(JA) 重新考虑加密流量分析策略的3个在线研讨会
该网络具有地面实况属性,难以与其他安全数据源复制。因此,多年来,网络一直是有价值的洞察力源,可以实现有效的检测和响应。然而,随着网络本身的定义随着云计算而变化以及网络上的更多数据被加密,网络变得越来越不透明。这意味着安全团队正在失去对这个强大数据源的可见性,就像攻击者使用加密等技术来逃避传统的检测方法一样。在本次演讲中,我们将介绍这一挑战的一个方面:线路加密。通过识别和分析加密背后的应用程序的具体用例,我们将讨论加密流量分析的当前最新技术。该演讲将重点介绍当前方法中的一些缺点,包括JA3等指纹库。我们还将深入探讨一些有效的策略,但对安全团队而言并不吵。最后,我们将提供有关安全堆栈所需功能的指导,以便将光线照射到线路上的加密流量中。
JA3是一种创建SSL/TLS客户端指纹的方法,应该可以在任何平台上轻松生成,并且可以轻松共享威胁情报。那它是怎么工作的呢?
TLS和它的前身SSL,为简单起见,我将其称为“SSL”,用于加密通用应用程序的通信,保护数据安全和恶意软件,因此它可以隐藏在噪声中。 要启动SSL会话,客户端将在TCP 3次握手后发送SSL客户端Hello数据包。 此数据包及其生成方式取决于构建客户端应用程序时使用的包和方法。 如果接受SSL连接,服务器将使用基于服务器端库和配置以及Client Hello中的详细信息制定的SSL服务器Hello数据包进行响应。 由于SSL协商是以明文形式传输的,因此可以使用SSL客户端Hello数据包中的详细信息来指纹识别客户端应用程序。
JA3为Client Hello数据包中的以下字段收集字节的十进制值; SSL版本,接受的密码,扩展名列表,椭圆曲线和椭圆曲线格式。 然后它按顺序将这些值连接在一起,使用“,”来分隔每个字段,使用“ - ”来分隔每个字段中的每个值。
翻译到这儿,有一个一个多小时的视频,待续。。。。。