其他分享
首页 > 其他分享> > 还原网络的可见性

还原网络的可见性

作者:互联网

网络流量加密化

随着数字化进程日益深入,整个互联网流量中加密流量比例正在上升,企业网络中面向互联网的流量也面临同样的问题。同时,企业全面数字化转型,企业的各种应用系统也都在逐渐Web化,越来越多的企业内部系统也都逐渐加密化,网络流量加密化趋势已经不可逆转。

对于个人用户来说,基本都是面向互联网应用,通过使用支持加密功能的各种互联网服务,能够更好的保护各种数字化资产和隐私。但是,当企业网络中加密流量越来越多的时候,就会带来比较棘手的安全问题,如果不采用技术手段,对于IT和安全团队来说,意味着网络将会越来越不可见。

加密流量带来的安全问题

互联网的高度开放性和共享性,让人们在享受网络带来便捷性的同时,也时时刻刻要面对各种安全风险。网络流量加密在某种程度上能够有效降低安全风险。同时也是把双刃剑,将不再可能检测加密流量的通信内容,随着加密流量比重加大,IT和安全团队看到的网络日益趋向于黑盒子,可见性和可管理性越来越差。

更为严重的是各种恶意行为也在演变,并逐步采用加密技术来掩盖它们的踪迹。数字化使得企业各种资产数字化,各种有价值的数据不断的外泄,给企业造成各种影响。典型的邮件、网盘等的数据外泄都是通过加密方式,加密给监测、识别和溯源等各种安全风险行为带来极大的影响和挑战。

2be853bb0e9b71b7d7de4f2e0ff57264.jpeg

网络流量可见

号发布过一篇文章专门介绍加密流量,是从专业术语的角度对加密流量进行了初步探讨。本文继续网络加密流量话题,通过实际运行图例,让读者对加密流量有比较深刻的认识和重视。

为便于更好的理解本文中用到的加密术语,读者可以点击:《网络日益失去可见性》,参阅前期文章。

对于明文流量和加密流量的对比,通过HTTP(明文)和HTTPS(加密)两种方式分别访问网站example.com,分别使用Wireshark抓包工具捕获数据。

未加密

https://example.com,见下图中红色线标识部分,可以看到访问的具体网页内容。

7205e5e34c559c4b10fb845c15b05a1c.jpeg

加密

https://example.com,见下图中红色线标识部分,内容已经不可读了,看不到访问的具体网页的内容,如果解密后,就会看到内容就是上图所示。

12961b7b0338cc6fd715ccedd6b2a838.jpeg

通过上两图对比,对于加密流量有初步认识,可以想象,如果通过加密方式向这个网站上传一个企业合同文件,此时IT和安全团队即便监测到了加密流量,但是对于流量里的内容一无所知。

下面例子是来自于现网运行的系统,让大家可以更加直观认识网络加密流量掩盖行为踪迹的特性。网络中部署了两套系统,一套只是监测明文流量,称为HV;另一套同时监测明文和加密流量,称为HVS。下面的截图是上午的数据。

该用户在上午,从企业内网使用各种应用发送不同的文件到互联网。从两张图中,可以看到这两个系统监测到的文件数量不一致,支持解密加密流量的系统HVS监测到了用户在该时间段发送的所有文件。

HV明文流量监测结果:

9a96ebf94f6588d085e4b46778fc3519.jpeg

HVS明文和加密流量监测结果:

521041c0888d3090fffa6f70ffcf876f.jpeg

在HVS里选取一个HV里没有监测到的文件“产品一部研发计划.xlsx”查看详细情况,这个文件是通过百度网盘传送的。

ec26f38c1b3465bb8758dfbfa5d38fc8.jpeg

还可以查看更详细的信息,百度网盘是加密应用,使用443端口,上传文件到百度网盘。

bd8b6cedf55eff50017f4d20790156c0.jpeg

当前,企业网络面向互联网侧流量中,常用的各种邮件和互联网SaaS服务默认启用加密模式,都基于SSL/TLS加密。

每天企业内网有大量的不同应用数据流向互联网,都有可能存在数据泄露,不管是有意为之还是无意识行为,IT和安全团队如果连网络流量里具体数据都不可见,谈何网络运行、维护和响应。

展望

如上所述,企业网络离不开互联网的连接,也就会面临从外到内的威胁,互联网到企业内网;同时,也面临从内到外的威胁,特别是企业内网到互联网的各种数据泄露、违规等行为。今后网络流量终将全面加密化,而网络流量监测时网络安全运行的基础,企业的IT和安全团队需要有应对之策,尤其是先要应对企业网络面向互联网方向的网络加密流量,通过技术手段还原网络可见性。


标签:加密,可见,网络,流量,网络流量,互联网,还原,监测
来源: https://blog.51cto.com/u_14875961/2764962