破解TLS的网络安全监视最终将损害信息安全

发布日期：2017-05-31

破解TLS一般可以通过加载一个检验性的CA证书来完成，该证书通过你的TLS检验设备来动态生成证书。来自该CA的公钥被加载到网络中的所有客户端。当一个域被请求时，一个证书随之生成，并被返回给请求方。请求方就有了一个到TLS检验设备的可信连接，然后该设备就会发起一个到目的地的连接。这样，用户就有了一个到他们请求的资源的“可信”连接，而安全团队可以监视整个会话。这一行为被称为“中间人”，通常会给我们带来危险。破解TLS有它合情的出发点但却并不合理、也不安全：

1、我们已经使用户愿意“相信这把锁”

笔者认为信任浏览器是一个好的安全计划的基石。今天你偶然点进一个钓鱼网站，都会通过浏览器注意到该连接是不安全的，然后关闭窗口。而当你破解了TLS后，你就会使用户直接面对各种各样的钓鱼攻击，同时向他们展示象征安全的绿锁。假设90%的攻击是以钓鱼开始的话，那么破解TLS最终将损害信息安全。

2、当你破解了TLS后，很多工具都会崩溃

一些app的验证机制要么太强(证书绑定)，要么太弱(对一个出现过的CA自动验证一些字段的有效性)。当你把自己置于其中时，你肯定会以某些无法预计的方式破解掉这些app。这对用户来说的确是一件糟糕的事情，而且还是那些“安全人员”造成的。我曾经亲眼见过开发人员花费大量时间来解决破解TLS给他们的工具带来的问题。

3、这样的网络安全监视真的值得吗?

将所有网络通信收集到你的网关然后进行分析是一项很艰巨的工作。入侵监测不仅需要在软件方面投入数百万美元，而且还要在安全事件管理以及最重要的监控人员方面进行投入。问问自己“这是为了什么?”你上次通过你的入侵监测设施发现入侵者是什么时候?

如果你对以上问题没有一个有说服力的答案，那么请考虑把你的时间和资源投入到其他方面。安全从业人员应该将他们宝贵的精力用于用户培训、以监视设施装备web应用、大量生产密码管理器以及强制推行双因子认证。如果你有多余的时间，尽快打好补丁。

钓鱼网站防御的四个阶段

说服用户了解实实在在的威胁是解决问题的重要起点。我们把钓鱼网站防御分为四个阶段：培训、评估、报告和执行。在这四个阶段投入时间和资源以建立你的钓鱼网站保护计划。

培训和评估是通过对话使你的用户了解情况并测试他们是否点击。这正在变成老生常谈。这些受过训练的用户会习惯于来找你讨论他们收到的可疑邮件。要让他们习惯于把这些可疑邮件转发到你的团队监视的邮箱中。用好这一方法，你就能把“点错一次就失去一切”的状况转变为“只需点一次钓鱼网站就能进行报告并保护所有人”。

装备你的web应用

一个靠谱的web应用可以帮助你进行渠道监视异常、用户密码重置、用户和管理员登入/登出、重要网络过滤器事件和授权用户事件(更新IP、添加域)，甚至安全性打分机制，告诉你什么时候需要给系统打补丁。一个合适的web应用能让安全团队在恰当的时候获得正确的信息，得以做出正确的决定。

改善密码管理

这条最后防线的重点是将所有密码重用的痕迹从你的企业中移除，并全面推进双因子认证，这样，即使密码丢失，也不会一直有效。

由于资源往往稀缺(时间、金钱)，把安全计划的重点放在防范攻击者，比在繁琐的监视上花费人员和工具更有意义。而采用以上列出的简单策略，你就可以建立一个经济实用的安全计划。

破解TLS的网络安全监视最终将损害信息安全

数字证书

技术支持

关于沃通

旗下网站