由于使用TLS的恶意软件和网络钓鱼不断增加,部分安全专家都在寻求解决方案,其中之一是以破解TLS,使他们可以监视到从他们的网络进出的所有的流量。
破解TLS一般是通过加载检验性的CA证书来完成,通过你的TLS检验设备来动态生成证书。来自CA的公钥加载到网络上的所有客户端。当一个域被请求时,一个证书随之生成,并返回给请求方。请求者对TLS检测设备的可信连接,然后设备就会发起一个到目的地的连接。用户对所请求的资源有“信任”连接,安全团队就可以对整个会话进行监视。通常被称为中间人,如下图所示。
1、这种行为通常会隐藏危险。破解TLS即存在合情的出发点但却并不合理、也不安全:
我们已经习惯了用户“安全锁”。笔者认为信任浏览器是一个良好的安全程序的基石。如果你偶然点进一个钓鱼网站,都会通过浏览器注意到该连接是不安全的,然后就会关闭窗口。而当破解了TLS后,就会使用户直接面对各种各样的钓鱼攻击,同时向他们展示象征安全的绿锁。假设90%的攻击是以钓鱼开始的话,那么破解TLS极不利于信息安全。
2、当破解了TLS后,很多工具都会崩溃。一些app的验证机制要么太强(证书绑定),要么太弱(自动验证某些领域在一个有效的CA)。当你把自己置于其中时,你肯定会以某些无法预计的方式破解掉这些app。这对用户来说的确是一件危险的事情,而且还是那些“安全人员”造成的。笔者曾经亲眼见过开发人员花费大量时间来解决破解TLS后带来的潜在问题。
3、这样的网络安全监视真的值得吗?将所有网络通信收集到指定的网关然后进行分析是一项很艰巨的工作。入侵监测不仅需要在软件方面投入大量的金钱,而且还要在安全事件管理以及监控人员方面进行金钱投入。
应该怎样做
如果对以上问题没有一个有说服力的答案,那么请考虑把时间和资源投入到其他方面。安全从业人员应该将他们宝贵的精力用于用户培训、规范Web应用程序的有用监测、推行密码管理器以及强制推行双因子认证。如果还有多余的时间,尽快打好补丁。
钓鱼网站防御的四个阶段
说服用户认识网络威胁的危险性是解决问题的重要起点。我们把钓鱼网站防御分为四个阶段:培训、评估、报告和执行。建立防御网络钓鱼的保护计划,通过投入时间和资源到每个阶段。
培训和评估是通过交流使用户了解情况并测试他们是否点击,这变得司空见惯的行为。这些训练有素的用户跟你和讨论他们收到的可疑电子邮件,要让他们习惯于把这些可疑邮件转发到指定的监视邮箱中。用好这一方法,就能把“点错一次就失去一切”的状况转变为“只需点一次钓鱼网站就能进行报告并保护所有人”。
安装web应用
一个靠谱的web应用可以帮助进行渠道监视异常、用户密码重置、用户和管理员登入、登出、重要网络过滤器事件和授权用户事件(更新IP、添加域),甚至安全性打分机制,告诉用户什么时候需要给系统打补丁。一个安全的web应用能让安全团队在恰当的时候获得正确的信息,然后做出正确的决定。
升级密码管理
这条最后防线的重点是删除所有的密码重用的痕迹,并全面推进双因子认证,这样,即使密码丢失,密码的实效性也不会一直有效。
由于资源往往稀缺(时间、金钱),把安全计划的重点放在防范攻击者,比在繁琐的监视上花费人员和工具更有意义。而采用以上列出的简单策略,就可以建立一个经济实用的安全计划。
稿源翻译:HELPNETSECURITY
文章转载:https://www.trustauth.cn/news/security-news/15916.html