@jtruongجسیکا تروونگ
به امنیت علاقه دارید؟ برای محتوای امنیت سایبری همراه باشید
پنهان شدن بدافزار در ترافیک رمزگذاری شده معمولتر می شود و این امر تشخیص آن را دشوار می کند. Sophos ذکر کرد که تقریباً 46٪ از بدافزارها برای ارتباط با یک سیستم از راه دور از طریق اینترنت از طریق TLS شناسایی شده اند.
مجرمان اینترنتی از این امر به نفع خود استفاده می کنند تا از شناسایی و جلوگیری از فعالیت های مخرب خود جلوگیری کنند. امنیت شبکه برای مدیران امنیتی به چالشی تبدیل می شود زیرا آنها نمی دانند بدافزاری از قبل وارد شبکه شده است یا خیر.
سیستم های تشخیص نفوذ (IDS) معمولاً برای نظارت بر شبکه از نظر فعالیت مشکوک مورد استفاده قرار می گیرند اما قادر به تجزیه و تحلیل ترافیک رمزگذاری شده نیستند.
JA3 و JA3S روش های اثر انگشت TLS هستند که می توانند در نظارت امنیتی برای شناسایی و جلوگیری از فعالیت های مخرب مفید باشند. آنها امروزه در بسیاری از ابزارها مانند Suricata و Splunk به یک شاخص محبوب سازش (IoC) تبدیل شده اند.
اثر انگشت TLS چیست؟
اثر انگشت TLS تکنیکی است که زمینه هایی را از پیام TLS ClientHello استخراج می کند تا اثر انگشت را برای شناسایی مشتری خاص تولید کند.
TLS دست دادن
با استفاده از JA3 و JA3S ، مهمترین قسمت دست دادن TLS پیام ClientHello و ServerHello است. ClientHello …