隨著網路犯罪分子越來越擅長使用加密數據來攻擊目標,指紋識別技術可以用來幫助檢測和防止攻擊的成功。JA3 指紋技術利用了加密通訊期間,客戶端和伺服器之間交換的數據來建立指紋特徵。指紋特徵可以與特定應用程式的預期值,或已知的駭客簽名進行比較,從而提供一種有效的解決方案來幫助阻止攻擊。
當今的數據加密和駭客攻擊
數據加密會打散靜止和傳輸中的資訊。它的目的是用來保護組織的數據不被攔截、竊取或洩露。 對於用戶訪問的資訊,則需要特殊的密鑰來解鎖和翻譯加密的內容。
不幸的是,駭客越來越擅長將惡意軟體隱藏在加密數據中。最近的一項研究表明,2020 年全球近一半的惡意軟體隱藏在加密數據的封包中。僅在 2021 年第二季度,超過 90% 的惡意軟件攻擊都是通過加密數據進行的。
隨著越來越多的數據存儲在雲端,駭客正在利用這些平台,在這些受到信任的連線中夾帶攻擊。由於使用傳輸層安全 (TLS) 加密作為標準的流量如此之大,給予駭客更多的空間可利用並挾帶並隱藏惡意的程式碼。
COVID-19 大流行還意味著更多的人在家工作,也進一步加劇了資安風險。雖然大約 80% 的數據是加密的,但越來越多地使用個人設備、家庭網路和無線連接,也增加了這些重要數據的脆弱程度。
TLS 加密已成為企業或組織首選的防禦措施,包括發送或接收來自 HTTPS Web 伺服器器、VoIP 電話或其他來源的App 應用軟體數據。然而,今天的駭客正在以陰險的方式利用加密數據。
駭客可以將惡意軟體隱藏在加密的 TLS 流量中,然後利用某個攻擊面來上傳惡意文件、發出指令或竊取數據。而最大的挑戰在於必須檢測惡意訊息。如果駭客做得好,惡意的數據就很難與正常的數據有所分別。
已經有幾種不太理想的方法來檢測 TLS 流量中的惡意軟體。使用黑名單列表需要定期更新,這可能意味著保護措施可能也已經過時。進行內容檢測需要對流量進行解密、檢查和重新加密,但這還有其他問題——會增加的成本和延遲、破壞信任的風險、合規性問題以及如何檢查非 TLS 的流量。
什麼是 JA3 指紋特徵技術?
JA3 指紋識別是解決在加密流量中檢測惡意軟體問題的一個優雅解決方案。多位 Salesforce 研究人員於 2017 年首次將其作為解決方案推出,它已成為幫助保護網路安全的寶貴方法。
該解決方案使用用戶端和伺服器之間發生的 Handshaking。在這些 Handshaking 過程中,需要就多個參數協調達成一致,包括 TLS 版本、TLS 擴充功能的長度、密碼套件、橢圓曲線組和橢圓曲線點格式。這些 Handshaking 可被轉換成 32 個字符的 MD5 Hash 值、客戶端和伺服器端的 JA3 指紋特徵。有了 JA3 指紋特徵,檢測系統就可以開始工作了。
威脅檢測工具可以將 JA3 指紋與給定加密應用程式的預期指紋以及惡意駭客的已知指紋特徵進行比較。
保護您的數據
隨著駭客手法變得更加細緻,防禦方式也變得更加複雜。在 NetQuest,我們提供採用 JA3 指紋識別和其他尖端技術的網路安全解決方案,以幫助檢測和緩解威脅。
我們的威脅檢測系統可防禦電信網路、高速網際網路的骨幹和匯聚網路層等方面的威脅。NetQuest 讓您能夠發現惡意威脅並在它們對您的資安造成損害之前阻止它們。
Source: https://netquestcorp.com/ja3-fingerprinting-is-on-the-rise/ (JA3 Fingerprinting is On The Rise)