如何在国密算法加密情况下保证安全防护及检测的有效性？| 总第238周

2024年3月26日08:53:02评论6 views字数 1785阅读5分57秒阅读模式

‍‍

0x1本周话题

话题：各位大佬，目前各应用系统通过国密算法对报文进行了加密，使得传统基于规则的WAFIPS等设备无法有效检测，因为报文数据均已加密，最终只有在HIDS上能检出部分风险，但是检测点滞后且检出率均无法有效保证。针对此种情况，大家是如何保证安全防护及监测的有效性呢？

A1：是指的ssl加密，还是指对应用报文做的加密？报文级别的话，估计比较麻烦，只能靠应用解密后再分析了，旁路流量无解。或者别费事了，直接RASP吧。

A2：是指应用报文，在SSL卸载之后。RASP之前也了解过，但是对于兼容性这块儿目前还在验证过程。另外我比较担心防护和监测滞后了。

A3：在防log4j2的时候，我们就意识到了这块，前期部署数据安全工作的时候，要求对应用层数据做了大量的加密，导致log4j2，太容易漏了。还有一种是，和开发约束好加密的内容，不要全报文加密，同时在后端落实好字符类型校验，成本比较高。

A4：当年log4J几个小时一个新绕过方法，折腾的要死，最后WAF的规则连30%都覆盖不到，纯粹尽职免责。

A5：依赖纵深吧，waf的作用还是最大化的消耗、浪费攻击者的时间成本，不得指望他干了所有的事。串waf在waf解密并重新加密的话，可以用，反而是可用性要关注。

A6：这个和国密无关啊，商密的应用加密报文，waf也解不开啊。目前的商业waf，解应用层的编码都吃力，加密基本无解了，性能也撑不住。

Q：都有ssl证书了，除了某些密码字段，其他字段还要报文级加密吗？

A7：一些场景是有要求，二层，传输层加密和应用层加密。

A8：解密、负载xN、代理、纵深的墙xN，一会儿就是一串巨长的糖葫芦，响应速度和可用性全是问题。

A9：商密一般两层，一个是类似SSL加密，这个要看WAF是否支持国密算法。一个是业务数据加密，这个是针对个别字段的，密钥片段加密，这层没必要解密。第二层也不应该解密，不会所有数据都按第二层来。

A10：所以，就要看看这个要求合不合理，比如把报文的一些字段加密了，现在安全设备没法看了，两害相权，取谁。报文加密在各类技术规范都有强制要求的，不加也是错，加了就成睁眼瞎了。

现在回头看，要不要加呢？或者说不加的话，风险显著增加了吗？在解密后，应用有可能把敏感信息写到日志中，写到数据库中，其实这个加密作用也不大。这些风险都是需要治理的，还有日志中的数据也要进行管控。

A11：这个问题是看安全域的，出安全域加密。内网传输、存储和外网传输、存储，应该是不一样的。成本比较高。得看具体的投入和收益了。

存储是不需要解密的。（如果有查询需求，可以参看 GBT去标识化里提到的脱敏技术。）或者说不能明文存储的。报过写Log和DB、OSS等存储介质。同样成本很高。得看具体场景和收益。

A12：我之前也想过在通道卸载之后整个解密，再往防护和检测去送，论证下来成本过高。得针对每一个应用每一个请求做。日志存储可以反向解密，其实还是找关键字，加密和不加密都不会对排查产生多大的阻碍。

A13：现实的类比就是：坦克很安全，但是不适合轿车，那在车辆安全要求标准中要不要把坦克的安全标准写成通用要求，如果大家都不能实施的话，这个要求就要看是否合理。

Q：报文加密的最大收益在哪里？网络报文字段级加密和数据库字段级加密，敏感信息防护效果的确很美好，但真的通用吗？我们的信息保密要求真的需要这么强的要求吗？

A14：一般实践就是SSL层和应用层敏感字段加密，最大的收益就是除了开发谁也读不懂报文，客户端抓包啥的也没法分析，除非逆向客户端把加密破了。

A15：现在的问题是这个敏感字段包括哪些。我的理解只有各类密码，但从目前大家的期望，感觉姓名、身份证号、手机号都算。金融数据分类分级那个标准，要求加密的应该也只有密码字段。

Q：能不能说说是哪些技术规范？会不会个人理解错了？

A16：我也有疑问，可能我看漏了哪里说必须报文加密，重要数据字段加密的我记得有。

A17：我理解应该还是应该和业务数据分级的定义相关，需要保护的字段，一般来说个人隐私和认证鉴权相关的字段会加密。

A18：网银通用技术规范，web渗透测试指南，里面应该都有这个要求，不过没有明确具体字段吧，只是笼统地说“重要字段”，但是重要的面就很广了。

0x2

原文始发于微信公众号（君哥的体历）：如何在国密算法加密情况下保证安全防护及检测的有效性？| 总第238周

安全运营之通行字管理