一、加密流量正在吞噬網絡
根據統計資料顯示,目前網際網路流量中加密流量占比已突破了80%,而且預計這一數字仍會保持快速增長。如圖流量統計顯示了網際網路流量中Https加密流量在2018.8-2019.8一年内的趨勢,正在以驚人的速度增加。
網際網路正在全面走向加密化,企業流量也不列外,基于Web的應用越來越多,企業持續增加對加密的依賴。雖然在許多方面,加密流量的增長對安全來說是一件好事,不但有效保護企業業務和數字資産,而且也為使用者的隐私資訊提供安全保障。
有利就有弊,加密代表着不可見和隐藏資訊,企業網絡中日益增多的加密流量,給IT團隊的安全監測制造難度,網絡正在走向越來越不可見,加密給監測網絡流量、識别和阻止加密流量中的威脅行為帶來了極大的影響和挑戰。
二、網絡正在走向不可見
說到加密,繞不開網際網路流量加密的基礎 SSL/TLS技術,圖示SSL/TLS的發展曆程。
今天我們就來扒一扒加密流量對于網絡可見性的影響,文中用到幾個術語如下:
SSL/TLS(Secure Socket Layer/Transport Layer Security):安全套接字層/傳輸層安全 ,用于加密流量。
SNI(Server Name Indication):主機名稱訓示。
ESNI(Encrypted SNI):加密主機名稱訓示。
SC(Server Certificate):伺服器證書。
DoH((DNS-over-Https):DNS封包封裝在Https資料包裡。
監測和解析網絡流量是維護企業網絡安全的一項重要安全措施,為IT團隊提供完全可見的網絡行為,高效的發現、識别和阻止流量中的威脅和惡意行為。未加密流量的各種網際網路應用,IT團隊能夠完全可見企業網絡中的各種網絡行為;自網景公司(Netscape)1994年首次在浏覽器中引入安全套接字層(SSL)協定後,網絡流量的可見性日益下降。
下面以通路一個example.com域名網站為例,從明文流量、基于TLS不同版本和DoH協定組合的情況下加密流量的情況,分别進行說明。
1、基于未加密流量的各種網際網路應用,網絡行為完全可見
網絡流量是明文傳輸,通過流量解析,提取到通路的域名、IP位址、DSN伺服器、以及使用者通路網站的具體内容資料,進而在任何時候都能夠對網絡行為深度可見。
2、采用TLS1.2加密流量
提取不到使用者通路網站的具體内容資料,但仍然可以從流量中提取到DNS、SNI、SC資訊,即證書、域名、IP位址、DNS伺服器等相關資訊,能夠對網絡行為具有一定的可見。
3、采用TLS1.3和DoH組合的加密流量
DNS資料包、證書、通路網站的具體内容資料等都提取不到,隻能根據SNI提取資訊,網絡行為的可見性進一步降低。
4、采用TLS1.3、DoH和ESNI組合的加密流量
連通路的域名也被加密後,IT團隊除了能夠擷取IP位址外,将無法提取到任何有效資訊,從監測網絡角度,網絡行為已經不可見了。
三、加密流量成為網絡犯罪的樂土
加密隻是一種手段,用來保護任何流量不被檢測,無論是好的還是惡意的。加密技術是開放的,網絡犯罪分子更是非常了解加密技術,越來越多的網絡***和資料竊取行為也被隐藏在加密流量之下,利用它來掩蓋自己的存在和逃避檢測,這給企業IT團隊監測網絡流量中的威脅帶來了極大的影響和挑戰。
越來越多的惡意行為也利用TLS加密來隐藏其通信,以繞過傳統的檢測裝置或平台,無論是分發惡意軟體還是竊取的資料。根據Zscaler的新威脅研究報告顯示,未來針對繞過傳統安全控制和監測的加密流量(SSL/TLS)的和威脅将增長260%,其中最易受到基于加密流量威脅的行業主要是:醫療、金融和保險、制造業、政府、服務等等。據統計,自從去年全球爆發新冠疫情以來,新冠疫情推動各種勒索軟體激增,加密流量的和威脅增加了5倍,加密流量的資料洩露和竊取事件加速上升。
四、總結