最近,網(wǎng)絡(luò )上采用加密流量傳輸的情況,是越來(lái)越普及。自2016年底,兩大瀏覽器陣營(yíng)──Google與Mozilla基金會(huì ),相繼公布統計數據,宣布他們?yōu)g覽器的使用者中,已有一半以上的上網(wǎng)流量,都采用HTTPS協(xié)定的加密連線(xiàn)。今年3月,Cisco最新公布的調查結果里,也映證網(wǎng)絡(luò )傳輸加密普遍應用的趨勢:HTTPS流量在2017年10月達到50%,相較於2016年11月僅占整體的38%,使用率可說(shuō)是大幅增加。NSS實(shí)驗室更大膽預測,2019年將會(huì )有3/4的網(wǎng)絡(luò )流量,都會(huì )采用加密機制。
在瀏覽器發(fā)展的歷史中,廠(chǎng)商早期著(zhù)重於功能與使用者操作體驗的較勁,像是提供分頁(yè)瀏覽,或是支援擴充套件,讓用戶(hù)自行為瀏覽器快速加上額外的功能等措施。不過(guò),這幾年各家瀏覽器的改版中,則是加入了安全性考量的政策,從Safari、Chrome、Firefox等瀏覽器,都陸續限制Java與Flash等軟體外掛程式的功能,免於這些軟體拖累瀏覽器執行效率,更重要的,則是上述外掛程式的漏洞,往往也是攻擊者主要下手的目標,連帶影響使用者上網(wǎng)的安全。
而這2年來(lái),兩大瀏覽器陣營(yíng)的開(kāi)發(fā)方向,則是鼓勵上網(wǎng)流量采用HTTPS加密協(xié)定,在2017年1月推出的Chrome 56版,Google將含有要求輸入密碼等機敏內容的HTTP網(wǎng)站,在網(wǎng)址列標示為不安全的網(wǎng)站,Firefox 51也跟進(jìn)這樣的措施。在這之前,上述瀏覽器僅是在網(wǎng)址列顯示驚嘆號符號,提醒用戶(hù)要小心。
同年10月,由Google推出的Chrome 62版,則進(jìn)一步將所有能填寫(xiě)表單的HTTP網(wǎng)頁(yè),一概都視為不安全、具有潛在風(fēng)險的連線(xiàn)。此外,基於使用者采用無(wú)痕瀏覽視窗的情境下,隱私保護的要求更高,Chrome更是在這樣的模式下,直接標示HTTP連線(xiàn)為危險。
今年2月,Google更直接表態(tài),將在預計7月提供的新版瀏覽器中,把所有HTTP連線(xiàn)視為不安全,而Firefox目前也正在每日建構版本(Nightly)中,測試類(lèi)似的機制。
不光只是勸退網(wǎng)站和使用者,要他們別再透過(guò)HTTP連線(xiàn),這兩家瀏覽器開(kāi)發(fā)業(yè)者,也不約而同擴大加密流量的應用范圍,并且支援新的加密通訊協(xié)定,試圖讓使用者上網(wǎng)更加安全。Mozilla基金會(huì )在1月時(shí)表示,Firefox新功能都將倚賴(lài)HTTPS傳輸,而Google則是2017年底在63版Chrome上,開(kāi)始支援即將推出的TLS 1.3。
另一方面,加密流量的應用普及,也與網(wǎng)站搜尋排行有關(guān),2014年Google宣布,他們的搜尋演算法開(kāi)始有所調整,針對采用HTTPS的網(wǎng)頁(yè),會(huì )優(yōu)先在搜尋結果中出現,藉此吸引站臺的經(jīng)營(yíng)者提升網(wǎng)站安全層級。
再者,現在網(wǎng)站經(jīng)營(yíng)者取得SSL憑證的門(mén)檻,更是大幅降低。同樣大力推動(dòng)加密流量的非營(yíng)利組織──網(wǎng)絡(luò )安全研究小組(Internet Security Research Group),他們自2015年開(kāi)始,提供了能自助、免費申請的Let's Encrypt憑證,截至2017年6月時(shí),該單位宣布已經(jīng)發(fā)出了多達一億份的憑證。根據資安顧問(wèn)Scott Helme的調查,在A(yíng)lexa排行前一百萬(wàn)名的網(wǎng)站中,Let's Encrypt已是最大的憑證發(fā)行單位,這些現象,顯然有助於加速采用HTTPS傳輸。
加密流量對企業(yè)帶來(lái)的3大風(fēng)險:企業(yè)無(wú)法透視加密流量的問(wèn)題,我們大致可從3個(gè)面向來(lái)看,包含了內對外、內對內,以及外對內,其對應的主要流量,分別是員工上網(wǎng)、員工連線(xiàn)公司內的伺服器,還有外部使用者與企業(yè)架設的對外伺服器等,其中都潛藏了更容易受到攻擊,或是增加防護難度的情況。
