生死狙击:阻止恶意SSL通信六要点

日期: 2016-09-26 作者:赵长林 来源:TechTarget中国

SSL的使用每年都在稳定增长。将来会有越来越多的互联网通信都会被加密。不幸的是,不仅注重安全的公司和用户在利用加密,黑客们也在使用加密来隐藏其恶意企图。虽然有很多防火墙和威胁预防方案能够解密SSL通信,却不能跟上不断演变的解密需求。

如果黑客进入企业网络,遭受攻击的企业就会面临故障和宕机、收入降低、客户丢失、知识产权失窃等,还要花费高昂的成本来修复损害和对声誉的破坏。 严酷的事实是,如果不部署SSL的检查,企业就面临被攻击的风险。黑客可以隐藏在加密通信中,并渗透到企业网络,安装恶意软件,并从多个终端窃取数据。 对付恶意的加密通信的最佳防御是满足一定要求的SSL检查平台。

需要注意的是,在SSL检……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

SSL的使用每年都在稳定增长。将来会有越来越多的互联网通信都会被加密。不幸的是,不仅注重安全的公司和用户在利用加密,黑客们也在使用加密来隐藏其恶意企图。虽然有很多防火墙和威胁预防方案能够解密SSL通信,却不能跟上不断演变的解密需求。

如果黑客进入企业网络,遭受攻击的企业就会面临故障和宕机、收入降低、客户丢失、知识产权失窃等,还要花费高昂的成本来修复损害和对声誉的破坏。

严酷的事实是,如果不部署SSL的检查,企业就面临被攻击的风险。黑客可以隐藏在加密通信中,并渗透到企业网络,安装恶意软件,并从多个终端窃取数据。

对付恶意的加密通信的最佳防御是满足一定要求的SSL检查平台。需要注意的是,在SSL检查合作伙伴时,企业尤其需要关注性能、合规、可用性、安全性。有效的SSL检查平台应当做到:

1.满足SSL的性能要求

在企业的任何新方案中,性能都是至关重要的,但是随着企业的负载日渐增长,性能的重要性尤其突出。为确保SSL的性能检查满足目前和未来的需要,企业需要做到如下方面:

  • 用2048位和4096位的SSL密钥来测试SSL检查的速度;
  • 用Diffie-Hellman密钥交换算法和ECC来评估通信;
  • 确保平台能够处理吞吐量需求,并有额外的能力可以应对峰值通信。

2.满足合规要求

企业面临着满足多种合规标准的任务。合规意味着很多企业(例如金融和健康医疗领域)必须过滤敏感通信。

为了确保在检查SSL通信时保持合规,IT安全团队应当关注能够做到如下两方面的平台:

  • 首先是对Web通信进行分类,要确保机密数据(如传输到健康和金融网站的通信)的加密。
  • 其次是支持自动更新以及人工定义的URL过滤清单。

3.支持复杂的部署要求

为全面解决所有安全问题,多数企业都部署了来自多个厂商的多种安全设备。SSL检查平台应当能够解密所有这些设备的通信。为此,企业必须:

  • 解密发送到互联网的通信以及进入公司服务器的通信;
  • 智能地将通信转发到多个安全设备;
  • 集成领先厂商的多种安全解决方案。

4.使安全基础设施的正常运行时间和功能达到最大化

安全基础设施必须正常运行,并且完全可用,从而阻止网络攻击和防止数据泄露。如果安全基础设施无法正常运行,就无法检测到威胁,导致恶性攻击、收入减少、品牌损失。有效的SSL检查平台应当使已有的安全基础设施的正常运行时间最大化。企业应关注能够具备如下特性的平台:

  • 扩增安全部署实现负载均衡;
  • 检测和绕过失效的安全设备,避免网络失效;
  • 支持高级监视,快速确认网络或应用程序的错误;

5.安全地管理SSL证书和密钥

SSL证书和密钥形成了加密通信的信任基础。如果SSL证书和密钥遭受破坏,攻击者就可以用来窃取数据。SSL检查平台能够分析出站和入站的SSL通信,必须能够安全地管理大量的SSL证书和密钥。有效的SSL检查平台应当:

  • 保护存储在SSL检查平台上的SSL密钥;
  • 与能够发现和控制证书的第三方SSL证书管理方案实现集成;

6.解密所有符合标准的加密通信

不仅加密通信量在不断增长,企业和攻击者所使用的加密复杂程度也在提升。企业可以使用4096位的SSL密钥、ECC(椭圆曲线密码)、PFS(完全前向保密)及其它技术来防御窃取者。为此,SSL的检查平台必须:支持4096位的SSL密钥长度和高级SSL和TLS加密;解密所有数据,包括SSL的转发;如果通信无法被解密,就通知用户。

结语

企业对付恶意的加密通信的最佳防御是,确保已经部署了满足上述六个关键标准的SSL检查平台。依靠不满足这些要求的系统可能会打开企业部署缺陷的大门,并给企业带来威胁。

作者

赵长林
赵长林

TechTarget中国特邀作者

相关推荐

  • 从HTTP迁移至HTTPS需要注意什么?

    HTTPS安全性更高,不过从原来的HTTP迁移至HTTPS的过程非常困难。那么,迁移过程中会碰到哪些挑战?企业又该如何解决?

  • 七步解决关键SSL安全问题及漏洞

    近年来,安全套接字层(SSL)技术已经有所改进,但同时也出现新的漏洞。那么如何解决关键SSL安全问题及漏洞呢?总共分七步……

  • 感谢Let’s Encrypt吧,WordPress现向托管网站免费提供SSL

    WordPress现在为其托管网站提供免费SSL证书,这可为广大客户提供更好的安全性。WordPress此前仅支持对子域的加密,但现在WordPress宣布,所有通过WordPress.com托管的自定义域都可自动获得免费HTTPS。

  • 为何我们要检查SSL流量?

    数据流量加密是否有利于网络安全?某种程度上来说,的确如此。然而美好的事物往往都是鱼和熊掌不可兼得,为提高安全性而牺牲应用性能是我们需要避免的事情……