数码围观财|六个阻止恶意SSL通讯的要点

【数码围观财|六个阻止恶意SSL通讯的要点】北京联盟_本文原题为:六个阻止恶意SSL通讯的要点
SSL的使用每年都在稳定增长 。 将来会有越来越多的互联网通信都会被加密 。 不幸的是 , 不仅注重安全的公司和用户在利用加密 , 黑客们也在使用加密来隐藏其恶意企图 。 虽然有很多防火墙和威胁预防方案能够解密SSL通信 , 却不能跟上不断演变的解密需求 。 如果黑客进入企业网络 , 遭受攻击的企业就会面临故障和宕机、收入降低、客户丢失、知识产权失窃等 , 还要花费高昂的成本来修复损害和对声誉的破坏 。
严酷的事实是 , 如果不部署SSL的检查 , 企业就面临被攻击的风险 。 黑客可以隐藏在加密通信中 , 并渗透到企业网络 , 安装恶意软件 , 并从多个终端窃取数据 。 对付恶意的加密通信的最佳防御是满足一定要求的SSL检查平台 。 需要注意的是 , 在SSL检查合作伙伴时 , 企业尤其需要关注性能、合规、可用性、安全性 。
数码围观财|六个阻止恶意SSL通讯的要点
文章图片
有效的SSL检查平台应当做到:
1.满足SSL的性能要求
在企业的任何新方案中 , 性能都是至关重要的 , 但是随着企业的负载日渐增长 , 性能的重要性尤其突出 。 为确保SSL的性能检查满足目前和未来的需要 , 企业需要做到如下方面:
·用2048位和4096位的SSL密钥来测试SSL检查的速度;
·用Diffie-Hellman密钥交换算法和ECC来评估通信;
·确保平台能够处理吞吐量需求 , 并有额外的能力可以应对峰值通信 。
2.满足合规要求
企业面临着满足多种合规标准的任务 。 合规意味着很多企业(例如金融和健康医疗领域)必须过滤敏感通信 。 为了确保在检查SSL通信时保持合规 , IT安全团队应当关注能够做到如下两方面的平台:首先是对Web通信进行分类 , 要确保机密数据(如传输到健康和金融网站的通信)的加密;其次是支持自动更新以及人工定义的URL过滤清单 。
3.支持复杂的部署要求
为全面解决所有安全问题 , 多数企业都部署了来自多个厂商的多种安全设备 。 SSL检查平台应当能够解密所有这些设备的通信 。 为此 , 企业必须:解密发送到互联网的通信以及进入公司服务器的通信;智能地将通信转发到多个安全设备;集成领先厂商的多种安全解决方案 。
数码围观财|六个阻止恶意SSL通讯的要点
文章图片
4.使安全基础设施的正常运行时间和功能达到最大化
安全基础设施必须正常运行 , 并且完全可用 , 从而阻止网络攻击和防止数据泄露 。 如果安全基础设施无法正常运行 , 就无法检测到威胁 , 导致恶性攻击、收入减少、品牌损失 。 有效的SSL检查平台应当使已有的安全基础设施的正常运行时间最大化 。 企业应关注能够具备如下特性的平台:
·扩增安全部署实现负载均衡;
·检测和绕过失效的安全设备 , 避免网络失效;
·支持高级监视 , 快速确认网络或应用程序的错误 。
5.安全地管理SSL证书和密钥
SSL证书和密钥形成了加密通信的信任基础 。 如果SSL证书和密钥遭受破坏 , 攻击者就可以用来窃取数据 。 SSL检查平台能够分析出站和入站的SSL通信 , 必须能够安全地管理大量的SSL证书和密钥 。 有效的SSL检查平台应当:保护存储在SSL检查平台上的SSL密钥 , 并于能够发现和控制证书的第三方SSL证书管理方案实现集成;
6.解密所有符合标准的加密通信
不仅加密通信量在不断增长 , 企业和攻击者所使用的加密复杂程度也在提升 。 企业可以使用4096位的SSL密钥、ECC(椭圆曲线密码)、PFS(完全前向保密)及其它技术来防御窃取者 。 为此 , SSL的检查平台必须:支持4096位的SSL密钥长度和高级SSL和TLS加密;解密所有数据 , 包括SSL的转发;如果通信无法被解密 , 就通知用户 。


推荐阅读