從針對少數網(wǎng)絡(luò )應用,演變?yōu)槠占暗臉藴史雷o配備
然而,HTTPS傳輸協(xié)定早期的應用范圍,主要是用來(lái)防護機敏資訊的傳遞,不致遭中間人(Man-in-the-Middle,MitM)攻擊,或是有心人士從中側錄的情形,并非適用於大多數網(wǎng)站。因此,當時(shí)主要是像網(wǎng)絡(luò )銀行、購物網(wǎng)站等,才會(huì )采用這種通訊協(xié)定。
但隨著(zhù)網(wǎng)際網(wǎng)絡(luò )應用越來(lái)越普遍,攻擊日益泛濫,於是開(kāi)始有人推動(dòng)所有網(wǎng)站都要使用HTTPS的概念,像是促進(jìn)網(wǎng)絡(luò )自由的電子前線(xiàn)基金會(huì )(Electronic Frontier Foundation),他們早在2010年時(shí),就與非營(yíng)利組織The Tor Project合作,開(kāi)發(fā)了名為HTTPS Everywhere瀏覽器擴充套件,希望協(xié)助使用者,盡可能采取HTTPS協(xié)定與網(wǎng)站連結,增加上網(wǎng)的安全性。
不過(guò),當時(shí)多數使用者還是利用IE瀏覽網(wǎng)頁(yè),這款當時(shí)只支援Firefox的擴充套件,并未造成HTTPS流量明顯變化。
根據NSS實(shí)驗室的調查,加密連線(xiàn)在2013年時(shí),僅占企業(yè)整體流量約25%至35%之間,使用的比率并不算高。在當年,Gartner也預測,這種流量每年會(huì )以20%幅度成長(cháng),而在許多2017年與今年度的研究報告中,皆指出企業(yè)采用加密連線(xiàn)的流量已達到50%以上,實(shí)際的情勢,也大致與之前的推測接近。當然,無(wú)論是瀏覽器的威嚇,標示HTTP連線(xiàn)具有較高的風(fēng)險,還是網(wǎng)頁(yè)搜尋排行(Search Engine Optimization,SEO)的誘因,以及透過(guò)HTTPS交握網(wǎng)站所需的憑證,能夠免費取得等因素的推波助瀾,更是加速這2至3年來(lái),加密連線(xiàn)應用持續擴大的動(dòng)力。
論及加密流量增長(cháng)的現象,NSS實(shí)驗室在2016年的調查報告中,也反映出無(wú)法再忽視的情況──高達97%受訪(fǎng)的企業(yè)表示,他們都發(fā)現加密網(wǎng)絡(luò )流量明顯變多,顯然環(huán)境的變化,這些企業(yè)也開(kāi)始留意到,可能會(huì )帶來(lái)的管理問(wèn)題。
此外,值得留意的是,前述盡管是由應用最為大宗的上網(wǎng)流量,也就是HTTPS做為討論加密流量的代表,然而,連線(xiàn)采取加密保護的做法,遍及各種型態(tài)的通訊協(xié)定,像是電子郵件的部分,就有POP3S、SMTPS、IMAPS等加密流量,依據Google的統計資料,無(wú)論是寄送還是接收,各約有9成與Gmail通訊的電子郵件,采用了加密措施保護。
IoT裝置是企業(yè)加密流量增加的重要來(lái)源:企業(yè)加密流量大幅增加的來(lái)源,主要來(lái)自於新興的應用。根據IDC在2016年4月的State of SSL/TLS and Threat Visibility Survey調查,前3大企業(yè)加密流量的應用增長(cháng)來(lái)源里,IoT裝置與使用者檔案共用的SaaS服務(wù),所產(chǎn)生的連線(xiàn),可說(shuō)是企業(yè)普遍認為加密流量主要應用。不過(guò),無(wú)論是企業(yè)內部員工使用,還是提供給客戶(hù)的網(wǎng)絡(luò )應用程式,也陸續采取這種連線(xiàn)機制。
水能載舟亦能覆舟,加密流量遭攻擊者濫用,暗渡陳倉
其實(shí),本來(lái)網(wǎng)絡(luò )流量加密機制的用意,在於增加對於傳輸內容的保護,避免中間人攻擊手法,從中竄改或是截取內容。只是,以往建立這種措施的時(shí)候,大概想不到有朝一日,加密流量竟會(huì )成為企業(yè)網(wǎng)絡(luò )管理的死角。
