IT 决策者之间一直在就基于网络的可视性日益增长的需求进行对话。然而,由于超过 95% 的基于互联网的流量都被加密,因此需要实时解密作为成功的网络检测和响应(NDR) 策略的要求,这在某种程度上是一个棘手的问题。
此外,决策者还面临着新的挑战,包括数据在网络中移动时加密数据的合规性要求以及持续监控网络流量的需要。由于解密和加密的合规性要求有些冲突,IT 决策者如何知道对两者做出正确的选择以及何时选择其中一种?
在本文中,我们将探讨这个主题,以及如何安全地解密网络流量——所有这些对于现在和将来成功的 NDR 策略都至关重要。
加密和解密:入门
加密有两大类:对称加密和非对称加密。对称加密使用双方都需要拥有的单一密钥才能进行通信。它具有相对较小的密钥大小、速度快且资源利用率低。非对称加密需要两个单独的密钥,一个称为公钥,任何人都可以使用,另一个称为私钥,由创建公钥/私钥对的个人或系统保留。使用非对称加密时,密钥大小要大得多。它也慢得多并且需要更多的资源。
对称加密的主要问题是需要双方拥有相同的密钥。如何在互联网等不受信任的媒介上交换需要保持私密性的密钥?要么需要提前私下交换密钥,要么需要不同的介质来交换密钥。对于非对称加密,挑战来自速度和资源的角度。
通过加密数据实现安全传输
传输层安全性 (TLS) 使用这两种类型的加密来安全地通过 Internet 传输数据。TLS 依赖于证书颁发机构 (CA),这是一个验证网站(和其他实体)的受信任组织,以便组织知道他们正在与谁进行在线通信。它的工作原理如下:当客户端向服务器发送请求时,服务器会使用其签名的证书和公钥进行响应。
这允许客户端向 CA 进行检查并验证服务器是否是它所说的系统。然后,客户端使用来自服务器的公钥发送消息以与该服务器建立会话密钥(只有服务器可以使用其私钥解密的密钥),并且使用该会话密钥继续进行通信。这就是我们如何知道客户端和服务器之间发送的数据是安全的。
那么,我们如何解密这些数据呢?可以在内部网络上部署受信任的设备,以确保流量在发送到 Internet 时仍然安全加密,同时还允许管理员确定是否应解密部分流量。这可确保流量在不受信任的网络上保持安全,同时还允许受信任的应用程序分析解密的流量。
一旦我们成功解密流量,处理它的最佳方法是将其直接发送到要分析流量的设备。这可以通过数据包流交换机来完成。采用这种方法可以将解密流量的多个副本发送到不同的设备。解密一次;使用多种工具进行分析。这可以降低延迟并确保只有那些需要查看解密流量的设备才能访问它。
第二种解密场景是与监控应用程序共享服务器的私钥。在这种情况下,加密的流量只有在实际到达监控系统时才会被解密,从而确保它不会意外地以明文形式发送出去。这些解密功能中的每一种都有其自己的用途,使用哪一种取决于流量的去向以及所使用的 TLS 版本。
最终,流量被加密是有原因的,为了安全地解密流量,了解加密过程至关重要。这两个过程对于了解如何实现更好的网络可见性、威胁检测和数据包级别响应至关重要。
NDR 策略的全面网络可见性:安全解密
无法保护企业网络免受看不见的威胁。虽然这似乎是一个简单的概念,但很难实现,因为当今的企业网络是传统网络、分支机构、家庭和远程环境中的资源以及公共云、私有云和混合云的复杂组合。
NDR 解决方案应该为企业提供全面的网络可见性,既广泛(例如,整个数字基础设施的可见性)又深入(例如,深入到数据包级别)。目前95% 的网络流量已加密,NDR 解决方案必须能够分析加密流量并安全解密,以检测试图隐藏在合法加密流量中的威胁。
此外,NDR 解决方案应该有多种方法来安全地实时解密流量,以及检测威胁的能力,例如通过统计和行为分析技术、策划的威胁情报源、开源规则和签名引擎。与其他可能由机器学习或人工智能支持的高级威胁分析一样。
使用基于数据包的 NDR 策略
毫无疑问,网络将被破坏。安全团队将依赖许多不同的网络安全工具(例如 TLS 加密和解密)来保护其组织免受成功的网络攻击。随着网络变得更加复杂,威胁行为者及其恶意软件变得更加复杂,网络仍然是保护企业免受网络攻击的战略优势。
高度可扩展且基于数据包的 NDR 解决方案提供网络智能和数据,填补 SOC 可视性三合一中的空白,从而使现有的网络安全堆栈、员工和整体网络安全变得更好。但要实施成功的 NDR 策略,网络管理员必须首先优先考虑更安全地解密加密流量的策略,以成功缓解现在和未来的攻击。