首页
社区
课程
招聘
[分享]快被加密流量检测整死了……
发表于: 15小时前 216

[分享]快被加密流量检测整死了……

15小时前
216

又被黑了!就因为业务区加密流量没解密,检测设备没反应。老王被领导劈头盖脸的骂,还要求追溯全过程。他突然想起防火墙是自带解密功能的,结果一测性能掉得跟自由落体似的,业务卡顿,客户投诉,老王焦头烂额。听说市面上还有很多加密流量检测方案,老王决定寻摸一下。

第1位 不解密检测误报太多了

老王一开始就准备选择不解密的方法检测加密流量,该技术主要通过对会话特征、时空特征等进行分析,不对核心加密内容进行深度拆包,因此非常节省性能。

但在测过之后……

老王发现,在实际环境中误报率达到10%以上,而且也不能很好的解释为什么产生告警。

第2位 旁路解密不支持TLS1.3

这样不行,不解密实在不靠谱。突然,老王看到有NDR宣称可以旁路解密。

乍一看,这很强啊,可以抓取秘钥,还不用串进去,不会影响整个网络。


但实际上,如果是椭圆曲线秘钥交换算法ECDHE,秘钥是本地随机生成的,并不在流量中传输,NDR就抓不到了,自然就无法解密。现在主流的TLS1.3基本都是用的ECDHE,防的就是旁路流量监听。

第3位 SSLO太贵了

既然不解密误报太高,旁路又解不了,这不老王开始研究SSLO了。


SSLO不做检测、不做拦截,专门做解密,而且是SSL/TLS统一卸载,再通过流量编排技术将明文流量分配给不同的检测设备。

说实话,老王有点心动。但现实很快给他浇了一盆冷水,这东西太贵了。


如果每一个网络出口都部署一套SSLO,这得买多少台?而且解密编排性能消耗较大,必须要把硬件性能堆上去,这些都是钱。


老王看了看手里的预算,想想还是算了。

第4位 旁路解密支持TLS1.3

“老板,我家也能旁路解密,TLS1.3也能解,只需要在主机上部署轻量化Agent……”

老王心想:“这谁家NDR这么会玩?Agent可以抓取服务端随机生成的秘钥并传送给NDR,这样就能解密了,不受TLS1.2还是TLS1.3的影响。让我测一测。”

哦,原来是微步威胁感知平台TDP啊!解密覆盖全、性能开销小、误报率低,以后搞加密流量检测,就靠TDP了。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//