-
-
[分享]快被加密流量检测整死了……
-
发表于: 15小时前 216
-
又被黑了!就因为业务区加密流量没解密,检测设备没反应。老王被领导劈头盖脸的骂,还要求追溯全过程。他突然想起防火墙是自带解密功能的,结果一测性能掉得跟自由落体似的,业务卡顿,客户投诉,老王焦头烂额。听说市面上还有很多加密流量检测方案,老王决定寻摸一下。
第1位 不解密检测误报太多了
老王一开始就准备选择不解密的方法检测加密流量,该技术主要通过对会话特征、时空特征等进行分析,不对核心加密内容进行深度拆包,因此非常节省性能。
但在测过之后……
老王发现,在实际环境中误报率达到10%以上,而且也不能很好的解释为什么产生告警。
第2位 旁路解密不支持TLS1.3
这样不行,不解密实在不靠谱。突然,老王看到有NDR宣称可以旁路解密。
乍一看,这很强啊,可以抓取秘钥,还不用串进去,不会影响整个网络。
但实际上,如果是椭圆曲线秘钥交换算法ECDHE,秘钥是本地随机生成的,并不在流量中传输,NDR就抓不到了,自然就无法解密。现在主流的TLS1.3基本都是用的ECDHE,防的就是旁路流量监听。
第3位 SSLO太贵了
既然不解密误报太高,旁路又解不了,这不老王开始研究SSLO了。
SSLO不做检测、不做拦截,专门做解密,而且是SSL/TLS统一卸载,再通过流量编排技术将明文流量分配给不同的检测设备。
说实话,老王有点心动。但现实很快给他浇了一盆冷水,这东西太贵了。
如果每一个网络出口都部署一套SSLO,这得买多少台?而且解密编排性能消耗较大,必须要把硬件性能堆上去,这些都是钱。
老王看了看手里的预算,想想还是算了。
第4位 旁路解密支持TLS1.3
“老板,我家也能旁路解密,TLS1.3也能解,只需要在主机上部署轻量化Agent……”
老王心想:“这谁家NDR这么会玩?Agent可以抓取服务端随机生成的秘钥并传送给NDR,这样就能解密了,不受TLS1.2还是TLS1.3的影响。让我测一测。”
哦,原来是微步威胁感知平台TDP啊!解密覆盖全、性能开销小、误报率低,以后搞加密流量检测,就靠TDP了。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
赞赏
- [分享]快被加密流量检测整死了…… 217
- [分享]漏洞发现,除了漏扫还能靠啥? 740
- [分享]投入信创终端安全建设,我们到底要防什么? 1490
- [分享]是时候给杀毒和EDR“松绑”了 1622
- [分享]蔚来背后的“流量”安全密码 1632