洞悉 SSL 加密流量與資安設備的聯防應用最熟悉也是最親密的陌生人 林裕祥 Josh Lin Technical Manager
流量破 5 成, 加密成主流 根據 Firefox 的統計數據, 全球的 HTTPS 網路流量都維持在 50% 以上, 而從 Chrome 數據來看, 自 Windows macos 和 Linux 版 Chrome 造訪 HTTPS 網頁的比例都已超過 50%
免費的通用憑證, 加速了全球網路都加密
連色情網站都加密, 網站加密不再是難事
SSL/TLS Traffic is Pervasive and Introduces Risk 加密流量的普遍也帶來風險 73% 35% 50% 2013 2015 2017 of all malware will use SSL by 2017* Advanced Persistent Threats (APTs) increasingly use SSL/TLS as a transport Dyre, Zeus & Gameover trojans, VMZeus and Upatre Command & Control (C&C) *Source: Gartner
加密流量是雙面刃, 提供保護, 也隱蔽惡行
現有的安全架構是不夠的 目前的安全解決方案對 SSL 流量是盲目的 NETWORK FORENSICS DLP ANTI-MALWARE Advanced Threats Novel Malware Zero-Day Threats Targeted Attacks NGFW IDS / IPS Host AV Web Gateway SIEM Email Gateway DLP Web Application Firewall Modern APTs Next Gen Firewall Intrusion Prevention Zeus, Gameover, ShyLock, SpyEye LB s/ ADC s Costly upgrades: NGFW and IPS solutions.suffer up to 80% performance degradation*
失效的安全解決方案 - 加密流量的影響
可怕的是 SSL 加密流量將持續增長
檢查 SSL 流量誰來做? 誰可以做?
企業需要創新的方法 Symantec(Blue Coat) 的加密流量管理解決方案 : 1. 消除加密流量盲點 2. 打擊隱藏在加密流量的安全威脅 3. 保護隱私, 政策和法規遵從 降低風險 政策加強 保護隱私及確保合規性 必須最大限度地提高安全性基礎設施的投資回報率 (ROI)
加密流量管理的解決方案 ProxySG SSL Visibility SSL 可見性和完整代理策略控制僅適用於 Web 流量 符合法規解密流量以確保隱私 (BCWF Categories) 經由 ICAP 將解密的流量饋送到 AV,DLP 解決方案 可送出解密流量 (mirror) Encrypted TAP ( 選購 ) 所有 SSL 流量的可視性和策略控制 ( 所有 TCP Port, 所有流量 ) 符合法規解密流量以確保隱私 (Host Categorization) 獨立的高性能設備 支援 250Mbps-9Gbps SSL 流量 同時送出解密流量至多台資安設備 強化 IDS / IPS,NGFW,DLP,SWG, 安全分析 / 數位鑑識 惡意軟件分析 / 沙箱等原有資安設備
平衡資訊安全和數據隱私 個人隱私資料的顧慮 先進高級威脅的風險 1) 管理什麼類型的訊息需進行解密 解密的需求 2) 確保加密數據的保管和完整性
提升現有的安全基礎設施防護能力 ü Compliance Unified Threat Management Forensics SSL Visibility Appliance Intrusion Detection Firewall Intrusion Prevention Anti-Malware 專屬為應付 SSL 流量所開發的高效能高安全性解決方案 可管理所有 SSL 流量 包括是流入及流出方向 可擴充, 具備高彈性 Decrypt-Once, Feed Many 的設計 不需變更網路架構及 IP, 全透通並內建硬體旁路 容易理解且上手的政策引擎 基於靈活及圖形化的管理介面定義加解密流量的政策 (e.g. do not decrypt healthcare traffic )
部署的靈活性 inbound and outbound ssl OUTBOUND SSL Client Server INBOUND SSL Server Outbound SSL traffic Enterprise controls Client and SSL Visibility Appliance Install CA as trusted on client machines Inbound SSL traffic Enterprise controls Server and SSL Visibility Appliance Install copies of server(s) private key and certificate into SSL Visibility Appliance Client
簡易的設定, 讓你幾乎忘了你曾設定過 Ruleset Rule details Segment
不可或缺的 SSL 可視性專屬設備 一些企業已採用或計劃採用獨立的解密設計攔截和發送加密流量以進行檢查 IDC 認為, 在未來 5 年, 獨立加密設備, 應用交付控制器和其他用於解密和檢查網絡流量的解決方案支出將快速增加
為什麼需要 SSL 可視性專屬設備
NSS Labs 的建議
SSL 可視性專屬設備系列 Function SV800-250M SV800-500M SV1800 SV2800 SV3800 SV3800B-20 Total Packet Processing 8 Gbps 8 Gbps 8 Gbps 20 Gbps 40 Gbps 40 Gbps SSL Visibility Throughput 250 Mbps 500 Mbps 1.5 Gbps 2.5 Gbps 4 Gbps 9 Gbps Concurrent SSL Flow States (CPS) New Full Handshake SSL sessions (CPS) (i.e. Setups / Tear Downs) 1024-bit keys 2048- bit keys ECDHE256 20,000 20,000 100,000 200,000 400,000 800,000 1,000 1,000 500 2,000 2,000 1,000 8,000 3,000 3,500 