当前,加密流量日益增加。而持续增加的加密流量使得网络犯罪分子利用加密流量进行的攻击,成为企业安全防护的一大盲点。据预测,2019年将有多达70%的网络攻击利用加密流量作为其传递机制的一部分。借此,网络犯罪分子可以传递恶意软件并窃取企业重要数据,这些都会对企业声誉、品牌和股票市值造成不小的伤害。
然而,企业传统的安全基础架构并不是为了处理这类不断演变的隐藏攻击而构建的,因此,几乎三分之二的企业无法解密和检查其SSL/TLS流量。此外,企业传统的数据丢失防护(DLP)系统也无法检测到这类威胁。
为了应对不断演变的安全威胁,企业需要部署一种易于使用、快速且多功能的检测技术,全面了解加密流量并充分发挥现有安全设备的性能,从而可以最大限度地提高企业安全性以及企业合规性。
如何做到这一点呢?可以通过五个方面来实现。
第一,获得对加密流量的完全可见性
不断增加的加密流量、越来越长的SSL密钥、计算更复杂的密码都使得防火墙及其他安全解决方案难以扩展其对SSL/TLS流量的解密和检测。因此,很多企业没有能力扫描所有加密内容,也就无法看到可能隐藏在流量中的安全威胁。
因此,企业需要部署专用解密解决方案,以消除流量监测盲点,并获得完全可见性。有效的专用解密解决方案可以实现:
- 解密跨多个端口和协议的流量,以便拦截利用非标准端口的攻击;
- 提供2048位和4096位密钥规模的高性能解密;
- 支持大多数现代密码套件(包括椭圆曲线密码算法ECC),以提供完全前向保密(PFS)支持;
- 保持对密码协商过程的完全控制,确保不会使用任何弱密码或已弃用的密码;
- 即使在未事先通知的情况下将新密码或TLS版本引入网络,也可确保全面和持续的保护。
第二,在检测数据泄露的同时执行安全与合规
合规对于企业和机构的重要性不言而喻。例如,如果医疗服务机构无法遵从健康保险流通与责任法案(HIPAA)隐私规则,可能会使患者的健康信息面临风险。
因此,为了确保企业的安全部署满足合规性,并遵从不断发展的数据保护与隐私标准、规则和法规,企业部署的解密解决方案需要能够提供精细控制,以确定哪些加密流量需要进行解密和检查,哪些流量可以绕过而无需检测。
例如,解密解决方案需要有URL分类服务,对多个类别中的数百万个域名进行分类和维护,以有选择地检测流量。只有这样,企业才可以根据特定合规标准(如HIPAA隐私规则),不对私有或敏感数据(例如医疗或财务数据)进行解密。
第三,在提供可靠、快速和全面SSL解密的同时,也要让网络性能最大化
启用SSL/TLS检测通常会严重降低下一代防火墙(NGFW)等传统安全设备的性能。NSS Labs 在测量NGFW产品性能时,对开启和关闭SSL/TLS两种情况进行了对比,发现前者使被测试产品出现了明显的性能下降和延迟增加。
来源:NSS Labs报告
Gartner认为,到2020年,超过60%的企业将因为无法高效解密HTTPS流量,而漏掉大多数有针对性的Web恶意软件。
特定用途的专用硬件解密解决方案,以高速提供实时解密,并通过“解密一次检查多次”的解密方法,可以使企业的整个安全基础架构保持最佳性能,从而避免因性能下降而造成的网络瓶颈。
第四,最大化现有安全基础架构的投资回报率
防火墙等安全设备的设计意图主要是检查流量,而不是解密流量。因此,还是要让这些安全设备专注于他们最擅长的事情,即实施访问限制策略,保护企业资源免受违规访问和攻击。
如果想要对流量进行解密,则需要专门的解决方案。因为,根据NSS Labs报告显示,如果通过购买专用于SSL/TLS解密的防火墙来解决这个问题,不仅花费昂贵,而且想获得解密所有加密流量所需的容量不切实际。
因此,部署专门用于解密SSL/TLS流量的安全解决方案,才能更好地提供此类防护,并使现有的安全基础架构的投资回报最大化。
(图:如何使现有的安全设备能够以最佳性能检查加密流量)
第五,简单轻松地部署和管理企业安全
无论是投资防火墙还是投资解密解决方案,企业都可能会面临两个最大问题:复杂性、缺乏丰富可用的分析。
我们看到大多数解密解决方案过于复杂、无法轻松部署。而且随着企业的发展,企业可能会在不同地点的分支机构进行分布式部署。
因此,企业需要一个集中管理并全面可见的解决方案,以管理部署在不同分支机构中的多个解密解决方案,并在整合的管理控制台上提供丰富的分析。
A10解决方案的独特之处
A10 Thunder SSLi是一款专用解决方案,可以消除SSL/TLS盲点,提供对加密流量的完全可见性;它可以用很低的成本提高安全性,因为它是从现有安全解决方案中卸载CPU密集型的SSL/TSL,并且也使得企业不再有购买昂贵的新增容量和功能的需求。此外,Thunder SSLi还可以帮助企业满足特定的合规要求,遵从不断发展的数据保护与隐私标准、规则和法规(如 GDPR 和 HIPAA)。
凭借专用SSL处理器,Thunder SSLi可以大幅提高安全基础架构的性能。它解密流量并将其转发到一个或多个安全设备,如用于深度数据包检测(DPI)的防火墙,从而让每个安全设备以其最佳高性能运行。这大幅降低了因解密而造成的时延或性能降级。
Thunder SSLi还可以支持逐步配置和故障排除向导,以及自定义仪表板,因此,操作简单。通过使用Harmony Controller SSLi应用还可为不同地点的部署,提供集中分析和管控台,包括对流量解密状态、用户行为和流量模式的分析和洞察。
总之,A10 Thunder SSLi解决方案的独特性可以提供最具性价比、最具吸引力且可扩展的企业安全解决方案,不仅帮助企业的安全基础架构抵御当前的网络威胁环境,还能帮助企业面向未来,防御不断增长的网络威胁。