警匪片中常常可看到,一旦警察中混进了卧底,坏人作案就容易了。而作为抵御网络攻击的手段,加密一直是公认的防御武器。不过在近期发布的2018年安全报告中却暴露出加密在网络防御中日益凸显的漏洞,那就是“加密”也会被攻击者所利用突破安检进行“潜伏”。
小心网络攻击者借加密使坏(图片来自agileit)
找出加密传输中的“坏蛋”
现阶段越来越多的重要网站包括政府、金融、医疗等机构,纷纷开始采用加密传输来提升网站通信的防护能力。利用加密传输协议,将传统以明文方式发送的通讯内容进行加密,来确保用户端与服务器之间收发的信息传输更加安全。
据统计,2017年年初整个互联网有超过一半的网络流量都是加密的,到2017年7月份加密流量的占比更达到了60%。
然而事实上,伴随企业和用户不断提升安全防护策略,网络攻击者也快速变化进攻手法。一些不法黑客已开始利用加密传输的大趋势,将恶意流量隐藏于整个加密传输流中,让传统的入侵防御系统和下一代防火墙检测手段失效。
传统检测拿加密流量没辙
由于加密数据包在传输过程中处于加密状态,而整个加密节点直到解密后才能知道具体加密的是什么,这就导致传统的流量检测方式失去效力,急需一套更加可靠的流量可视化防御方式才行。
而所带来的后果是,面对掺杂其中的恶意加密代码,企业网站防护体系很容易被逐步拖垮。因为昂贵的安全防护设备将有限的计算资源都消耗在解密安全数据包以及对等内容上了,过载的防护硬件设备就可能会引发数据的丢包甚至宕机。
传统检测拿加密流量没辙(图片来自ld)
更可怕的是此种态势有进一步恶化的局面。有国际调研机构曾预测,2019年60%的恶意软件活动都会进行加密,而到2020年70%的恶意攻击都将以加密的数据流形式出现。
因此面对上述情况,如何将恶意的加密流量“看透”,做好传输数据的可视化分析就显得日益重要了。
鉴于强行分析加密数据往往会破坏所传输的代码甚至影响相应应用程序的功能,同时进一步限制了加密流量分析工具使用和实施,更为入侵者潜伏在公司网络上以解密形式窃取数据创造了可行机会。
不过,伴随高级人工智能分析时代的开启,基于检测加密流量而不损害其加密完整性的侵入式“智能”手法逐步被认可。现在一种基于意图的加密流量分析工具已被思科推出来,其可通过使用机器学习来分析连接的初始数据包、数据包长度和时间顺序以及字节分布等等,能够有效提升对恶意加密流量的可视化操作。
利用AI检测恶意加密流量(图片来自sonicwall)
由此看出
随着网络攻击变化,在应对加密流量时防护者更应该关注在网络体系中检测机制与可视化能力的构建,真正防止那些隐藏在加密流量中的威胁。而在这个过程中,除了鉴于存在时长等特性而提升短暂密钥(如使用TLS 1.3协议的密钥)信任度外,通过NPB(网络数据包代理)将解密资源集中到甄别那些传统的、静态的,如SSL中使用的加密密钥(因为其在很大程度上已经不再受浏览器和主要网站青睐)上也会是一种有效的过滤方法。