公司企業(yè)在加密網(wǎng)絡(luò)流量防護(hù)潛在數(shù)據(jù)泄露方面越做越好，在線攻擊者也隨之更進(jìn)一步，用SSL/TLS來隱藏他們的惡意活動。

2017年上半年，安全公司Zscaler觀測到的所有交易中，平均有60%都是通過SSL/TLS進(jìn)行的。SSL/TLS使用的增長包含了合法行為和惡意活動兩方面——罪犯依靠合法SSL證書散布其惡意內(nèi)容。平均每天有300次網(wǎng)頁漏洞利用包含了作為感染鏈一環(huán)的SSL。

Zscaler安全研究高級主管迪鵬·德賽稱：“犯罪軟件家族越來越多地使用SSL/TLS。過去6個月里，通過SSL/TLS散布的惡意內(nèi)容翻了2倍多。”Zscaler云平臺上，2017年上半年平均每天封鎖840萬次基于SSL/TLS的惡意活動。被封的惡意活動中，平均每天有60萬起是高級威脅。Zscaler的研究人員在2017年上半年里，每天都要見證通過SSL/TLS投送的1.2萬次網(wǎng)絡(luò)釣魚嘗試——比2016年同期增長了400%。

這些數(shù)字還只反映了SSL/TLS的一部分現(xiàn)狀，因?yàn)閆scaler并沒有包含進(jìn)其他類型的攻擊，比如使用SSL/TLS投送載荷的廣告軟件。

當(dāng)企業(yè)網(wǎng)絡(luò)流量被加密，從罪犯的角度出發(fā)，加密他們的犯罪活動也就有利可圖了——IT管理員面對同樣加了密的流量更難以區(qū)分其中好壞。惡意軟件家族也越來越多地用SSL加密受害終端與C2系統(tǒng)之間的通信，可以隱藏指令、載荷和其他要發(fā)送的信息。與去年同期相比，2017年上半年通過加密連接發(fā)送的攻擊載荷翻了個倍。

用SSL/TLS進(jìn)行C2通信的惡意負(fù)載，有60%來自銀行木馬，比如Zbot、Vawtrak和Trickbot。另有12%是信息盜取木馬，比如Fareit和Papra。1/4的載荷來自勒索軟件。

網(wǎng)絡(luò)釣魚團(tuán)伙也使用SSL/TLS，他們將自己的惡意頁面托管在有合法證書的網(wǎng)站上。用戶看到“安全”字樣或?yàn)g覽器上的綠色小鎖頭，就以為自己訪問的是合法網(wǎng)站，沒有認(rèn)識到這些標(biāo)識僅僅表明證書本身有效，以及連接是加密的。網(wǎng)站本身的合法性，甚至網(wǎng)頁內(nèi)容是否屬實(shí)，并不在這些標(biāo)識的保證范圍內(nèi)。

用戶分辨網(wǎng)站所有人真實(shí)性的唯一辦法，是查看實(shí)際的證書。有些瀏覽器會顯示域名擁有者的名字，而不僅僅是“安全”字樣或小鎖頭標(biāo)志，這樣會更便于用戶判斷。

微軟、領(lǐng)英和Adobe是最常見的被假冒品牌。nnicrosoft.com(用兩個連續(xù)的“n”試圖偽裝成“m”)這樣的網(wǎng)絡(luò)釣魚網(wǎng)站也是存在的。被網(wǎng)絡(luò)釣魚團(tuán)伙濫用的其他網(wǎng)站包括 Amazon Seller、Google Drive、Outlook和DocuSign。

不能將SSL/TLS攻擊的上升歸咎到 Let’s Encrypt 之類免費(fèi)證書頒發(fā)機(jī)構(gòu)頭上。雖然這些服務(wù)讓網(wǎng)站擁有者更快更方便地獲取SSL證書，但他們并不是錯誤頒發(fā)有效證書給罪犯的唯一實(shí)體。老牌CA也會將證書錯發(fā)給罪犯。而且，盡管某些案例中CA把證書頒發(fā)給了不應(yīng)該頒發(fā)的對象，但大多數(shù)案例中，證書都還是發(fā)對了人的。只是罪犯劫持并濫用了合法站點(diǎn)而已——往往是著名的云服務(wù)，比如 Office 365、SharePoint、Google Drive 和Dropbox，用這些合法站點(diǎn)托管攻擊載荷，收集滲漏出來的數(shù)據(jù)。

比如說，安逸熊(CozyBear)黑客組織就用PowerShell腳本在被黑主機(jī)上掛載了隱藏OneDrive分區(qū)，并將所有數(shù)據(jù)拷貝到了該隱藏分區(qū)。主機(jī)和服務(wù)(OneDrive)間的所有活動，都默認(rèn)加密，且由于OneDrive常作業(yè)務(wù)用途，IT部門往往注意不到這些攻擊。攻擊者不需要欺騙性地獲取一個證書，因?yàn)镺neDrive為所有用戶提供該層級的保護(hù)。

對企業(yè)而言，加密不是可選項(xiàng)，因此，他們還需要考慮SSL檢查?；谠频钠脚_，比如Zscaler，可以提供此類服務(wù)，或者內(nèi)聯(lián)部署的應(yīng)用也行，比如微軟、Arbor Networks 和 Check Point 等公司提供的那些。

用戶需要有自己的信息不被未授權(quán)方攔截的保證，但企業(yè)需要途徑知道哪些加密流量包含用戶數(shù)據(jù)，哪些承載了惡意指令。隨著更多的攻擊依賴SSL/TLS來避免被傳統(tǒng)網(wǎng)絡(luò)監(jiān)視工具審查，企業(yè)需要采取措施確保所有數(shù)據(jù)受到保護(hù)，而壞流量不能偷偷翻過他們的防護(hù)。