小心網(wǎng)絡(luò)攻擊者借加密使壞
警匪片中常常可看到,一旦警察中混進(jìn)了臥底,壞人作案就容易了。而作為抵御網(wǎng)絡(luò)攻擊的手段,加密一直是公認(rèn)的防御武器。不過(guò)在近期發(fā)布的2018年安全報(bào)告中卻暴露出加密在網(wǎng)絡(luò)防御中日益凸顯的漏洞,那就是“加密”也會(huì)被攻擊者所利用突破安檢進(jìn)行“潛伏”。
找出加密傳輸中的“壞蛋”
現(xiàn)階段越來(lái)越多的重要網(wǎng)站包括政府、金融、醫(yī)療等機(jī)構(gòu),紛紛開(kāi)始采用加密傳輸來(lái)提升網(wǎng)站通信的防護(hù)能力。利用加密傳輸協(xié)議,將傳統(tǒng)以明文方式發(fā)送的通訊內(nèi)容進(jìn)行加密,來(lái)確保用戶端與服務(wù)器之間收發(fā)的信息傳輸更加安全。
據(jù)統(tǒng)計(jì),2017年年初整個(gè)互聯(lián)網(wǎng)有超過(guò)一半的網(wǎng)絡(luò)流量都是加密的,到2017年7月份加密流量的占比更達(dá)到了60%。
然而事實(shí)上,伴隨企業(yè)和用戶不斷提升安全防護(hù)策略,網(wǎng)絡(luò)攻擊者也快速變化進(jìn)攻手法。一些不法黑客已開(kāi)始利用加密傳輸?shù)拇筅厔?shì),將惡意流量隱藏于整個(gè)加密傳輸流中,讓傳統(tǒng)的入侵防御系統(tǒng)和下一代防火墻檢測(cè)手段失效。
傳統(tǒng)檢測(cè)拿加密流量沒(méi)轍
由于加密數(shù)據(jù)包在傳輸過(guò)程中處于加密狀態(tài),而整個(gè)加密節(jié)點(diǎn)直到解密后才能知道具體加密的是什么,這就導(dǎo)致傳統(tǒng)的流量檢測(cè)方式失去效力,急需一套更加可靠的流量可視化防御方式才行。
而所帶來(lái)的后果是,面對(duì)摻雜其中的惡意加密代碼,企業(yè)網(wǎng)站防護(hù)體系很容易被逐步拖垮。因?yàn)榘嘿F的安全防護(hù)設(shè)備將有限的計(jì)算資源都消耗在解密安全數(shù)據(jù)包以及對(duì)等內(nèi)容上了,過(guò)載的防護(hù)硬件設(shè)備就可能會(huì)引發(fā)數(shù)據(jù)的丟包甚至宕機(jī)。
更可怕的是此種態(tài)勢(shì)有進(jìn)一步惡化的局面。有國(guó)際調(diào)研機(jī)構(gòu)曾預(yù)測(cè),2019年60%的惡意軟件活動(dòng)都會(huì)進(jìn)行加密,而到2020年70%的惡意攻擊都將以加密的數(shù)據(jù)流形式出現(xiàn)。
利用AI檢測(cè)惡意加密流量
因此面對(duì)上述情況,如何將惡意的加密流量“看透”,做好傳輸數(shù)據(jù)的可視化分析就顯得日益重要了。
鑒于強(qiáng)行分析加密數(shù)據(jù)往往會(huì)破壞所傳輸?shù)拇a甚至影響相應(yīng)應(yīng)用程序的功能,同時(shí)進(jìn)一步限制了加密流量分析工具使用和實(shí)施,更為入侵者潛伏在公司網(wǎng)絡(luò)上以解密形式竊取數(shù)據(jù)創(chuàng)造了可行機(jī)會(huì)。
不過(guò),伴隨高級(jí)人工智能分析時(shí)代的開(kāi)啟,基于檢測(cè)加密流量而不損害其加密完整性的侵入式“智能”手法逐步被認(rèn)可。現(xiàn)在一種基于意圖的加密流量分析工具已被思科推出來(lái),其可通過(guò)使用機(jī)器學(xué)習(xí)來(lái)分析連接的初始數(shù)據(jù)包、數(shù)據(jù)包長(zhǎng)度和時(shí)間順序以及字節(jié)分布等等,能夠有效提升對(duì)惡意加密流量的可視化操作。
由此看出
隨著網(wǎng)絡(luò)攻擊變化,在應(yīng)對(duì)加密流量時(shí)防護(hù)者更應(yīng)該關(guān)注在網(wǎng)絡(luò)體系中檢測(cè)機(jī)制與可視化能力的構(gòu)建,真正防止那些隱藏在加密流量中的威脅。而在這個(gè)過(guò)程中,除了鑒于存在時(shí)長(zhǎng)等特性而提升短暫密鑰(如使用TLS 1.3協(xié)議的密鑰)信任度外,通過(guò)NPB(網(wǎng)絡(luò)數(shù)據(jù)包代理)將解密資源集中到甄別那些傳統(tǒng)的、靜態(tài)的,如SSL中使用的加密密鑰(因?yàn)槠湓诤艽蟪潭壬弦呀?jīng)不再受瀏覽器和主要網(wǎng)站青睞)上也會(huì)是一種有效的過(guò)濾方法。
