|
|
|
联系客服020-83701501

对付恶意的加密通信的七大防御要点

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约

  进入互联网+时代,如果黑客进入企业网络,遭受攻击的企业就会面临故障和宕机、收入降低、客户丢失、知识产权失窃等,还要花费高昂的成本来修复损害和对声誉的破坏,所以越来越多的企业开始注重网络安全,对企业数据、用户数据进行部署SSL证书实施HTTPS加密,但同时黑客们也在使用加密来隐藏其恶意企图。即使部署SSL证书后,黑客还是可以隐藏在加密通信中,并渗透到企业网络,安装恶意软件,并从多个终端窃取数据。对付恶意的加密通信的最佳防御非常重要的。下面让我们来了解一下对付恶意加密通信的防御要点。

对付恶意的加密通信的七大防御要点

  SSL证书

  SSL证书是SSL安全的重要组成部分,并指示用户网站是否可信。基于此,SSL必须是从可靠的证书颁发机构(CA)获取,而且CA的市场份额越大越好,因为这意味着证书被撤销的几率更低。企业不应该依靠自签名证书。企业最好选择采用SHA-2散列算法的证书,因为目前这种算法还没有已知漏洞。

  扩展验证(EV)证书提供了另一种方法来提高对网站安全的信任度。大多数浏览器会将具有EV证书的网站显示为安全绿色网站,这为最终用户提供了强烈的视觉线索,让他们知道该网站可安全访问。

  为确保SSL的性能检查满足目前和未来的需要,企业需要做到如下方面:

  用2048位的SSL密钥来测试SSL检查的速度;

  确保平台能够处理吞吐量需求,并有额外的能力可以应对峰值通信。

  禁用过时的SSL版本

  较旧版本的SSL协议是导致SSL安全问题的主要因素。SSL 2.0早就遭受攻击,并应该被禁用。而因为POODLE攻击的发现,SSL 3.0 现在也被视为遭受破坏,且不应该被支持。Web服务器应该配置为在第一个实例中使用TLSv1.2,这提供了最高的安全性。现代浏览器都支持这个协议,运行旧浏览器的用户则可以启用TLS 1.1和1.0支持。

  安全基础设施运行时间和功能最大化

  安全基础设施必须正常运行,并且完全可用,从而阻止网络攻击和防止数据泄露。如果安全基础设施无法正常运行,就无法检测到威胁,导致恶性攻击、收入减少、品牌损失。企业应关注能够具备如下特性的CA机构:

  扩增安全部署实现负载均衡;

  检测和绕过失效的安全设备,避免网络失效;

  支持高级监视,快速确认网络或应用程序的错误;

  禁用TLS压缩与混合内容

  CRIME攻击通过利用压缩过程中的漏洞,可解密部分安全连接。而禁用TLS压缩可防止这种攻击。另外要注意,HTTP压缩可能被TIME和BREACH攻击利用;然而,这些都是非常难以完成的攻击。应该在网站的所有区域启用加密。任何混合内容(即部分加密,部分未加密)都可能导致整个用户会话遭攻击。

  安全的SSL证书和密钥

  SSL证书和密钥形成了加密通信的信任基础。如果SSL证书和密钥遭受破坏,攻击者就可以用来窃取数据。SSL检查平台能够分析出站和入站的SSL通信,必须能够安全地管理大量的SSL证书和密钥。CA机构应当:

  保护存储在SSL检查平台上的SSL密钥;

  与能够发现和控制证书的第三方SSL证书管理方案实现集成;

  解密符合标准加密通信

  不仅加密通信量在不断增长,企业和攻击者所使用的加密复杂程度也在提升。企业可以使用2048位的SSL密钥、ECC(椭圆曲线密码)、PFS(完全前向保密)及其它技术来防御窃取者。而且CA机构必须支持2048位的SSL密钥长度和高级SSL和TLS加密;解密所有数据,包括SSL的转发;如果通信无法被解密,就通知用户。

  安全cookie

  确保所有控制用户会话的cookie都设置了安全属性;这可防止cookie通过不安全的连接被暴力破解和拦截。与此类似,还应该启用HSTS以防止任何未加密连接。

  以上就是“对付恶意的加密通信的七大防御要点”的全部内容,如果有疑问或建议,欢迎咨询客服。数安时代竭诚为您服务。

数安新闻+更多

证书相关+更多