Web 流量加密(又称 SSL、TLS、HTTPS)长期以来一直是大多数 Web 服务的常态,尤其是 Salesforce、Microsoft Outlook 365 和 Skype 等企业 SaaS 应用程序。为了帮助保护这些流量免遭窃听和潜在的敏感数据泄露,端到端加密是降低风险的关键且有效的安全措施。
然而,组织面临的威胁种类繁多,包括勒索软件和其他形式的网络恶意软件、数据泄露等。为了解决这一问题,部署了 URL 过滤、防病毒、沙盒、数据丢失防护 (DLP)、云访问安全代理 (CASB) 等安全工具,负责检查所有网络流量。
虽然大多数安全专家认为正确的安全工具组合将保证其用户和组织的安全,但一种广为流行的做法“证书固定”却阻止这些工具提供其所受托的保护。
什么是证书固定?它会给您的组织带来什么风险?
网络安全工具通过检查流经它们的网络流量来实施保护。对于加密流量,这需要它们解密才能获得所需的可见性。大多数安全工具通过执行所谓的 SSL 检查来解决此问题。我们不必太过技术化,我们只能说这通常是使用自签名证书和一种称为中间人的技术来完成的。在大多数情况下,这种方法效果很好,直到他们遇到使用证书固定的服务。同样,无需深入研究,证书固定是网络服务用来避免中间人检查的一种机制,这会导致任何此类尝试终止连接并阻止用户完成工作,从而导致挫败感并影响业务。
启用此类服务的唯一方法是绕过 SSL 检查,这将使您的安全产品变得毫无用处,并使您的用户暴露在威胁之下。
证书固定的使用有多普遍?上面提到的所有服务都使用它:Salesforce、Microsoft 365 Outlook 和 Skype,以及许多其他常用的商业应用程序:Dropbox、Google Drive、Webex Teams、Amazon Drive、DocuSign 等等。
安全供应商非常清楚这一缺陷,并设计出了不依赖 SSL 检查的解决方案。这些解决方案基于 API,我们不必过多赘述,只需说它们有两个非常关键的缺点。第一个缺点是它们不提供实时保护。它们依赖于 SaaS 提供商发送的警报,需要查看、分析警报,然后才能采取行动。这可能需要几分钟、几小时甚至几天的时间,而此时阻止入侵通常为时已晚。
其次,该解决方案只能应用于公司已知晓并已部署解决方案的已批准 SaaS 应用程序。由于超过 85% 的 SaaS 应用程序未获批准,因此即使事后警报,很大一部分 SaaS 攻击面也完全未被发现。
基于 API 的解决方案显然不能理想地提供您的组织所需的安全性。
我们如何才能克服证书固定?
问题在于传统工具使用的中间人方法。对于以边缘部署设备(物理或虚拟)形式提供的解决方案以及云交付服务(例如云 SWG、CASB、SSE/SASE)而言,情况都是如此。
通过将部署位置移到浏览器本身,我们能够克服这一限制。由于浏览器可以看到加密前的出站流量和解密后的入站流量,因此检查此交汇点的流量可以获得有效检测和阻止威胁所需的洞察力。这可以实现对所有 Web 流量(包括使用证书固定的服务)的全面安全覆盖和实时保护。
在浏览器中放置网络安全还有许多其他好处,包括提高性能和用户体验,因为流量可以直接发送到目的地,还可以查看浏览器组件(例如有风险的扩展程序),以及查看浏览器中未经批准的用户操作(例如复制粘贴敏感数据以及将其输入 Gen AI 工具)。它还通过减少所需的解决方案数量并消除对基于 API 的安全性等补充解决方案的需求来提供 TCO 优势。
LayerX 企业浏览器扩展可与任何浏览器原生集成,将其变成最安全、最易于管理的工作区。企业使用 LayerX 保护其设备、身份、数据和 SaaS 应用免受网络威胁和浏览风险,例如网络上的数据泄露、SaaS 应用和 GenAI 工具、恶意浏览器扩展、网络钓鱼、帐户接管等。
请求 LayerX 的演示 开始
