本文主要是介绍破解TLS:这么做真的有利于安全吗?,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
破解TLS一般可以通过加载一个检验性的CA证书来完成,该证书通过你的TLS检验设备来动态生成证书。来自该CA的公钥被加载到网络中的所有客户端。当一个域被请求时,一个证书随之生成,并被返回给请求方。请求方就有了一个到TLS检验设备的可信连接,然后该设备就会发起一个到目的地的连接。这样,用户就有了一个到他们请求的资源的“可信”连接,而安全团队可以监视整个会话。这一行为被称为“中间人”,通常会给我们带来危险。破解TLS有它合情的出发点但却并不合理、也不安全:
- 我们已经使用户愿意“相信这把锁”。笔者认为信任浏览器是一个好的安全计划的基石。今天你偶然点进一个钓鱼网站,都会通过浏览器注意到该连接是不安全的,然后关闭窗口。而当你破解了TLS后,你就会使用户直接面对各种各样的钓鱼攻击,同时向他们展示象征安全的绿锁。假设90%的攻击是以钓鱼开始的话,那么破解TLS最终将损害信息安全。
- 当你破解了TLS后,很多工具都会崩溃。一些app的验证机制要么太强(证书绑定),要么太弱(对一个出现过的CA自动验证一些字段的有效性)。当你把自己置于其中时,你肯定会以某些无法预计的方式破解掉这些app。这对用户来说的确是一件糟糕的事情,而且还是那些“安全人员”造成的。我曾经亲眼见过开发人员花费大量时间来解决破解TLS给他们的工具带来的问题。
- 这样的网络安全监视真的值得吗?将所有网络通信收集到你的网关然后进行分析是一项很艰巨的工作。入侵监测不仅需要在软件方面投入数百万美元,而且还要在安全事件管理以及最重要的监控人员方面进行投入。问问自己“这是为了什么?”你上次通过你的入侵监测设施发现入侵者是什么时候?
如果你对以上问题没有一个有说服力的答案,那么请考虑把你的时间和资源投入到其他方面。安全从业人员应该将他们宝贵的精力用于用户培训、以监视设施装备web应用、大量生产密码管理器以及强制推行双因子认证。如果你有多余的时间,尽快打好补丁。
钓鱼网站防御的四个阶段
说服用户了解实实在在的威胁是解决问题的重要起点。我们把钓鱼网站防御分为四个阶段:培训、评估、报告和执行。在这四个阶段投入时间和资源以建立你的钓鱼网站保护计划。
培训和评估是通过对话使你的用户了解情况并测试他们是否点击。这正在变成老生常谈。这些受过训练的用户会习惯于来找你讨论他们收到的可疑邮件。要让他们习惯于把这些可疑邮件转发到你的团队监视的邮箱中。用好这一方法,你就能把“点错一次就失去一切”的状况转变为“只需点一次钓鱼网站就能进行报告并保护所有人”。
装备你的web应用
一个靠谱的web应用可以帮助你进行渠道监视异常、用户密码重置、用户和管理员登入/登出、重要网络过滤器事件和授权用户事件(更新IP、添加域),甚至安全性打分机制,告诉你什么时候需要给系统打补丁。一个合适的web应用能让安全团队在恰当的时候获得正确的信息,得以做出正确的决定。
改善密码管理
这条最后防线的重点是将所有密码重用的痕迹从你的企业中移除,并全面推进双因子认证,这样,即使密码丢失,也不会一直有效。
由于资源往往稀缺(时间、金钱),把安全计划的重点放在防范攻击者,比在繁琐的监视上花费人员和工具更有意义。而采用以上列出的简单策略,你就可以建立一个经济实用的安全计划。
这篇关于破解TLS:这么做真的有利于安全吗?的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
