SSL：你的網絡盲點

本文講的是 SSL：你的網絡盲點，本周二，OpenSSL釋出“神秘”更新版本，修補了幾個安全漏洞，包括一個高危漏洞。之是以稱神秘是因為官方并未給出這些漏洞的細節，可能是為了防止黑客了解，也可能是為了給機構留出打更新檔的時間。但這個更新則引發了下面的内容：

你無法防護你看不到的地方

如果把網絡流量比做公路上的汽車，那麼加密流量就如同封閉的無法看到其内部的汽車，檢查人員（即防火牆、入侵檢測等）無法得知其中隐藏的資料。那麼這種情況有多嚴重呢？

NSS實驗室一份2013年的報告顯示，企業網絡流量的25%到35%是SSL加密的。

另一份Palo Alto網絡的應用程式及使用風險報告顯示，36%的企業流量是加密的。

越來越多的網站要求預設使用SSL。

谷歌最近宣布，要開始幫助使用SSL的網站建立搜尋排名。

從去年的心髒滴血到今年的貴賓犬，再到最近的瘋怪（Freak），OpenSSL接連爆出重大漏洞。更嚴重的是，SSL的問題不僅于此，因為你如何防護你看不到的地方？

可以考慮的解決方案

有什麼辦法來應對這種流量加密趨勢呢？答案是非常困難，但可以從以下幾點進行考慮：

加強終端安全。終端安全解決方案可以對流量的流入或流出進行檢測，前提是在工作站上對流量進行解密。

内容過濾。即使流量是經過加密的，一些安全工具也能夠通過SSL證書中的資訊對流量内容進行過濾，并基于信譽資料庫進行允許或拒絕操作。

SSL解密。所有在伺服器與用戶端之間輸送的加密流量都能可以被基于網絡的安全工具解密，也可以被網絡安全系統檢測。

這樣做對企業意味着什麼？

考慮到企業網絡上已經被加密的流量，以及越來越多的網站開始實施成本日益降低的SSL加密，一個未來所有的網絡流量都是SSL加密的日子為期不遠了。這種場景下，對于一直緻力于隐藏自身活動的惡意黑客們，逃避安全檢測也将變得更加容易。

你知道你的網絡流量有多少被加密了嗎？你目前的安全計劃包括了加密的流量嗎？你們機構的決策者知道基于網絡的安全工具對很大一部分網絡流量是無用的嗎？你做好如何應對日益增長的加密流量的計劃了嗎？

如果上述問題的答案是不，那還等什麼？趕緊行動去吧！

原文釋出時間為：三月 19, 2015

本文作者：王小瑞

本文來自雲栖社群合作夥伴安全牛，了解相關資訊可以關注安全牛。