採用 TLS 1.3 版來為網際網路流量加密,為網路安全和消費者隱私提供了諸多好處。更新的 TLS 1.3 版本支持更快的通信速度和「完美前向保密」 (PFS) 所需的強大的加密演算法、並且移除了 TLS 1.2 版中存在的漏洞。初始化 TLS 連線建立的過程造成的延遲已顯著減少,為上網的用戶帶來更快的網頁瀏覽體驗。
此外,實作 TLS 1.3也相對簡單。用於客戶端和伺服器協商互換的同一個加密密鑰,可以重複用於重新協商後續的 TLS 交握。TLS 1.3 的參數預設,採用了 PFS 來實現更高等級的加密。這種加密技術為加密數據增加了另一層安全性。PFS 使攻擊者難以解密 HTTPS 加密流量,有效提高網際網路用戶的隱私。
TLS 1.2 仍可用於提供安全通訊,儘管隨著時間的推移,已經有多個漏洞被利用,而且大部份的加密演算法已經過時。TLS 1.3 已經修正了這些有資安疑慮的漏洞,並且迄今為止被揭露漏洞仍然很少。
TLS 1.3 標準從網路流量加密過程中刪除了重新協商功能。TLS 1.2的重新協商允許具有已知 TLS 連線時伺服器和客戶端協商新的通訊參數。這是 TLS 1.2 中的一個主要缺陷,因為交握過程涉及多次往返導致延遲顯著的增加。但是,TLS 1.3則允許交換訊息之前只需要一次來回的初始交握。TLS 1.3 協定中所改進的機制,在使用標準瀏覽器時提供了額外的安全性,並減少了延遲。
TLS 1.3 帶來了哪些挑戰以及網路安全團隊該如何應對?
為了提高網路資訊傳輸的安全性,網路社群改進了現有的 TLS 協定——一種稱為 PFS 的嚴格安全協定,可以保護歷史數據的機密性,即使伺服器的私鑰被洩露。
為了改進資訊和數據的安全,改良後的保護機制與加密協定引進了像是 TLS 1.3 或 Google QUIC,反而引起了網路安全團隊的擔憂,並且對於需要網路可視化的應用造成了重大的挑戰。
使用 TLS 1.3 協定的加密網路數據為資安威脅分析工具帶來了新的盲點。結果導致網路安全團隊原先所監控的網路變得一片漆黑,大大增加了來自惡意軟體、殭屍網路活動,或來自其他威脅媒介的網路風險。
隨著網路犯罪分子不斷發展策略,並且利用更強大的網路加密協定,新的安全漏洞也不斷的被發現。為了盡快清除這些威脅,安全團隊必需發展新的作法來分析其網路上的流量。
透過定期引入和評估用於分析加密流量的新機制。基於行為分析的技術,通過反覆搜尋和過濾數以百萬計的 網路流資訊 (Flow data),來分析網路通訊,同時與多重威脅情報源進行比較,以利用機器學習技術並識別異常流量。加密流量的特徵識別(例如 JA3/JA3S 特徵)是另一種最新的方法,它使用 TLS 交握過程中清未被加密資訊或參數,來識別入侵指標 (IoC),以協助執行威脅偵測的任務。
結論
TLS 1.3 提供的隱私功能有助於保護傳輸過程中的數據,並為消費者和企業帶來顯著的好處。然而,這種額外的安全性卻增加了各國政府和企業集體暴露;在來自背後有組織支持的網路威脅。幸運的是,網路社群正在迅速有效地做出回應。
為了領先於駭客和網路犯罪分子,組織必須持續尋找分析網路流量和降低資安威脅的新方法。無論 TLS 版本為何,網路安全團隊都必須找到方法來達成網路可視化。各種加密流量分析方法(例如 JA3 特徵碼)可用於識別入侵指標(IOC)並幫助將低威脅。但資安威脅追踪社群也需要能繼續創新和發展,以確保網路安全。
您可以使用 NetQuest 的 SNS 網路流感應器來提昇網路威脅偵測解決方案,並優化 TLS 加密流量的可視化。