你知道SSL/TLS中隐藏了哪些黑客吗?

ntop认为,未来的流量监控和网络安全将由检查加密流量行为的能力来发挥。

SSL / TLS身份验证已经存在了一段时间。作为最早的互联网安全协议之一,SSL证书,由URL栏最左边的绿色挂锁标志,当Internet用户看到网站已通过身份验证时,会信任这个网站。但是,黑客,作为创新的恶作剧制造者,已经找到了在安全套接字层的掩盖下进行网络犯罪的方法。

 

SSL/TLS身份验证是如何工作的?

SSL使用一种称为非对称加密的技术。使用这种类型的加密,有两个安全密钥:一个公共密钥和一个私有密钥。通过SSL证书共享的公共密钥告诉所有浏览器如何加密数据。私钥位于网站的后端服务器上,在此解密后即可完成请求。网站所有者有责任从适当的授权机构获取SSL证书,尽管一些虚拟主机提供商将SSL加密作为其服务的一部分。这种类型的加密对于涉及敏感信息(例如密码,帐号和其他财务数据)传输的任何网站或应用程序都是至关重要的,因为它可以防止外部人员拦截传输。

系统固有缺陷

加密是在HTTP协议上加上HTTP的前缀,也就是HTTP上的安全HTTP或传输层安全(TLS)。有时,用户会收到一条消息,提示SSL证书不匹配。这可能是由于简单的客户端/服务器不匹配或其他良性原因造成的。但是,有进取心的黑客已经找到了一种在浏览会话开始之后通过使用TLS避开加密的方法,并且您不会收到任何错误消息或警告。Cyren博客在2017年报告说,37%的恶意软件正在使用HTTPS作为载体引入病毒。恶意软件被设计成网络数据包,它可以通过最初的加密并隐藏在最终用户的计算机中,渗透到你的企业网络中,或者在自己的服务器上充当主机,在那里它可以远程感染系统的病毒。常规的安全措施并不总是有效的,因为恶意软件有效负载是加密的,防火墙或入侵检测系统(IDS)可能无法识别。大多数用户认为具有有效SSL证书的任何网站都是可以信任的,但事实恰恰相反。甚至应用商店也不安全。Chrome和其他商店已经被发现携带外观相似的第三方安全插件。它们的设计和功能与合法的插件一样,但它们是用来进行加密劫持。因此,请确保您仅在网站上使用来自受信任的开发人员的应用和插件,并尽量直接从官方网站下载。

保护您的网站

首先要采取的措施之一是使用评级为安全和正常运行的顶级Web托管服务。在研究选择方案时,请寻找可提供网络监控服务,实时扫描病毒和恶意软件以及强大的正常运行时间性能的云提供商。在浏览网页时,还应使用虚拟专用网络(VPN)客户端,为流量添加另一层加密。为了使您的企业网络真正安全,您需要投资于更现代的网络安全解决方案,例如深度数据包检测(DPI)和SSL指纹识别。使用nDPI,ntop的开源DPI工具包,在网络的外围添加了一个单独的扫描层,负责解密传入的数据,扫描已知的恶意威胁,然后再次对其进行加密,最终传递到用户的浏览器。但是,使用DPI确实会给您网络上的用户带来一些隐私问题,因为他们的流量没有被端到端真正加密。此外,启用DPI将对网络资源造成持续的沉重压力,这回影响整个企业的网速。这就是为什么SSL指纹识别可能是更好的长期解决方案的原因。使用SSL指纹识别,可以在浏览器和后端服务器之间的初始握手期间提取元数据,以验证两个端点之间没有注入协议更改。早期的指纹识别方法 包括JA3在内,依靠人工维护的数据库来追踪哪些指纹是安全的,哪些是危险的。但是现在,一些公司正在通过创建实时指纹数据库来进一步向前发展,该数据库会自动更新以识别可能隐藏在SSL流量中的恶意软件。

总之

SSL和其他可见的验证网站的形式是用来让访问者和所有者放心的,特别是当他们从事电子商务时。虽然这是整体安全的重要组成部分,但你不应该将其视为你需要采取的唯一安全措施。当它作为您的整体安全标准的一部分进行部署,并与定期的威胁监测相结合时,它的效果最好。