防止数据加密劫持网络:这四大策略你需要get起来

本文涉及的产品
云防火墙,500元 1000GB
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

加密能保护网络流量免遭黑客与网络罪犯侵害,却阻止了安全及监测工具探知网络中传递的数据包的内部情况。事实上,许多企业机构都未对加密流量进行全面检查就任其流经自己的网络,黑客往往会利用加密来隐藏恶意软件并发起攻击,从而劫持用户网络。为了保持强健的防御能力以及降低安全漏洞和数据丢失的风险,我们必须对所有的网络流量进行解密、检查并再重新加密这一过程。

解密带来的负担

解密设备必须保证功能强大。为了抵御数据劫持,加密算法也日益变得越来越长而且逾加复杂。多年前,NSS实验室进行的测试表明,密码从1024位变为2048位后,8款领先的防火墙平均性能下降81%。事实上,针对SSL的解密无需在防火墙处完成。而现在,一些新策略已支持offload解密工作,并向工具发送明文,从而让其高效工作并处理更多流量。以下四项策略可让解密变得更加轻松、快速且经济高效。

防止数据加密劫持网络

策略一:在解密前移除恶意流量

曾用于网络攻击的许多IP地址会被重新使用,并被公布于安全社区内。相关专门组织每天都会跟踪并确认已知的网络威胁,并将此类信息保存在情报数据库内。通过该数据库对流入及流出的数据包进行比对,我们可以辨别出恶意流量并从网络中对其加以阻止。由于对比是通过明文格式的包头完成的,该策略无需对数据包进行解密。提前将与已知攻击者相关的流量过滤掉可以减少需要解密的数据包数量。此外,对这部分同时将会引发安全警报的流量进行剔除也有助于安全团队提高效率。

部署此项策略的最快方法是在防火墙前端安装被称之为威胁情报网关的专用硬件设备。该设备旨在快速、大量地阻止恶意流量,包括来自未经验证国家的信息,并通过综合威胁情报源对其自身进行不间断的更新。安装后,该网关将无需人工干预,也无需创建或维护相应的过滤器。恶意流量要么被立即丢弃,要么被发送至沙箱接受进一步的分析。根据您所处的行业以及被恶意攻击的频率,您可以因此减少最高可达到80%的安全警报。

另外,我们也可以在防火墙上配置自定义的过滤器以阻止特定IP地址。但遗憾的是,防火墙过滤器必须手动配置与维护,并且在能创建的过滤器数量方面也存在限制。随着联网设备与遭受攻击IP地址的爆炸性增长令防火墙能力捉襟见肘。此外,在防火墙一类高级设备上进行循环处理只为完成简单对比的操作,并不是阻止流量的经济高效方式。

策略二:寻求高级解密功能

对来往于恶意源头的加密数据包进行移除之后,余下的部分数据亦需要由解密设备加以处理。许多安全工具,例如下一代防火墙(NGFW)或入侵防御系统(IPS),均具有SSL解密功能。但是,NSS实验室发布的一篇文章警告称,某些安全工具可能未包含最新密钥,从而将导致在非标准端口上发生的SSL通信丢失,还有可能无法按照所宣称的吞吐率完成加密、甚至会在完全未实施解密的情况下快速建立某些连接。

密码学依赖于先人一步的预防措施。安全解决方案必须支持最新加密标准,结合各式各样的密钥与算法,并拥有使用更大2048位与4096位密钥以及更新Elliptic Curve密钥解密流量的能力。随着安全技术复杂度攀升,解决方案必须能够有效且经济高效地处理解密——即避免丢包、引发错误或者未能完成全面检查。

随着SSL流量数量的增加,为了实现完全的网络可视性,解密解决方案的质量将日渐重要。此外,“纵深防御”也成为公认的最佳实践,其通常需要使用多项同类最佳的安全设备(如:独立防火墙与IPS)。而让这些设备全部经历一遍流量解密与再加密将会导致安全工具效率低下,不仅会增加网络延迟,同时还会降低策略效力以及端到端的可视性。

策略三:选择操作简单的工具

另一项关键特性是管理员可以通过简单操作来创建并管理解密相关策略。那些杰出的解决方案可以提供基于拖放式的用户操作界面来完成过滤器的创建,从而有能力实现选择性的数据转发或者针对基于内容识别的数据脱敏,例如身份证,或银行卡号。这些解决方案还可以很容易为每个被使用的SSL密钥以及通信过程中产生的所有异常(如丢失的会话、SSL故障、无效证书以及出于策略原因而无需解密的会话)保存完整记录。对于审计、取证、网络故障排除以及容量规划而言,这些详细的日志都非常宝贵。

策略四:规划经济高效的可扩展性

随着加密流量数量的增加,解密将对安全基础架构的性能带来更大的影响,因此提前规划十分必要。虽然简单地“开启”防火墙中的SSL解密功能,或一体化威胁管理(UTM)解决方案似乎合情合理,但解密是一项需要在过程中进行大量处理的功能。由于SSL流量增加以及解密需要的更多周期,整体性能将会受到影响,工具同时也可能出现丢包。为了增强多功能设备中流量的流动能力,唯一的选项就是扩大整体容量。扩容会带来大量资本支出,同时为了确保设备能够承担解密,某些功能还将产生额外成本。

