随着网络技术的发展,网络安全也备受网络运维人的关注,黑客要提防,同时还要警惕“内鬼”生变。近期,Gigamon做了一项研究,发现近年来的IT安全事件,有42%是来自内部员工的操作,这到底是怎么回事呢?内部流量不是加密了吗?为何仍有这么高的安全漏洞风险?企业内部有无对流量进行过检测?跟着#G探长#一起来了解一下吧。
“42%的IT安全事件来自员工操作”以及下文提到的各项数据,来自Gigamon在2020年2月发布的TLS报告:《南北向与东西向web流量分析》,如果你有兴趣深入了解,关注并私信或评论留言#G探长#“报告”,获取知识大礼包。
首先,#G探长#给大家介绍几个重要的网络术语:
1. SSL/TLS协议
SSL中文名称叫安全套接字协议,在在线通信中建立浏览器和Web服务器之间的加密连接,是一种标准安全协议,TLS是SSL协议的升级版。
大部分人可能从没听过SSL/TLS协议,但我们却无时无刻不在用它们。只要是网页需要用户提交重要的机密信息,就要对这些信息进行加密,这时Web服务器在传输数据时就会使用到SSL/TLS协议。
在电子支付如此发达的今天,对重要数据信息进行SSL/TLS加密更是尤为重要。
2. 南北和东西流量
如果是非IT专业人员,看到这里可能脑海里就会出现很多问号了,怎么流量还分东西南北呢?其实,南北流量和东西流量是数据中心环境中的网络流量模式。南北流量指的是客户端与服务器之间的流量,东西流量指的是不同服务器之间的流量。简单来说,南北向流量就是普通的用户所提供的数据,东西向流量就是不同数据中心之间传递的流量。
其实,大部分的南北向流量都会被加密,这一点很好理解,我们还是拿电子支付作为例子,服务平台肯定要确保每个用户机密数据(身份信息、支付密码等等)的安全,用户才能放心使用。
窃听风险:第三方可获取通信内容。篡改风险:第三方可修改通信内容。冒充风险:第三方可冒充他人身份参与通信。而在东西向流量中,有将近半数(44%)是未被加密的,这说明了什么呢?说明了企业内部的员工正在以未经加密的纯文本形式与Web应用进行交互。在用户的连接通道中,只要有人能够进入并窃听这些设备,就可以采集或者控制所有传输中的数据,你就像是赤裸裸地站在街头,其他人只要把头探过来就能把你看得一览无遗。
发生IT安全事件时,当事人一边在愤恨间谍组织、骇客的卑鄙下流,一边又在感慨骇客的技术水平高超,但没想到最大的问题还是自己。根据Gigamon近期的研究,有42%IT安全事件来自员工操作,74%的安全事件来自于企业联盟,两者都是因为对东西向流量安全措施未做到位所造成的。因此,对重要的东西向流量进行加密,能将企业的数据安全部署提升一个档次。但这是不是说东西向流量加密后就万事大吉了呢?
(采集到的南北向、东西向流量加密情况)
加密流量需不需要监测?
可能很多人觉得流量经过SSL/TSL加密了就很安全了,可惜事与愿违。对数据加密虽然有利于保护数据,但也同样有可能在保护潜在的攻击者。恶意软件攻击可能以伪装的形式潜藏在加密数据中,给IT团队的安全监测制造难度。Gartner的调研就显示出,超过70%的恶意行动采用加密技术来隐藏恶意软件的传递、命令和控制行为或者数据渗漏。
所以,对加密流量进行监测也成了我们维护网络安全的一项重要举措。Gigamon长期以来致力于网络可视化解决方案,部署后能有效监测网络流量,一旦发现大量流量来自同一来源,IT安全人员就能及时对其进行检查,防止攻击者试图避开监测工具。
向Gigamon专家申请现场演示?私信“演示”让G探长与您直接交流吧!
关注Gigamon数据侦探,和你深入探讨网络安全的话题#速度与安全,两者兼得#。
注:本文图表数据来自Gigamon的TLS研究报告:《南北向与东西向web流量分析》,是基于2752亿条采自不同行业的数十家企业的数据流而开展的,且超过50%的企业为财富千强企业,历时四个月之久。研究不易,如需转载,请先私信G探长获得授权。
