进入互联网+时代,如果黑客进入企业网络,遭受攻击的企业就会面临故障和宕机、收入降低、客户丢失、知识产权失窃等,还要花费高昂的成本来修复损害和对声誉的破坏,所以越来越多的企业开始注重网络安全,对企业数据、用户数据进行部署SSL证书实施HTTPS加密,但同时黑客们也在使用加密来隐藏其恶意企图。即使部署SSL证书后,黑客还是可以隐藏在加密通信中,并渗透到企业网络,安装恶意软件,并从多个终端窃取数据。对付恶意的加密通信的最佳防御非常重要的。下面让我们来了解一下对付恶意加密通信的防御要点。
第一、SSL证书
SSL证书是SSL安全的重要组成部分,并指示用户网站是否可信。基于此,SSL必须是从可靠的证书颁发机构(CA)获取,而且CA的市场份额越大越好,因为这意味着证书被撤销的几率更低。企业不应该依靠自签名证书。企业最好选择采用SHA-2散列算法的证书,因为目前这种算法还没有已知漏洞。
扩展验证(EV)证书提供了另一种方法来提高对网站安全的信任度。大多数浏览器会将具有EV证书的网站显示为安全绿色网站,这为最终用户提供了强烈的视觉线索,让他们知道该网站可安全访问。
为确保SSL的性能检查满足目前和未来的需要,企业需要做到如下方面:
用2048位的SSL密钥来测试SSL检查的速度;
确保平台能够处理吞吐量需求,并有额外的能力可以应对峰值通信。
第二、禁用过时的SSL版本
较旧版本的SSL协议是导致SSL安全问题的主要因素。SSL 2.0早就遭受攻击,并应该被禁用。而因为POODLE攻击的发现,SSL 3.0 现在也被视为遭受破坏,且不应该被支持。Web服务器应该配置为在第一个实例中使用TLSv1.2,这提供了最高的安全性。现代浏览器都支持这个协议,运行旧浏览器的用户则可以启用TLS 1.1和1.0支持。
第三、企业使安全基础设施的正常运行时间和功能达到最大化
安全基础设施必须正常运行,并且完全可用,从而阻止网络攻击和防止数据泄露。如果安全基础设施无法正常运行,就无法检测到威胁,导致恶性攻击、收入减少、品牌损失。企业应关注能够具备如下特性的CA机构:
扩增安全部署实现负载均衡;
检测和绕过失效的安全设备,避免网络失效;
支持高级监视,快速确认网络或应用程序的错误;
第四、禁用TLS压缩与禁用混合内容
CRIME攻击通过利用压缩过程中的漏洞,可解密部分安全连接。而禁用TLS压缩可防止这种攻击。另外要注意,HTTP压缩可能被TIME和BREACH攻击利用;然而,这些都是非常难以完成的攻击。应该在网站的所有区域启用加密。任何混合内容(即部分加密,部分未加密)都可能导致整个用户会话遭攻击。
第五、安全地管理SSL证书和密钥
SSL证书和密钥形成了加密通信的信任基础。如果SSL证书和密钥遭受破坏,攻击者就可以用来窃取数据。SSL检查平台能够分析出站和入站的SSL通信,必须能够安全地管理大量的SSL证书和密钥。CA机构应当:
保护存储在SSL检查平台上的SSL密钥;
与能够发现和控制证书的第三方SSL证书管理方案实现集成;
第六、解密所有符合标准的加密通信
不仅加密通信量在不断增长,企业和攻击者所使用的加密复杂程度也在提升。企业可以使用2048位的SSL密钥、ECC(椭圆曲线密码)、PFS(完全前向保密)及其它技术来防御窃取者。而且CA机构必须支持2048位的SSL密钥长度和高级SSL和TLS加密;解密所有数据,包括SSL的转发;如果通信无法被解密,就通知用户。
第七、安全cookie和HTTP严格传输安全(HSTS)
确保所有控制用户会话的cookie都设置了安全属性;这可防止cookie通过不安全的连接被暴力破解和拦截。与此类似,还应该启用HSTS以防止任何未加密连接。
以上就是“对付恶意的加密通信的七大防御要点”的全部内容,如果有疑问或建议,欢迎咨询客服。数安时代竭诚为您服务。
领取优惠
提交成功!