公司上网行为管理,就用安企神软件
立即咨询多年来安全专家一直在敦促用户加密所有网络流量。他们的观点是:让安全配置成为默认配置是很明显的好办法。实现加密的标准和产品都已经非常成熟,没有理由不这么做!
然而,事情不完全是这样。但凡工程,总有各种利弊权衡,加密流量也不例外。其中一大弊端就是安全人员和监视系统也看不透你的网络流量了。你该如何检查网络流量以查找恶意程序和有问题的内容呢?
简单粗暴地回答的话,答案就是你没法用深度包检测找出攻击了。更负责任一点的话呢,你可以在执行加解密的终端上检测流量,从网络流量元数据中获悉各种信息,流量包头中的信息能告诉你数据包的源头和目的地。
思科《加密流量分析白皮书》指出,2015年加密流量占比21%,2022年占比40%,一年时间几乎翻了一倍。由于微软Exchange之类企业产品趋于默认加密所有流量,企业内部流量加密的占比无疑在飞速提升。
任何像样的主机或网络入侵检测系统(IDS/IPS)都会执行网络分析,在合法加密流量海洋中查找恶意流量。但深入了解工具运行机制和自身流量特性没什么坏处。微软Office数据文件中支持的应用级加密,恶意黑客用来偷渡数据的隐写术之类混淆技术不是这篇文章讨论的内容。本文要讲述的,是你可以对协议级加密做些什么。
1. 使用网络异常检测工具
如果不能观测实际包内容,就得监视流量找出网络异常。那么,异常网络行为有哪些特征呢?想知道这一点,你得弄清楚正常行为的构成。比如说,通常不互联的主机之间出现的连接,无论是内部主机互联,还是内部主机与未知外部系统相连,都是值得怀疑的。
TCP/UDP端口的非正常使用也是值得监视的一种行为。可在Dave端口列表上查看知名端口和不那么知名的端口。不仅仅是非正常端口的使用,还要看正常端口是否被非正常应用使用,比如为传输层安全(TLS)保留的443端口有没有用于传输明文流量。
这些任务太过琐碎,不适合人工处理,有很多安全产品都尝试检测网络行为异常,包括IBM的QRadar、Juniper Sky Advanced Threat Protection,甚至还有开源的Snort IPS。最高级的产品,比如思科的 Encrypted Traffic Analytics,将监视与情报服务集成,跟踪全球系统中的异常行为。
需要挖掘流量审查细节的时候,可以借助网络分析工具。Wireshark是最基本的,但Fiddler更适用于HTTP/HTTPS流量分析。Fiddler作者 Eric Lawrence 写的一篇文章阐述了怎样通过元数据及其他办法检查TLS流量。
另一个有趣的工具集是来自Salesforce的JA3和JA3S。该工具集可捕获TLS连接特征,暴露出此类通信及连接使用方TLS实现的更多细节。
2. 使用SSL/TLS代理服务器
使用安全套接字层(SSL)/TLS代理服务器能很大程度上令加密流量可审查。包括加密通信在内的所有通信都要经过代理服务器,代理服务器在一端接受加密连接,解密流量,执行某些操作,然后重新加密并发送流量到目的地址。代理服务器执行的操作中就可以包含安全操作,比如恶意软件扫描和阻止禁用站点。很多第三方安全产品都可以用作SSL/TLS代理。
此类代理服务器给已经很复杂的网络配置又添了一层复杂度。虽然可以通过缓存加速流量,但也存在拖慢流量的可能性。2022年,美国国土安全部(DHS)计算机应急响应小组(CERT)协调中心曾发出一条警报,称很多此类产品未进行恰当的证书验证,或者转发错误情况。很多安全专家,比如卡耐基梅隆大型的 Will Dormann,辩称SSL检查反而会引入更多风险。
3. 准备应对非TLS加密
