首页>安全资讯>破解TLS的网络安全监视最终将损害信息安全

破解TLS的网络安全监视最终将损害信息安全

破解TLS一般可以通过加载一个检验性的CA证书来完成,该证书通过你的TLS检验设备来动态生成证书。来自该CA的公钥被加载到网络中的所有客户端。当一个域被请求时,一个证书随之生成,并被返回给请求方。请求方就有了一个到TLS检验设备的可信连接,然后该设备就会发起一个到目的地的连接。这样,用户就有了一个到他们请求的资源的“可信”连接,而安全团队可以监视整个会话。这一行为被称为“中间人”,通常会给我们带来危险。破解TLS有它合情的出发点但却并不合理、也不安全:

1、我们已经使用户愿意“相信这把锁”

笔者认为信任浏览器是一个好的安全计划的基石。今天你偶然点进一个钓鱼网站,都会通过浏览器注意到该连接是不安全的,然后关闭窗口。而当你破解了TLS后,你就会使用户直接面对各种各样的钓鱼攻击,同时向他们展示象征安全的绿锁。假设90%的攻击是以钓鱼开始的话,那么破解TLS最终将损害信息安全。

2、当你破解了TLS后,很多工具都会崩溃

一些app的验证机制要么太强(证书绑定),要么太弱(对一个出现过的CA自动验证一些字段的有效性)。当你把自己置于其中时,你肯定会以某些无法预计的方式破解掉这些app。这对用户来说的确是一件糟糕的事情,而且还是那些“安全人员”造成的。我曾经亲眼见过开发人员花费大量时间来解决破解TLS给他们的工具带来的问题。

3、这样的网络安全监视真的值得吗?

将所有网络通信收集到你的网关然后进行分析是一项很艰巨的工作。入侵监测不仅需要在软件方面投入数百万美元,而且还要在安全事件管理以及最重要的监控人员方面进行投入。问问自己“这是为了什么?”你上次通过你的入侵监测设施发现入侵者是什么时候?

如果你对以上问题没有一个有说服力的答案,那么请考虑把你的时间和资源投入到其他方面。安全从业人员应该将他们宝贵的精力用于用户培训、以监视设施装备web应用、大量生产密码管理器以及强制推行双因子认证。如果你有多余的时间,尽快打好补丁。

钓鱼网站防御的四个阶段

说服用户了解实实在在的威胁是解决问题的重要起点。我们把钓鱼网站防御分为四个阶段:培训、评估、报告和执行。在这四个阶段投入时间和资源以建立你的钓鱼网站保护计划。

培训和评估是通过对话使你的用户了解情况并测试他们是否点击。这正在变成老生常谈。这些受过训练的用户会习惯于来找你讨论他们收到的可疑邮件。要让他们习惯于把这些可疑邮件转发到你的团队监视的邮箱中。用好这一方法,你就能把“点错一次就失去一切”的状况转变为“只需点一次钓鱼网站就能进行报告并保护所有人”。

装备你的web应用

一个靠谱的web应用可以帮助你进行渠道监视异常、用户密码重置、用户和管理员登入/登出、重要网络过滤器事件和授权用户事件(更新IP、添加域),甚至安全性打分机制,告诉你什么时候需要给系统打补丁。一个合适的web应用能让安全团队在恰当的时候获得正确的信息,得以做出正确的决定。

改善密码管理

这条最后防线的重点是将所有密码重用的痕迹从你的企业中移除,并全面推进双因子认证,这样,即使密码丢失,也不会一直有效。

由于资源往往稀缺(时间、金钱),把安全计划的重点放在防范攻击者,比在繁琐的监视上花费人员和工具更有意义。而采用以上列出的简单策略,你就可以建立一个经济实用的安全计划。

相关资讯:

甄别钓鱼网站防欺诈

一份来自中国反钓鱼网站联盟去年12月底的最新统计数据显示,当月已认定的并处理的钓鱼网站高达3575个。网民如何甄别钓鱼网站,防止被诈骗呢?

使用OV或EV SSL证书,抵御钓鱼网站威胁

如果假冒网站也用上了HTTPS,用户该如何判断真假呢?HTTPS加密提升了网站数据传输安全,但只有充分利用网站身份信息才能抵御钓鱼网站威胁。

新型钓鱼攻击:在Chrome、Firefox和Opera的眼皮下暗度成仓

Firefox和Opera浏览器中的已知漏洞使他们的假冒域名显示为合法网站,如苹果...通常情况下,对钓鱼攻击最好的防御手段是检查浏览器地址栏,看是否为有效的...

从DocuSign网络钓鱼事件,看钓鱼邮件攻击套路

并确认相关数据后才能继续使用等话术,搭配一个以假乱真的钓鱼网站骗取敏感...防止钓鱼邮件攻击需要构建系统化的防御体系,从服务器端防护、客户端防护...