更好的一个选项是通过采用具有SSL解密功能的网络可视性解决方案或网络数据包中转设备(NPB)来实现SSL解密从而实现针对安全工具的SSL卸载。许多企业机构利用网络数据包中转设备汇聚网络流量、识别相关数据包并将其高速分发给安全工具。使用硬件加速的网络数据包中转设备可以在零丢包的情况下以线速处理流量,并实现自动化负载均衡。另外,它们无需多种串联设备来进行各自独立的解密/再加密。扩展网络数据包中转设备的成本低于扩展大部分安全设备的成本,并可以提供快速的投资回报。

结论

随着更多的互联网转向加密流量,SSL流量内的攻击将变得更加普遍。为了保护数据与网络免遭黑客与网络罪犯侵害,检查所有加密的网络流量势在必行。尚未实施严格加密流量检查制度的企业将令网络安全性大打折扣,并带来因漏洞与数据丢失引发的难以承受的风险。但幸运的是,以提高SSL解密效率与经济效益为目标的新型解决方案正不断涌现。


本文作者:佚名

来源:51CTO

目录
相关文章
|
24天前
|
数据采集 网络协议 JavaScript
网络爬虫性能提升:requests.Session的会话持久化策略
网络爬虫性能提升:requests.Session的会话持久化策略
|
30天前
|
人工智能 搜索推荐 决策智能
不靠更复杂的策略,仅凭和大模型训练对齐,零样本零经验单LLM调用,成为网络任务智能体新SOTA
近期研究通过调整网络智能体的观察和动作空间,使其与大型语言模型(LLM)的能力对齐,显著提升了基于LLM的网络智能体性能。AgentOccam智能体在WebArena基准上超越了先前方法,成功率提升26.6个点(+161%)。该研究强调了与LLM训练目标一致的重要性,为网络任务自动化提供了新思路,但也指出其性能受限于LLM能力及任务复杂度。论文链接:https://arxiv.org/abs/2410.13825。
59 12
|
28天前
|
安全 算法 网络协议
【网络原理】——图解HTTPS如何加密(通俗简单易懂)
HTTPS加密过程,明文,密文,密钥,对称加密,非对称加密,公钥和私钥,证书加密
|
1月前
|
存储 SQL 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将介绍网络安全的重要性,分析常见的网络安全漏洞及其危害,探讨加密技术在保障网络安全中的作用,并强调提高安全意识的必要性。通过本文的学习,读者将了解网络安全的基本概念和应对策略,提升个人和组织的网络安全防护能力。
|
1月前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将从网络安全漏洞、加密技术和安全意识三个方面进行探讨,旨在提高读者对网络安全的认识和防范能力。通过分析常见的网络安全漏洞,介绍加密技术的基本原理和应用,以及强调安全意识的重要性,帮助读者更好地保护自己的网络信息安全。
59 10
|
1月前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,并提供一些实用的代码示例。通过阅读本文,您将了解到如何保护自己的网络安全,以及如何提高自己的信息安全意识。
66 10
|
1月前
|
存储 安全 网络安全
网络安全的盾与剑:漏洞防御与加密技术的实战应用
在数字化浪潮中,网络安全成为保护信息资产的重中之重。本文将深入探讨网络安全的两个关键领域——安全漏洞的防御策略和加密技术的应用,通过具体案例分析常见的安全威胁,并提供实用的防护措施。同时,我们将展示如何利用Python编程语言实现简单的加密算法,增强读者的安全意识和技术能力。文章旨在为非专业读者提供一扇了解网络安全复杂世界的窗口,以及为专业人士提供可立即投入使用的技术参考。
|
1月前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们日常生活中不可或缺的一部分。本文将深入探讨网络安全漏洞、加密技术和安全意识等方面的问题,并提供一些实用的建议和解决方案。我们将通过分析网络攻击的常见形式,揭示网络安全的脆弱性,并介绍如何利用加密技术来保护数据。此外,我们还将强调提高个人和企业的安全意识的重要性,以应对日益复杂的网络威胁。无论你是普通用户还是IT专业人士,这篇文章都将为你提供有价值的见解和指导。
|
1月前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:漏洞、加密与意识的艺术
在数字世界的迷宫中,网络安全和信息安全是守护者之剑。本文将揭示网络漏洞的面纱,探索加密技术的奥秘,并强调安全意识的重要性。通过深入浅出的方式,我们将一起走进这个充满挑战和机遇的领域,了解如何保护我们的数字身份不受威胁,以及如何在这个不断变化的环境中保持警惕和适应。
44 1
|
1月前
|
存储 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已经成为了我们生活中不可或缺的一部分。本文将介绍网络安全的基本概念,包括网络安全漏洞、加密技术以及如何提高个人和组织的安全意识。我们将通过一些实际案例来说明这些概念的重要性,并提供一些实用的建议来保护你的信息和数据。无论你是网络管理员还是普通用户,都可以从中获得有用的信息和技能。
33 0

热门文章

最新文章