12,500 3,000 6,000 15,000 6,000 8,000 30,000 6,000 11,000 Configuration Fixed Fixed Fixed Modular 3 Slots Modular 7 Slots Modular 7 Slots Input / Output Resiliency Network Modules (Net Mods) Host Categorization License 8 10/100/1000 Copper (fixed) N / A 8 10/100/1000 Copper or Fiber (fixed) Fail-to-Wire (FTW) / Fail-to-Appliance (FTA) 2x10G-Fiber, 4x1G Copper, 4x1G Fiber Network Mods 4 port copper 1G : NTMD-SV-4x1G-C 4 port fiber 1G : NTMD-SV-4x1G-F 2 port fiber 10G SR : NTMD-SV-2x10G-SR 2 port fiber 10G LR : NTMD-SV-2x10G-LR 1 Year license option 3 Year license option
加密流量的策略執行 Policy-based enforcement Using Host categories, IP addresses, CA status, QoS, Subject/Domain Name and more Decides to decrypt or not based on category of service being accessed over SSL Host Categorization Service Based on familiar categorizes utilized in ProxySG, PacketShaper and more Leverages the Blue Coat Global Intelligence Network Enables whitelist and blacklist -based policies A subscription-based license 1-Year and 3-Year Options P P Policy Example: P Block or decrypt traffic from malicious and suspicious encrypted sites/hosts and malnets P P P P P
SSL 可見性提高現有設備投資價值 Anti- Security Malware Analytics IDS / IPS NGFW DLP 解密一次 - 供應多設備 Global Intelligence Network Policy categories WW malware reporting & blocking
DLP 與 SSLVA 的整合 Administration: Detection: Integrated Components: Enforce Network Monitor SMTP, HTTP/HTTPS, IM, FTP, any TCP-Based port SSL visibility Achieve PII, PCI and HIPAA compliance Network Monitor SSLV appliance Oracle
加密流量對企業的重大衝擊資安設備盲點成本的浪費 Network Security Blind Spot Cost Calculator In addition to enhancing your existing security infrastructure by removing the SSL blind spot, use this calculator to see it is costing you by having tools that cannot see and control encrypted traffic.
加密流量管理 - 總結 企業流量中 SSL 加密流量比例約佔 35-75% 先進高級威脅使用加密來隱藏 大多數資訊安全解決方案對 SSL 是 盲 的 Symantec(Blue Coat) 加密流量管理 ProxySG SSL Visibility Appliance 投報率視角 : 網路安全基礎設施每投資 10,000 元, 就有 7,500 元由於 SSL 流量被浪費了 For a typical enterprise: 35% of network traffic is SSL encrypted For those security solutions that can see and inspect SSL, performance degrades between 30 % and 80% Wasted or Lost Investment due to Lack of Visibility into SSL Extended Loss due to Poor Performance / Throughput 目前的安全解決方案通常對 SSL 是 盲 的然而, 這些解決方案, 有些雖然可以看到和檢查 SSL 流量, 但是會面臨高達 80% 的性能損失, 一旦它被啟用 大大降低了投報率
聯防 NGFW - 阻擋 Cisco SSL 網站 解密前, 無法辨識為何種應用程式, 僅顯示 SSL 解密後, 可明確辨識為 web-browsing
聯防 NGFW - 偵測惡意檔案 成功解密 Eicar 站台 解密後, 有效掃描到惡意檔案
聯防 NGFW - 偵測 SQL Inject 攻擊 成功解密 www.bluecoat.com SQL Inject 攻擊測試 https://www.bluecoat.com/?mod=area&func=style_show&rg_no=dcaf&bb=cp and 1=1 解密後, 有效偵測到攻擊事件
聯防 NGFW - 阻擋特定檔案上傳 成功解密 Gmail 站台 解密後, 有效偵測並阻擋特定類型的檔案
聯防 NGFW - 阻擋機敏資料上傳 成功解密 Gmail 站台 解密後, 有效偵測並阻擋含機敏資料的檔案
聯防 IPS -Events Event 顯示 443 port, application protocol 辨識為 HTTP, 也可看到 Client 及完整的 URI
Thank you! Josh Lin josh.lin@netfos.com.tw Copyright 2016 Symantec Corporation 33