斯諾登爆料NSA棱鏡項(xiàng)目的新聞引發(fā)大家對(duì)加密工具和匿名化工具的興趣，越來(lái)越多的人開(kāi)始想辦法覆蓋他們的行蹤，以確保沒(méi)有人會(huì)暗中偷窺他們。PRISM-break.org等網(wǎng)站正在鼓勵(lì)用戶使用非專有web瀏覽器以及匿名化工具(例如Tor)。雖然這些工具非常適合個(gè)人使用，但這可能給企業(yè)帶來(lái)嚴(yán)重的安全問(wèn)題。

信息安全的主要原則之一是清楚你的網(wǎng)絡(luò)中發(fā)生的事情。如果不了解網(wǎng)絡(luò)中的主機(jī)以及傳輸?shù)牧髁壳闆r，安全團(tuán)隊(duì)基本上在盲目運(yùn)行。網(wǎng)絡(luò)安全監(jiān)控(NSM)專門用于提供對(duì)網(wǎng)絡(luò)的能見(jiàn)度，但匿名化服務(wù)和應(yīng)用程序可能給安全人員制造盲點(diǎn)，讓安全人員難以找出攻擊和防止數(shù)據(jù)泄漏。

為了減小匿名化工具和加密軟件對(duì)企業(yè)的影響，企業(yè)需要從幾個(gè)方面來(lái)解決這個(gè)問(wèn)題。首先，企業(yè)需要對(duì)與這些技術(shù)相關(guān)的控制執(zhí)行風(fēng)險(xiǎn)評(píng)估，并最終可能需要?jiǎng)?chuàng)建新的政策和修訂現(xiàn)行的政策，對(duì)用戶進(jìn)行意識(shí)培訓(xùn)，并實(shí)施新的技術(shù)控制。

這種風(fēng)險(xiǎn)評(píng)估的目的是確定對(duì)這些軟件的使用是否會(huì)給企業(yè)帶來(lái)風(fēng)險(xiǎn)。在有些情況下，匿名化軟件可能需要用于企業(yè)環(huán)境中。例如，CrowdStrike推出的新的Tortilla軟件可以幫助安全團(tuán)隊(duì)進(jìn)行惡意軟件分析和情報(bào)收集。然而，這個(gè)軟件只能用于負(fù)責(zé)該活動(dòng)的員工的工作站，而不應(yīng)該出現(xiàn)在首席財(cái)務(wù)官的行政助理的計(jì)算機(jī)中。

風(fēng)險(xiǎn)評(píng)估應(yīng)該主要圍繞這些問(wèn)題：合法使用情況、對(duì)網(wǎng)絡(luò)能見(jiàn)度的影響以及是否會(huì)造成潛在的數(shù)據(jù)丟失。在回答這些問(wèn)題后，然后企業(yè)必須確定為解決這些風(fēng)險(xiǎn)需要付出的努力，包括調(diào)整政策、增強(qiáng)用戶意識(shí)以及實(shí)施技術(shù)控制等。

企業(yè)需要?jiǎng)?chuàng)建或者修改政策，從而讓員工知道企業(yè)是否允許使用匿名化和加密軟件，以及誰(shuí)被允許使用這些軟件。在一般企業(yè)環(huán)境，安全團(tuán)隊(duì)以外的人都不應(yīng)該使用匿名化軟件，而只允許使用經(jīng)企業(yè)批準(zhǔn)的加密軟件。如果企業(yè)在保護(hù)其端點(diǎn)，那么，最終用戶應(yīng)該不能被允許在其工作站安裝這些類型的軟件。企業(yè)的政策必須明確規(guī)定允許使用這些軟件的情況。

企業(yè)更新政策后，還應(yīng)該對(duì)用戶進(jìn)行意識(shí)培訓(xùn)。如果企業(yè)中在使用加密軟件，對(duì)這種軟件的使用的培訓(xùn)應(yīng)該進(jìn)行調(diào)整，以讓員工知道只可以使用經(jīng)授權(quán)的加密軟件。

在確定經(jīng)授權(quán)的軟件和用例情況后，接著，企業(yè)需要部署相應(yīng)的技術(shù)控制。根據(jù)已經(jīng)部署的安全保護(hù)措施的不同，企業(yè)可能只需要做很小的調(diào)整，或者也可能需要做很大的改變。例如，很多企業(yè)環(huán)境限制對(duì)最終用戶工作組的管理權(quán)限，不允許用戶安裝軟件。這種控制能夠防止大多數(shù)匿名化和加密軟件工具的使用。

不過(guò)， 限制管理權(quán)限并不足夠。用戶可能仍然能夠使用單獨(dú)的或者基于web的軟件，這些軟件不需要安裝。在這種情況下，企業(yè)應(yīng)該使用應(yīng)用程序白名單來(lái)防止這些未經(jīng)授權(quán)的軟件的運(yùn)行。此外，一些防病毒解決方案可能會(huì)將TorBrowser視為惡意軟件，并在檢測(cè)到時(shí)會(huì)發(fā)出警報(bào)。

在網(wǎng)絡(luò)層，我們有很多方法可以檢測(cè)和阻止匿名化和加密流量。例如，大多數(shù)入侵檢測(cè)/防御系統(tǒng)(IDS/IPS)以及下一代防火墻能夠檢測(cè)Tor流量，以及阻止知名的代理網(wǎng)站。在防火墻，發(fā)布的Tor條目和出口節(jié)點(diǎn)將可以被阻止，而應(yīng)用層代理可以檢測(cè)流量，只允許符合政策的流量通過(guò)。同樣，出口過(guò)濾器應(yīng)該設(shè)置為只允許內(nèi)部IP地址使用特定的端口和協(xié)議來(lái)與外面通信。

根據(jù)風(fēng)險(xiǎn)評(píng)估確定的風(fēng)險(xiǎn)水平，并且，由于Tor流量通常使用TCP端口443(最常見(jiàn)的是用于HTTPS)，一些公司可能會(huì)決定通過(guò)應(yīng)用代理來(lái)執(zhí)行對(duì)SSL流量的檢測(cè)。當(dāng)然，這會(huì)引起一些隱私問(wèn)題，因?yàn)檫@可能將加密的個(gè)人信息暴露給監(jiān)控流量的安全團(tuán)隊(duì)成員。這還需要所有的計(jì)算機(jī)系統(tǒng)具有SSL證書，以確保讓這個(gè)檢測(cè)過(guò)程看起來(lái)是透明的，因?yàn)镾SL流量檢測(cè)會(huì)打破信任鏈。是否執(zhí)行這種流量檢測(cè)需要由企業(yè)法律部門、管理和IT部門共同商討。

重要的是要記住，技術(shù)精湛的堅(jiān)定的攻擊者可能仍然有辦法繞過(guò)上述的安全控制，但上述方法能夠阻止大多數(shù)員工的非法行為。企業(yè)必須清楚自己試圖在抵御什么，并基于這個(gè)問(wèn)題進(jìn)行風(fēng)險(xiǎn)評(píng)估。