前述Cisco最近推出的調查報告里,第一個(gè)提到的現象,就是埋藏在加密流量中的攻擊大幅增加,顯示這樣的情況極需企業(yè)關(guān)注。
依據Cisco的統計資料,利用加密連線(xiàn)傳輸惡意軟體的情形,在2016年11月僅僅不到1/5,之後便開(kāi)始略為成長(cháng),但在2017年6月以前,他們每個(gè)月所發(fā)現到的樣本數,仍在40%以下,直到7月,竟一舉超過(guò)60%,9月的比例更達到快要8成之多,換言之,加密流量幾乎可說(shuō)是現在攻擊者滲透的主要管道。
值得留意的是,采用加密流量暗中夾帶惡意軟體的手法,其實(shí)已經(jīng)出現多年,然而,或許是以往企業(yè)大多傾向封鎖這種流量,因此之前運用的比例其實(shí)都不高。雖然Cisco統計依據的是惡意軟體樣本數量,不過(guò),在該份報告中,他們也特別提到,有心人士透過(guò)C&C中繼站下達攻擊命令時(shí),加密流量是強而有力的工具之一。事實(shí)上,之所以2017年出現的多起加密勒索軟體攻擊,像是WannaCry、NotPetya、BadRabbit等,能夠神不知鬼不覺(jué)的潛入企業(yè),然後演變?yōu)榇笠幠1l(fā)的災情,一般也認為是利用這種流量進(jìn)行的攻擊。
從2017年5月連續發(fā)動(dòng)2波攻擊,目標鎖定金融產(chǎn)業(yè)的TrickBot事件為例,F5透過(guò)解密後的流量?jì)热葸M(jìn)行分析後,發(fā)現與C&C伺服器連線(xiàn)的Javascript指令碼,幾乎都是采用HTTPS協(xié)定通訊。這起事件主要在美國、歐洲、澳洲,以及紐西蘭等地發(fā)生災情,而且鎖定針對銀行、線(xiàn)上支付服務(wù)供應商、客戶(hù)關(guān)系管理SaaS平臺廠(chǎng)商等,攻擊者專(zhuān)挑他們的分公司下手。對手策畫(huà)時(shí),可能認為分公司難以透視加密流量,因此特別找上這樣的目標,增加得手的機率。
潛藏加密流量中的惡意軟體樣本數大幅增加:埋伏在加密流量里的惡意軟體數量,自WannaCry等加密勒索軟體爆發(fā)後不久,即2017年7月以後便明顯增加,9月時(shí)更達到高峰,近乎8成,等於每5個(gè)惡意軟體就有4個(gè)在加密流量中,顯示這種流量已成為有心人士傳送惡意攻擊的主要管道。圖片來(lái)源/Cisco
促使企業(yè)管理加密流量的關(guān)鍵推力,仍在於影響營(yíng)運與否
雖然加密流量帶來(lái)了資安盲點(diǎn),這次受訪(fǎng)的廠(chǎng)商也普遍表示,臺灣企業(yè)對於相關(guān)解決方案詢(xún)問(wèn)度,高達6至7成,不過(guò),論及采用專(zhuān)屬加解密設備,或是升級次世代防火墻等相關(guān)措施的動(dòng)機,企業(yè)仍看重是否直接造成營(yíng)運損失,例如,員工是否將公司重要機密資料外泄,因此,目前仍有許多以管制使用者行為的做法,像是使用網(wǎng)址白名單、禁用VPN連線(xiàn),而在電子郵件的部分,則是出現了攔截附件政策,甚至是大部分員工不能自行寄信的情況。
然而,若是一味的采取限縮員工上網(wǎng)行為,恐怕也會(huì )嚴重影響公司整體的生產(chǎn)力,而且上有政策,下有對策,使用者也很有可能改用自己裝置對外連線(xiàn),勢必也會(huì )衍生其他的隱憂(yōu)。例如,透過(guò)Facebook粉絲專(zhuān)頁(yè)行銷(xiāo)的方法,目前大部分的公司都有采用,企業(yè)假如以管制員工上網(wǎng)的理由,禁止使用Facebook,負責管理分絲專(zhuān)頁(yè)的員工,恐怕就要利用外部裝置處理。因此,監控網(wǎng)絡(luò )流量的內容,并且加以分析可能隱含其中的問(wèn)題,企業(yè)也要與時(shí)俱進(jìn)。
由於存在解密流量極度耗費設備硬體資源的情況,依據NSS實(shí)驗室的測試資料來(lái)看,次世代防火墻啟動(dòng)了加解密的功能後,性能便只剩下不到原本的1/5。在過(guò)往加密流量使用率不高的環(huán)境中,企業(yè)可以采取封鎖的政策,可是現在超過(guò)一半流量都使用加密連線(xiàn),假如依舊不能透視這些流量的內容,便形同瞎子摸象,更別說(shuō)要管理了。
