無(wú)處不在的加密也對(duì)企業(yè)安全造成了困擾——因?yàn)榧用芗夹g(shù)的存在，發(fā)現(xiàn)敏感數(shù)據(jù)流出或者檢測(cè)惡意軟件與其命令和控制服務(wù)器的通信變得更加困難。

云郵件服務(wù)、在線存儲(chǔ)網(wǎng)站，以及其他云應(yīng)用提供商已經(jīng)開(kāi)始加密流量了。甚至社交網(wǎng)站都在加密他們的通信數(shù)據(jù)。最近，火狐也在實(shí)驗(yàn)將加密擴(kuò)展到網(wǎng)頁(yè)的各個(gè)部分。

戴爾最近的一份報(bào)告指出，進(jìn)出企業(yè)防火墻的加密數(shù)據(jù)流量在去年里翻了一番，目前已經(jīng)占據(jù)全部通信流量的60%。但是，并不是所有的企業(yè)都對(duì)流經(jīng)企業(yè)網(wǎng)絡(luò)的流量全部進(jìn)行加密做好了準(zhǔn)備。

幸運(yùn)的是，盡管美國(guó)國(guó)防部門(mén)和情報(bào)機(jī)構(gòu)無(wú)力阻止加密的迅速擴(kuò)張，企業(yè)依然可以采取一些措施來(lái)保證加密是利于企業(yè)發(fā)展而非相反。比如，最新型智能防火墻能夠解密并監(jiān)控進(jìn)出防火墻的數(shù)據(jù)，幫助公司進(jìn)行資料外泄防護(hù)和惡意軟件監(jiān)控。

該升級(jí)的防火墻

受無(wú)處不在的加密影響最大的，應(yīng)該是使用舊式防火墻和數(shù)據(jù)外泄防護(hù)解決方案的那些企業(yè)。

一旦瀏覽器開(kāi)始加密所有東西，識(shí)別惡意流量將變得更加困難。安全分析員需要切實(shí)看到進(jìn)出的流量才能判斷敏感數(shù)據(jù)是否正在流出或者惡意軟件有沒(méi)有被下載。加密在保護(hù)數(shù)據(jù)不被窺探的同時(shí)，也妨礙保護(hù)機(jī)制對(duì)惡意活動(dòng)的檢測(cè)。

據(jù)一份調(diào)查報(bào)告，傳統(tǒng)的網(wǎng)絡(luò)設(shè)備對(duì)60%的流量完全視若無(wú)睹。問(wèn)題非常嚴(yán)重。不過(guò)，解決方案早已推出市場(chǎng)，以網(wǎng)頁(yè)代理和其他能夠提供解密方法的安全設(shè)備的形式。有了這些解決方案，就能使安全設(shè)施能夠檢查加密流量。

在過(guò)去，對(duì)流量進(jìn)行解密和分析的系統(tǒng)往往會(huì)影響通信性能。因此必須購(gòu)買(mǎi)專(zhuān)用設(shè)備來(lái)進(jìn)行安全套接層(SSL)的卸載。另一個(gè)選擇是基于云的網(wǎng)頁(yè)應(yīng)用防火墻——盡管這讓企業(yè)不得不將自己的SSL密鑰交付給外部廠商。

流氓加密危害大

問(wèn)題是外部代理并不總能夠解密所有進(jìn)出公司系統(tǒng)的流量。

比如，使用未經(jīng)公司批準(zhǔn)的自有加密程序仍然可以加密文檔，再將文檔發(fā)送至云存儲(chǔ)、文件共享網(wǎng)站、個(gè)人電子郵件賬戶(hù)，或者不可信的第三方。而采用加密來(lái)隱藏惡意流量的惡意程序可不會(huì)與公司防火墻分享他們的密鑰。

不過(guò)也可這樣來(lái)想，即使不能解密這些數(shù)據(jù)流量，未經(jīng)批準(zhǔn)的加密流量本身就已經(jīng)是警報(bào)信號(hào)了。另外，惡意軟件有可能根本不知道它得經(jīng)過(guò)代理服務(wù)器才能連接上目標(biāo)主機(jī)。如果在網(wǎng)絡(luò)環(huán)境中發(fā)現(xiàn)始終有持續(xù)不斷的網(wǎng)絡(luò)監(jiān)控，就能夠分辨出是客戶(hù)發(fā)起的合法SSL連接還是惡意軟件的未授權(quán)連接。

當(dāng)然，惡意軟件作者們也會(huì)適應(yīng)環(huán)境的改變。

監(jiān)控流量目的地址和源地址

處理加密流量的另一種方法，是查找可疑目的地址。

攻擊者仍然需要將數(shù)據(jù)偷運(yùn)出公司，而且他們通常使用已知的惡意基礎(chǔ)設(shè)施作為目的地。即使安全團(tuán)隊(duì)查不到加密流量?jī)?nèi)部的真實(shí)數(shù)據(jù)，依然可以通過(guò)觀察流量目的地來(lái)判斷是否發(fā)生了數(shù)據(jù)泄露。

除了已知惡意站點(diǎn)，公司還可以找尋其他標(biāo)明流量非法的信號(hào)。舉個(gè)例子，如果流量奔向Tor匿名網(wǎng)絡(luò)，那就可以直接阻止這一通信請(qǐng)求。然后流量源頭也是可以觀察的地方，并非所有的企業(yè)系統(tǒng)都需要與外界通信。

有時(shí)候問(wèn)題不在于流量是否加密，而是應(yīng)不應(yīng)該出現(xiàn)流量。傳向陌生IP地址的大量數(shù)據(jù)就是潛在威脅的指示器。”

小心隱私問(wèn)題

當(dāng)員工對(duì)隱私權(quán)有所保留，比如說(shuō)工作間隙用互聯(lián)網(wǎng)處理點(diǎn)私事兒，那么IT部門(mén)發(fā)出的“此行為違反了公司通信守則”的警告會(huì)引起什么樣的反感?

建議企業(yè)最好讓員工明確知道當(dāng)自己登錄公司系統(tǒng)時(shí)自己的通信是被監(jiān)控的。這種做法可以顯示出公司是坦率的，而且還有減少公司設(shè)備和帶寬被濫用的額外好處。

或者，公司也可以選擇不檢查特定目的地址的流量，比如與個(gè)人財(cái)務(wù)狀況有關(guān)的網(wǎng)站。設(shè)置一個(gè)白名單，不解密到與社交網(wǎng)絡(luò)或金融等涉及個(gè)人事務(wù)的網(wǎng)站的流量。