A10陳志緯:加密流量中可能潛藏著資安風險

加密流量應該很安全,但很弔詭的資安犯罪反而日益猖獗,現在每個月多出150萬個新釣魚網站、10個惡意軟體中有6個是勒索軟體,資料流失風險是19倍成長,而WannaCry災害更遍及全球150國,包含知名企業如FedEx、Hitachi、Honda等均受其害。

(本文為2018網路資訊「無邊界網路安全研討會」新竹場之會後報導)

「回顧過往加密流量,從2013年25%~35% 的Internet加密流量,到了2018年已達75%,未來很可能接近100%。」A10台灣區資深技術經理陳志緯呼籲大家當關注日益增長的加密流量,加密流量中可能潛藏著資安風險。

加密流量應該很安全,但很弔詭的資安犯罪反而日益猖獗,現在每個月多出150萬個新釣魚網站、10個惡意軟體中有6個是勒索軟體,資料流失風險是19倍成長,而WannaCry災害更遍及全球150國,包含知名企業如FedEx、Hitachi、Honda等均受其害。

A10台灣區資深技術經理陳志緯

而這些危害有一半存在於加密流量中,一旦加了密現行資安設備即難以偵測防範,只能bypass掉,駭客也知道這個通道可規避檢查,會更加利用該管道進行入侵。若未來加密流量更多,從七成增至八成、九成,則資安設備的功效與價值將更趨弱。

針對此A10提出SSLi解決方案,用戶端欲對外存取Internet,過去是與遠端伺服器交換憑證,現在改與A10設備交換,透過A10 設備解密後,交由現有資案設備以明碼方式審核檢視是否有資安威脅,確認安全無虞時再由A10 設備加密送出,反之亦然。

若不是採行SSLi方案,則企業內每個資安設備均要自行執行「解密à檢查à重新加密」的程序,如此NGFW(新一代防火牆)、IPS入侵偵測、APT進階持續性威脅,皆反覆此一程序的結果將大量折耗企業網路效能與增加網路延遲。

陳志緯經理舉實際應用案例,台北市政府網站即導入A10 SSLi方案,一部裝於Internet出口端,一部裝於靠近伺服器端,透過出口設備匯入SSL伺服器憑證,除了前後放置A10 設備外原有企業網路與架構不需要太多改動。

前述為企業網站方案,反過來企業內的用戶要存取Internet網站也同樣運用A10 SSLi方案,企業內的網頁瀏覽器與A10 SSLi交換私有憑證並進行流量解密,台北市政府無論自有網站或員工對外存取Internet均有導入SSLi方案。

SSLi防護雖然理想但也有其挑戰,陳志緯經理說明幾個特殊情境,包含Certificate Pinning、CAC Authentication等,均有可能無法在SSLi設備階段進行解密,面對這些問題可透過匯入網站bypass 名單因應解決。

最後陳志緯經理也重申,導入與佈署SSLi方案相當快速方便,並不是大幅度的翻改工程,企業不用對此懼怕,事實上只要四個步驟即可完成,首先是在企業的Internet出口位置佈建一台SSLi設備(inline模式)及靠近使用者端或伺服器端佈建一台SSLi設備(inline模式),其次在企業內部佈署私有CA,第三漸進式導入使用者改用SSLi,第四則漸進導入伺服器改用SSLi,如此即告完成。

導入SSLi後,原有資安設備才能持續發揮功效,對日益增加的加密封包進行資安檢查,既保障企業原有資安投資,同時也不會過度折耗企業網路效能與增加網路延遲。期待有更多的企業能評估導入SSLi,共同建構更安穩無憂的資訊未來。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416