另一方面,企業(yè)上網(wǎng)的裝置型態(tài)也不再只有PC,還有員工的手機,以及IoT連網(wǎng)裝置等。從Google統計使用Chrome瀏覽器上網(wǎng)的數據來(lái)看,執行Android平臺的設備,采取HTTPS加密流量的比例,可說(shuō)是成長(cháng)最多。在2015年3月的時(shí)候,與HTTPS網(wǎng)頁(yè)的通訊只有29%,遠低於PC各類(lèi)型平臺的39%到44%,但截至今年的3月,這類(lèi)裝置使用HTTPS連線(xiàn)網(wǎng)頁(yè)的比例為69%,已與Windows電腦的71%相當接近。而Android作業(yè)系統又是許多IoT裝置會(huì )采用的平臺,企業(yè)想要管理加密流量的時(shí)候,就不能只列管個(gè)人電腦和伺服器,也必須要將IoT與行動(dòng)裝置一并納入范圍。
而實(shí)際臺灣企業(yè)的需求為何?我們這次采訪(fǎng)的廠(chǎng)商中,不約而同的表示,許多客戶(hù)之所以詢(xún)問(wèn)加密流量解決方案,大多仍是想要防止員工將公司的機密資料外泄。這樣的考量,雖然無(wú)可厚非,但若僅是偏重防內賊,作為解密流量的出發(fā)點(diǎn),也可能會(huì )衍生其他問(wèn)題,像是許多流量含有使用者的隱私內容,企業(yè)要是在沒(méi)有合理的調查緣由,就全數解密,極有可能觸及個(gè)資相關(guān)的法令,加上臺灣是以對外貿易為主的國家,對於其他地區法規的要求,企業(yè)可能同時(shí)也需要遵守。
因此,不論企業(yè)采取的流量管理做法為何,勢必要通盤(pán)考量,包含因應架構上的變化,尤其現在企業(yè)或多或少都采用了SaaS、PaaS,或是IaaS云端服務(wù),雖然維持公司網(wǎng)絡(luò )的可用性極為重要,但要是忽略上述新興架構里的加密網(wǎng)絡(luò )流量,也同樣存在潛藏的風(fēng)險。
固然,加密流量帶來(lái)了不少潛在的風(fēng)險,網(wǎng)管人員想要映證公司中的現況,其中所占總流量比例為何,其實(shí)也不難,例如,可以經(jīng)由防火墻、UTM設備過(guò)濾HTTPS等協(xié)定流量,或是監聽(tīng)443等通訊埠的統計結果,就能概略得知。但若是想要呈報上級,使其了解企業(yè)加密流量大幅增加的程度,以及需透過(guò)特定設備,加以管理,卻恐怕有其難度。因為,企業(yè)過(guò)往的流量記錄,未必能夠取得這些加密連現的狀態(tài),而要是之前采取封鎖的政策,報表上也難有與加密流量相關(guān)的資料,可供比較。
一般而言,由於無(wú)法透視加密流量,所產(chǎn)生的資安事件,這樣的案例讓人最能同感深受,也是這次受訪(fǎng)廠(chǎng)商普遍認為較為可行的做法。
畢竟,對於企業(yè)經(jīng)營(yíng)的角度來(lái)說(shuō),或許受害的損失是其次,但攻擊事件一旦公開(kāi),遭到媒體大肆的報導,帶來(lái)的商譽(yù)損害威力極為驚人,誰(shuí)也不想成為這樣的受害者。
當然,企業(yè)采取了合適的加密流量管理、透視的措施之後,也要對其收集到的內容,透過(guò)像是資安事件分析平臺,歸檔并加以整理,由於不少資安事件是目標式攻擊,潛伏期間可能非常長(cháng),企業(yè)若是能從中找出徵兆,才有可能及早防范攻擊事件的發(fā)生。
運用加密流量的勒索軟體排行:加密流量本是保護連線(xiàn)內容,卻現在成為有心人士隱昵惡意軟體的死角,去年極為令人聞之色變的勒索軟體,許多便利用這樣的管道滲透。在SonicWall近期推出的2018年資安威脅報告中,指出他們從加密流量發(fā)現了多達23萬(wàn)個(gè)勒索軟體,其中包含了知名的Locky等家族。
SSL和TLS協(xié)定運作方式:我們經(jīng)常會(huì )聽(tīng)到SSL、TLS等與網(wǎng)絡(luò )連線(xiàn)有關(guān)的名詞,但你知道嗎?這些加密連線(xiàn)實(shí)際上是如何運作?加密連線(xiàn)建立的過(guò)程,從用戶(hù)端電腦發(fā)出HTTPS連線(xiàn)請求開(kāi)始,網(wǎng)站伺服器便會(huì )寄送x509憑證與公開(kāi)金鑰,然後由用戶(hù)端確認憑證來(lái)源有效性後,產(chǎn)生隨機的對稱(chēng)金鑰,用來(lái)解開(kāi)來(lái)自伺服器的金鑰。之後的加密連線(xiàn)期間,兩端就以上述的對稱(chēng)金鑰,拆解流量中的內容。
