还原网络的可见性
作者:互联网
网络流量加密化
随着数字化进程日益深入,整个互联网流量中加密流量比例正在上升,企业网络中面向互联网的流量也面临同样的问题。同时,企业全面数字化转型,企业的各种应用系统也都在逐渐Web化,越来越多的企业内部系统也都逐渐加密化,网络流量加密化趋势已经不可逆转。
对于个人用户来说,基本都是面向互联网应用,通过使用支持加密功能的各种互联网服务,能够更好的保护各种数字化资产和隐私。但是,当企业网络中加密流量越来越多的时候,就会带来比较棘手的安全问题,如果不采用技术手段,对于IT和安全团队来说,意味着网络将会越来越不可见。
加密流量带来的安全问题
互联网的高度开放性和共享性,让人们在享受网络带来便捷性的同时,也时时刻刻要面对各种安全风险。网络流量加密在某种程度上能够有效降低安全风险。同时也是把双刃剑,将不再可能检测加密流量的通信内容,随着加密流量比重加大,IT和安全团队看到的网络日益趋向于黑盒子,可见性和可管理性越来越差。
更为严重的是各种恶意行为也在演变,并逐步采用加密技术来掩盖它们的踪迹。数字化使得企业各种资产数字化,各种有价值的数据不断的外泄,给企业造成各种影响。典型的邮件、网盘等的数据外泄都是通过加密方式,加密给监测、识别和溯源等各种安全风险行为带来极大的影响和挑战。
网络流量可见
号发布过一篇文章专门介绍加密流量,是从专业术语的角度对加密流量进行了初步探讨。本文继续网络加密流量话题,通过实际运行图例,让读者对加密流量有比较深刻的认识和重视。
为便于更好的理解本文中用到的加密术语,读者可以点击:《网络日益失去可见性》,参阅前期文章。
对于明文流量和加密流量的对比,通过HTTP(明文)和HTTPS(加密)两种方式分别访问网站example.com,分别使用Wireshark抓包工具捕获数据。
未加密
https://example.com,见下图中红色线标识部分,可以看到访问的具体网页内容。
加密
https://example.com,见下图中红色线标识部分,内容已经不可读了,看不到访问的具体网页的内容,如果解密后,就会看到内容就是上图所示。
通过上两图对比,对于加密流量有初步认识,可以想象,如果通过加密方式向这个网站上传一个企业合同文件,此时IT和安全团队即便监测到了加密流量,但是对于流量里的内容一无所知。
下面例子是来自于现网运行的系统,让大家可以更加直观认识网络加密流量掩盖行为踪迹的特性。网络中部署了两套系统,一套只是监测明文流量,称为HV;另一套同时监测明文和加密流量,称为HVS。下面的截图是上午的数据。
该用户在上午,从企业内网使用各种应用发送不同的文件到互联网。从两张图中,可以看到这两个系统监测到的文件数量不一致,支持解密加密流量的系统HVS监测到了用户在该时间段发送的所有文件。
HV明文流量监测结果:
HVS明文和加密流量监测结果:
在HVS里选取一个HV里没有监测到的文件“产品一部研发计划.xlsx”查看详细情况,这个文件是通过百度网盘传送的。
还可以查看更详细的信息,百度网盘是加密应用,使用443端口,上传文件到百度网盘。
当前,企业网络面向互联网侧流量中,常用的各种邮件和互联网SaaS服务默认启用加密模式,都基于SSL/TLS加密。
每天企业内网有大量的不同应用数据流向互联网,都有可能存在数据泄露,不管是有意为之还是无意识行为,IT和安全团队如果连网络流量里具体数据都不可见,谈何网络运行、维护和响应。
展望
如上所述,企业网络离不开互联网的连接,也就会面临从外到内的威胁,互联网到企业内网;同时,也面临从内到外的威胁,特别是企业内网到互联网的各种数据泄露、违规等行为。今后网络流量终将全面加密化,而网络流量监测时网络安全运行的基础,企业的IT和安全团队需要有应对之策,尤其是先要应对企业网络面向互联网方向的网络加密流量,通过技术手段还原网络可见性。
标签:加密,可见,网络,流量,网络流量,互联网,还原,监测 来源: https://blog.51cto.com/u_14875961/2764962