网络包层级上的流量合法加密通常由SSL/TLS实现。但你可能遇到其他加密协议。有些是合法的,有些则不应该出现在你的网络上。
其中最为模棱两可的协议就是Secure Shell (SSH)。很多管理和开发工作都通过SSH完成。问题在于,坏人也会用SSH。你不可能全面禁用SSH,总得为特定网络段和特定用户放行SSH。所以,不符合合法规程的SSH流量必须要在审查范围内。
如果使用Windows终端,那网络上就会出现很多Windows终端服务器用的远程桌面协议(RDP)和Citrix服务器用的独立计算架构(ICA)。这些都是加密协议,通常使用TLS,但也可能在不同的TCP端口上,展现其他的差异。公司应设专人控制这些终端,具备审查其行为的能力。
更隐蔽的是基于用户数据报协议(UDP)的快速UDP互联网连接(QUIC),这是TLS的低延迟版替代品。HTTP/3标准纳入了QUIC,但其基于UDP的特性限制了其应用。举个例子,防火墙通常全面阻止UDP入站。这仍是相当前沿的问题,你可能根本看不到。
至于暗网所用的Tor,因为采用多层嵌套加密,除非有额外的隐私需求,普通用户完全有理由封禁。
TLS的好处在于身份验证、加密和消息完整性,这是无可否认的。所有这些加密使一些合法的安全实践变得更加困难,但这点困难并不足以让你的流量保持不加密状态裸奔。无论是通过元数据,还是在终端检查,依然有很多工具可以保护你的用户和网络。
LSC局域网控制软件电脑版下载,2024官方最新版下载使用
LSC局域网控制软件电脑版下载,2024官方最新版下载使用在信息化时代,局域网的管理和控制显得尤为重要,而LSC局域网控制软件作为一款功能强大的工具,为用户提供了极大的便利。随着2024年官方最新版的推出,很多用户纷纷关注这一软件的下载与使用情况。在本文中,我们将全面评测LSC局域网控制软件的功能、特点以及如何下载和使...
LSC局域网屏幕监控系统电脑版:2024官方最新版下载与使用指南
LSC局域网屏幕监控系统电脑版:2024官方最新版下载与使用指南在信息技术迅猛发展的今天,企业和个人对于数据安全和信息监控越来越重视。特别是在局域网环境中,屏幕监控成为了保护信息和有效管理的重要手段。LSC局域网屏幕监控系统电脑版,是一款功能强大的监控工具,让用户可以实时查看局域网内各设备的屏幕内容。本文将详细介绍LS...
企业高效管理的新利器:公司LSC屏幕监控软件有什么优势
企业高效管理的新利器:公司LSC屏幕监控软件有什么优势在当今快速发展的信息技术时代,企业如何高效、智能地管理自己的信息及资源,已成为每个管理者必须面对的重大课题。LSC屏幕监控软件作为一种新兴的数字化管理工具,为企业提供了一个强有力的解决方案。今天,我们就来深入剖析LSC屏幕监控软件的优势,帮您发现其在企业管理中的重要...
LSC屏幕监控软件使用全解析:如何高效使用与配置
LSC屏幕监控软件使用全解析:如何高效使用与配置在现代企业管理中,信息安全与数据监控变得愈发重要。公司LSC屏幕监控软件凭借其强大的功能与灵活的应用,成为了许多企业的优选工具。这款软件不仅可以实时监控员工的屏幕活动,还能够记录历史数据,为企业提供全面的安全保障和数据分析。本文将详细介绍LSC屏幕监控软件的使用方法和最佳...
公司LSC屏幕监控系统多少钱?如何选择LSC屏幕监控系统
公司LSC屏幕监控系统多少钱?如何选择LSC屏幕监控系统在现代企业中,屏幕监控系统已成为信息安全管理的重要工具。特别是对于处理敏感数据的公司来说,如何选择合适的屏幕监控系统以及其价格成了许多企业主的关心话题。本文将深入探讨LSC公司的屏幕监控系统,包括其价格构成、功能优势、选购建议等,为企业在选择时提供有价值的参考。一...