分析加密网络流量


使用加密来防止网络威胁正在呈指数增长。不幸的是,网络犯罪分子也利用加密来隐藏恶意软件,勒索软件和其他攻击。 

行业分析师公司 omdia. 估计,现在提供多达70-80%的企业入境网络流量,从三年前开始加密大约20%。由于解密快速成为技术挑战,传统信息安全工具无法容易地识别隐藏在加密流量中的威胁。为了有效地检测威胁 - 诸如僵尸网络 - 隐藏在加密的流量中,可以检查加密数据的保护系统,并需要识别流量模式。

omdia.的高级分析师Eric Parizo表示,“加密的流量分析是行业现在需求的重要功能,比以往任何时候都更多,值得考虑作为当代企业网络和安全组合的关键组成部分。”

加密威胁

有几个类别的威胁与加密有关。一组包括证书漏洞等风险。与站点通信时,浏览器将指示连接是否确定是不安全或不可信的。此指示可能意味着证书无效,或者证书颁发机构无法访问。  

另一类加密威胁包括恶意软件,用于将其通信嵌入加密的隧道中,以便它可以绕过网络’安全。故意隐藏其流量和通信的应用程序的示例包括PSIPHON,TOR和Ultrasurf。已知这些应用程序被错误的演员使用以混淆恶意软件。 

最后,有实际违反加密流量。该组包括窃取凭证的恶意软件,例如用过时和削弱加密(淹没)解密RSA,Shiftbleed,

填充Oracle在降级的传统加密(流程)上,以及为RSA导出键(Freak)进行分解。这些是利用加密来构建中间人情景的漏洞。此恶意软件可以拦截电子邮件,凭据,私人信息和在线事务数据。一旦这种类型的攻击妥协了一个网络,它用于将恶意应用程序注入浏览器连接,稍后嵌入威胁并剥离它,或将受害者发送给第三方网站。

一个解法

Laurence Pitt,网络安全营销和瞻博网络的战略总监

知道 瞻博网络 正在解决在加密数据的斗篷下进入的威胁问题,华晨安全杂志坐下来 Laurence Pitt.,网络安全营销和战略总监瞻博网络,了解我们在这批判性的安全领域所做的事情。 

瞻博网络是今天仅提供加密流量分析的少数供应商之一,因为它提供了网络监控,以检测恶意加密通信,而无需解密流量。这种方法为组织提供了更有效的方法,以确定隐藏在加密的流量工具中的威胁,并在传统信息安全解决方案中添加了额外的保护层。

加密的流量分析是最新功能 瞻博网络ATP云 and SRX系列 防火墙。这些防火墙现在能够检测到恶意僵尸网络流量“going dark”通过加密。此功能允许组织更高的可见性和策略控制对加密流量,而无需资源密集的SSL解密。对于运行Juniper SRX防火墙的客户,它还不需要额外的硬件或网络更改以设置和管理。

Laurence解释说,对于解密防火墙的数据的解决方案,存在丢失或灭绝的数据的重大威胁。他问,“那么为什么呢?如果你不这样做,为什么解密数据’需要吗?如果可以在没有解密的情况下检查数据的威胁,为什么介绍这种额外的威胁?

“我们只需要知道数据是好还是坏。我们的系统将检查数据来自哪些数据并确定源是否具有良好的信誉和证书最新。它会问握手是否正常和自然。我们可以检查数据以确保其构建,因为预期是如此。如果将所有信息组合,则可以看到该数据是否好的清晰的图片。”

劳伦斯继续强调,因为这是一个云解决方案,企业没有表现率。 

瞻博网络在2月底,宣布了用于高级威胁预防云和SRX系列防火墙的加密流量分析。他们还宣布将SecIntel集成到无线接入的雾平台上。在瞻博网络连接的安全解决方案组合中,Juniper提供了完整的提议,以保护组织内的所有流量,无论是访问,校园,WAN还是数据中心,都在网络中加密或未加密。

SecIntel for Mist表示完全集成无线访问到瞻博网络的安全策略的重要一步。雾客户现在可以获得瞻博网络SRX系列防火墙和ATP云检测到的威胁警报。此集成允许管理员在用户和设备连接到无线网络时快速评估安全风险。然后,它们可以通过雾云或API采取适当的行动,例如隔离或执行策略。

这篇文章并非旨在彻底检查整个加密威胁,也不是瞻博网络的演示’完整的解决方案。本文的设计是提高这种不断增长的威胁类别的意识,并提供至少一个合适的解决方案。 

如果您需要一层保护来检查加密数据,以便它可以保持加密,直到它到达目的地,请查看连接的安全组合,并为瞻博网络的加密流量分析进行加密流量分析,用于雾无线的闪光屏幕预防和SecIntel。


STEVEN Bowcut,CPP,PSP是一个屡获殊荣的新闻工作者,涵盖网络和物理安全。他是一家华晨安全杂志的编辑和作家,以及其他安全和非安全在线出版物。跟随和连接史蒂夫 推特, Facebook, Instagram., 和 linkedin.