解密SSL流量，发现隐藏威胁

加密传输技术进一步得到应用，一方面保护了个人隐私信息，另外一方面也助长了犯罪行为。

随着加密传输技术进一步得到应用，过去的五年中，谷歌、YouTube、推特等大公司使用 SSL 的行为推动了其它互联网企业使用加密连接的热情。

加密传输也带来了风险。由于加密信息对第三方不公开，网络罪犯也可以在不引人注意的情况下从事犯罪活动。他们使用传输层安全协议（Transport Layer Security，TLS）和安全套接层协议（Secure Socket Layer，SSL）加密其通信。

来自 Palo Alto Networks 公司威胁情报部门的瑞安·奥尔森（Ryan Olson）表示，安全专家主要的担心来自于防火墙无法监控加密通信。网络罪犯对此心知肚明，这迫使很多企业开始研究如何确定要解密的流量，以及其解密方式。

瑞安·奥尔森

如果企业解密所有流量，用户会感觉不安。要想在不牺牲隐私的前提下保护网络环境安全，企业只能引入另一层，从策略层面上确定要解密什么流量。

对一些机构而言，电子邮件可能是一种威胁向量，因此企业选择解密邮件流量。但这类答案对于每家企业而言都会有所不同，因为它们还必须从文化的角度来思考这一问题。

如果流量被加密，它对于企业而言就是一堆数据包。安全部门无法检测流量的内容，因此无法将罪犯使用的恶意流量与正常流量区分开来，也无法确定流量到底是流入还是流出的。所以要化解网络威胁，安全团队必须看到加密流量的内容。

SSL 连接发源于浏览器，终止于服务器。经过签名的证书表示认可，接下来就是密钥交换，通讯双方可以加密端对端通信的所有内容。这种加密通信方式通讯双方的负担并不大，但给中间方产生了不小的麻烦。

SSL交互认证原理

当然，企业也可以通过引入一份新证书实现解密，但这只适用于企业环境；对于要处理加密流量的安全厂商而言，则必须在两点上确定流量的内容。比如，用户浏览器访问谷歌，防火墙发现了这次会话并将其终止。厂商经过解密、分析、重新加密的过程，再重新连接到谷歌。

这样，企业就仍能保持对信息基础设施的控制权。

企业可以获得平衡。将流量再次加密，这样对隐私的冲击不会那么大。这对企业而言也是敏感话题，因为归根结底，网络是他们的，数据是他们的，设备也是他们自己的。他们所处的位置能够让他们宣称对这些信息保密并不重要。

通过确定网络上 SSL 加密流量的比例，企业能够获得一定的平衡和可见性。

“每个人都应当问，他们想要网络上的多少东西被加密。安全人员应当与用户展开对话，讨论 SSL 加密的重要性，以及如何在保护隐私的前提下将其实现。”

来自 A10 Networks 公司的宣传人员卡西·克洛斯（Kasey Corss）在一次在线研讨会上表示：你的企业现在就有可能被感染了，而你对此毫不知情。

卡西·克洛斯

一些安全专家认为他们能够通过在防火墙上解密流量来化解威胁，但克洛斯认为，这样做必须先考虑到整个生态系统以及这些产品使用 SSL 加密的必要性，也必须提供一种能够为所有这些产品提供 SSL 可见性的方法。

DDoS 防护、安全和信息事件管理、数据丢失防护工具所代表的整个安全生态系统必须将加密的 SSL 流量纳入考虑。所以关键在于找到一种能够高效地提升这种可见性方法。

你不会想要在每个点上解密这类流量，因为它将会导致大量效能损失。

Vectra 公司首席安全官甘特·奥尔曼（Gunter Ollmann）认为，能够检查这种流量对于“确定损失”和“在网络层上大幅度减少威胁”很有帮助。但 SSL 流量带来的安全威胁与其它类型的主要威胁并没有什么区别。

加密通信确实让检测和识别威胁变得更加困难，但如果启用适当的日志，它将能够帮助记录威胁的行为，以及攻击发生过程中发生的事件。SSL 数据块是一种元数据，但安全事件发生后的调查工作则更依赖于日志本身。

“中间人解密”提供了另一层次的可见性。“网络监控以及诊断”目前正在确定和消除此类威胁方面扮演着重要角色。未来，这种角色会更加重要。

尽管安全人员无法看到通讯和被传输的数据，他们仍能获取信息来源的相关数据，比如时间、频率、时长。这些信息都可以被用于探测威胁。

使用流量加密并不会带来什么效能负担，但却会带来很多商业利益。

“如果我是机构的首席安全官或 IT 部门首脑，我工作的前提将会是：我传输的所有数据都会在某个点上进行加密。”

目前，企业有三种解决 SSL 中隐藏威胁的选择：

这些技术可以在通讯内容被加密之前检查其内容，因此加密对安全人员工作的影响就不再那么大了。但是问题在于，如果有恶意软件发起攻击，它们要做的第一件事就是将此类软件关闭。

为了解决加密带来的威胁，一些人强调要保护通讯双端，但这同样带来了一些问题。例如这类软件代理都会消耗算力，让设备变得缓慢。随着自带设备办公（BYOD）时代的到来，设备和操作系统数量快速增长，这超出了厂商软件能够覆盖的速度。

这是一场真实的战斗，它必定还将持续很久。要建立更好的防御，就应该审视所处的环境，并清醒的认识到一个事实：我们不再对网络流量的数据层拥有可见性了。

本文转自d1net（转载）