，Ollmann说，“如果充分的日志被打开，日志记录将提供攻击期间发生的威胁和活动的证据线索。该SSL一块又是一个元数据神器，但攻击后调查将集中在日志中自己。”

人在这方面的中间人解密提供可见性的额外水平，但Ollmann说，“网络监控和取证正在发挥并将继续在查明并减轻这些威胁，以发挥更大的作用。”

While they can’t see the communication and they can’t see the data inside the transit, the other attributes about source information that security professionals can obtain, such as timing, frequency, and duration, can be used at a network level to detect threats.

有几乎没有任何性能命中加密通讯，Ollmann说，但也有许多商业利益。

“我想，如果我是CSO或IT的一个组织负责人，我会假设，在某些时候我所有的通信都将被加密合作，” Ollmann说。

现在企业有关于处理SSL的隐藏威胁的三个选项。使用座人在这方面的中间人检查流量加密流量都在一起，SSL终止，或第三，奥尔曼持续，是为企业计算机本身上安装一些软件代理。

Ollmann说，“计算机本身上运行这些技术所看到的流量被加密，使得加密不再是问题了。”此选项的问题是，在恶意软件攻击，它做的第一件事就是关掉这些东西。

就为了减轻加密威胁保护端点配售强调的是一个问题，说Ollmann说，“因为所有这些药物的假设处理能力和减速机。随着BYOD有这么多的设备和操作系统是需要被保护的设备的广度以更快的速度增长高于销售商必须提供软件，能够保护的能力。”

这是一场持续的战斗与另一侧的活生生的敌人。为了打造最好的防守，Ollmann说，“他们应该看看他们的环境，并假定它们将不再需要了解其网络流量的数据层。”

这个故事，“解密SSL流量检测隐藏的威胁”最初发表CSO 。