➤ 如何防範加密流量中的惡意行為?

完全加密的 Internet 即將出現,駭客可以利用它來存取您的網路。 當您今天打開任何網站時,很可能會在網址前面看到一個小鎖鑰的符號。對於日常Internet使用者,這是唯一可見的標誌,表示該網站是安全的,並且與該網站的通訊是加密的。

威脅四起

雖然到2017年底,加密 Internet 流量尚未到整體流量的一半,時至今日,這個數字已接近80%。

這種趨勢對於資安技術、風險管理及流量管理人員,所傳達的訊息是什麼呢?

由於流量加密可能使傳統安全技術(如防火牆)變得複雜或完全無法使用,因此產生新的隱憂;原本防火牆可以查看網路流量內的資訊,如今卻無法使用相同技術檢視網路封包,這勢必產生內部網路和伺服器遭受惡意軟體侵害的極大風險。

據 Ponemom研究顯示,加密流量在過去的12個月中傳播了大約一半的駭客攻擊。令人擔心的是,加密流量成長的百分比在接近100%時逐漸減緩,但加密通訊中的威脅卻倍數成長,同時它們的複雜性也日益嚴重。

而Zscaler也表示,在去年下半年,成功阻止了加密通訊中隱藏的17億(每月2.83億)次威脅。這些攻擊大多涉及網路釣魚,相較同期增長超過400%。其他威脅包括殭屍網路和嘗試利用作業系統或其他軟體的漏洞。

加密流量分析

在2019年初,Flowmon在其解決方案中加入了對加密通訊的「可視性」,為網路監控產業帶來新的突破。當惡意程式碼(惡意軟體)隱藏在此類通訊中,Flowmon 發佈了其他方法來分析加密通訊,此方法就是查找惡意行為的模式和特徵。

此過程如何執行:

由 TLS 交握的開始到結束,進行連接並交換加密金鑰和憑證,Flowmon 可以收集所有加密的通訊參數,如 TLS 伺服器版本、TLS 密碼套件、TLS 伺服器名稱指示、TLS 使用者端版本、TLS 憑證頒發者常見名稱、TLS 主題通用名稱、TLS 公開金鑰演算法、TLS 憑證有效期、TLS JA3指紋碼….等等。由這些訊息,我們可以針對這些數據執行許多運作及分析,因此,系統可以透過自動警報通知我們任何更改或特定事件,並執行各種操作(發送電子郵件、運行使用者腳本、發送 syslog或 SNMP trap …)。

分析JA3指紋碼

JA3 是一種建立 SSL /  TLS 使用者端指紋碼(fingerprint) 的方法,可以在任何平台上輕鬆產生,並且容易共享威脅情報。 TLS 及其前身 SSL,為簡單起見,我將其稱為「SSL」,原本基於安全因素而使用的加密通訊,但加密同時也會允許攻擊者隱藏惡意軟體。若要啟動 SSL 對話,使用者端必須經過 TCP 三向交握,發送 SSL 使用者端 Hello 封包(此數據封包及其生成方式取決於發起連線時,該使用者端的應用程序的定義)。如果伺服器接受 SSL 連結,伺服器將根據其資料庫以及使用者端 Hello 封包中的詳細資訊,產生出 SSL 伺服器端 Hello 封包進行回應。

由於 SSL 協商(negotiation) 是以明碼形式傳輸,因此它是可以編成「指紋碼」(fingerprint) ,得以偵測採用 SSL Hello 封包中的詳細資訊並識別使用者端的應用程序。

與根據 IP 或 domain 的入侵指標(Indicators of Compromise,IOC)相比,JA3 是一種更有效的檢測 SSL 上惡意活動的方法。由於 JA3 檢測到使用者端的應用程序,因此惡意軟體是否使用 DGA(Domain Generation Algorithms)或每個 C2 host使用不同的 IP,抑或即使惡意軟體使用 Twitter 進行合法的命令和控制(C2)服務時也無關緊要,因為 JA3 可以根據惡意軟體本身的通訊方式進行檢測, 而不是它傳遞的內容。這是一種直觀的方式,透過 Flowmon 查找與檢測特定 JA3 的指紋碼,進而發現相關的威脅。

FLOWMON監控中心的應用範例

透過網路上公開的資源,使用者足以收集相關感興趣並且希望監控的特定JA3 指紋碼資訊,並且透過使用「 tls -ja3」參數分析和 FMC (Flowmon Monitoring Center) filter 過濾器,直接過濾掉指紋碼所在的溝通訊息且同步分析收集的數據。然而,更進階的解決方案是建立一個配置文件,它將每天為我們提供即時的數據結果。

配置文件中存放了特定惡意代碼的 JA3 指紋:

以這種方式新增的配置,可以將結果輸出、由 PDF 發送報告、或者在此配置文件中輸入告警條件,採取一些具體行動…

在監控加密流量的情況下發出警報

許多希望在內部系統進行通訊時維持高安全性傳輸的企業或組織,以及使用網站進行商業活動的單位,也會使用憑證來確保由頒發機構在特定的時間內發出 HTTP 通信安全。企業或組織的任務是監控已頒發憑證的有效期,以防止數據在一段時間後產生漏洞。透過 Flowmon 及其對加密通訊的可視性,我們可以監控憑證到期的日期。由於可以進行設置並發送警報,這類型通訊因憑證到期而不受保護的情況將不再發生,因為系統可以及早通知我們憑證到期訊息,甚至是使用安全性較弱的 TLS 1.0。

在網路的指定網段中通知您有關憑證在 UNIXTIME 到期前約 24 小時的警報,或者是通知網段中使用弱加密的警報

 

結語

顯然,希望得到確實的威脅保護,企業或組織最終還是需要採用根據行為分析、人工智慧的使用以及對加密封包即時的可視性,這類型全新的保護方式。這些工具有機會在不降低網路吞吐量和應用程序效能的情況下,即時且關鍵地檢測加密流量中的惡意軟體。

現有安全策略的擴展不僅僅是為了暸解加密通訊中隱藏的內容,而且還有機會阻止各種威脅,例如中間人攻擊或嘗試數據竊取。

此技術對於稽核也很重要,因為它們允許檢測非最新的或與公司策略兼容的安全憑證通訊。此外,此技術也將允許一種控制加密強度的方法,並找到與數據加密相關的其他漏洞。除了使用非常費力且耗時的方法之外,現今大多數組織沒有無法輕易完成上述需求。




延伸閱讀:

Flowmon Networks 推出加密流量分析

監控加密通訊且兼顧隱私保護與可擴展性的唯一方式