最近,网络上采用加密流量传输的情况,是越来越普及。自2016年底,两大浏览器阵营──Google与Mozilla基金会,相继公布统计数据,宣布他们浏览器的使用者中,已有一半以上的上网流量,都采用HTTPS协定的加密连线。今年3月,Cisco最新公布的调查结果里,也映证网络传输加密普遍应用的趋势:HTTPS流量在2017年10月达到50%,相较於2016年11月仅占整体的38%,使用率可说是大幅增加。NSS实验室更大胆预测,2019年将会有3/4的网络流量,都会采用加密机制。
在浏览器发展的历史中,厂商早期着重於功能与使用者操作体验的较劲,像是提供分页浏览,或是支援扩充套件,让用户自行为浏览器快速加上额外的功能等措施。不过,这几年各家浏览器的改版中,则是加入了安全性考量的政策,从Safari、Chrome、Firefox等浏览器,都陆续限制Java与Flash等软体外挂程式的功能,免於这些软体拖累浏览器执行效率,更重要的,则是上述外挂程式的漏洞,往往也是攻击者主要下手的目标,连带影响使用者上网的安全。
而这2年来,两大浏览器阵营的开发方向,则是鼓励上网流量采用HTTPS加密协定,在2017年1月推出的Chrome 56版,Google将含有要求输入密码等机敏内容的HTTP网站,在网址列标示为不安全的网站,Firefox 51也跟进这样的措施。在这之前,上述浏览器仅是在网址列显示惊叹号符号,提醒用户要小心。
同年10月,由Google推出的Chrome 62版,则进一步将所有能填写表单的HTTP网页,一概都视为不安全、具有潜在风险的连线。此外,基於使用者采用无痕浏览视窗的情境下,隐私保护的要求更高,Chrome更是在这样的模式下,直接标示HTTP连线为危险。
今年2月,Google更直接表态,将在预计7月提供的新版浏览器中,把所有HTTP连线视为不安全,而Firefox目前也正在每日建构版本(Nightly)中,测试类似的机制。
不光只是劝退网站和使用者,要他们别再透过HTTP连线,这两家浏览器开发业者,也不约而同扩大加密流量的应用范围,并且支援新的加密通讯协定,试图让使用者上网更加安全。Mozilla基金会在1月时表示,Firefox新功能都将倚赖HTTPS传输,而Google则是2017年底在63版Chrome上,开始支援即将推出的TLS 1.3。
另一方面,加密流量的应用普及,也与网站搜寻排行有关,2014年Google宣布,他们的搜寻演算法开始有所调整,针对采用HTTPS的网页,会优先在搜寻结果中出现,藉此吸引站台的经营者提升网站安全层级。
再者,现在网站经营者取得SSL凭证的门槛,更是大幅降低。同样大力推动加密流量的非营利组织──网络安全研究小组(Internet Security Research Group),他们自2015年开始,提供了能自助、免费申请的Let's Encrypt凭证,截至2017年6月时,该单位宣布已经发出了多达一亿份的凭证。根据资安顾问Scott Helme的调查,在Alexa排行前一百万名的网站中,Let's Encrypt已是最大的凭证发行单位,这些现象,显然有助於加速采用HTTPS传输。
加密流量对企业带来的3大风险:企业无法透视加密流量的问题,我们大致可从3个面向来看,包含了内对外、内对内,以及外对内,其对应的主要流量,分别是员工上网、员工连线公司内的伺服器,还有外部使用者与企业架设的对外伺服器等,其中都潜藏了更容易受到攻击,或是增加防护难度的情况。
从针对少数网络应用,演变为普及的标准防护配备
然而,HTTPS传输协定早期的应用范围,主要是用来防护机敏资讯的传递,不致遭中间人(Man-in-the-Middle,MitM)攻击,或是有心人士从中侧录的情形,并非适用於大多数网站。因此,当时主要是像网络银行、购物网站等,才会采用这种通讯协定。
但随着网际网络应用越来越普遍,攻击日益泛滥,於是开始有人推动所有网站都要使用HTTPS的概念,像是促进网络自由的电子前线基金会(Electronic Frontier Foundation),他们早在2010年时,就与非营利组织The Tor Project合作,开发了名为HTTPS Everywhere浏览器扩充套件,希望协助使用者,尽可能采取HTTPS协定与网站连结,增加上网的安全性。
不过,当时多数使用者还是利用IE浏览网页,这款当时只支援Firefox的扩充套件,并未造成HTTPS流量明显变化。
根据NSS实验室的调查,加密连线在2013年时,仅占企业整体流量约25%至35%之间,使用的比率并不算高。在当年,Gartner也预测,这种流量每年会以20%幅度成长,而在许多2017年与今年度的研究报告中,皆指出企业采用加密连线的流量已达到50%以上,实际的情势,也大致与之前的推测接近。当然,无论是浏览器的威吓,标示HTTP连线具有较高的风险,还是网页搜寻排行(Search Engine Optimization,SEO)的诱因,以及透过HTTPS交握网站所需的凭证,能够免费取得等因素的推波助澜,更是加速这2至3年来,加密连线应用持续扩大的动力。
论及加密流量增长的现象,NSS实验室在2016年的调查报告中,也反映出无法再忽视的情况──高达97%受访的企业表示,他们都发现加密网络流量明显变多,显然环境的变化,这些企业也开始留意到,可能会带来的管理问题。
此外,值得留意的是,前述尽管是由应用最为大宗的上网流量,也就是HTTPS做为讨论加密流量的代表,然而,连线采取加密保护的做法,遍及各种型态的通讯协定,像是电子邮件的部分,就有POP3S、SMTPS、IMAPS等加密流量,依据Google的统计资料,无论是寄送还是接收,各约有9成与Gmail通讯的电子邮件,采用了加密措施保护。
IoT装置是企业加密流量增加的重要来源:企业加密流量大幅增加的来源,主要来自於新兴的应用。根据IDC在2016年4月的State of SSL/TLS and Threat Visibility Survey调查,前3大企业加密流量的应用增长来源里,IoT装置与使用者档案共用的SaaS服务,所产生的连线,可说是企业普遍认为加密流量主要应用。不过,无论是企业内部员工使用,还是提供给客户的网络应用程式,也陆续采取这种连线机制。
水能载舟亦能覆舟,加密流量遭攻击者滥用,暗渡陈仓
其实,本来网络流量加密机制的用意,在於增加对於传输内容的保护,避免中间人攻击手法,从中窜改或是截取内容。只是,以往建立这种措施的时候,大概想不到有朝一日,加密流量竟会成为企业网络管理的死角。
前述Cisco最近推出的调查报告里,第一个提到的现象,就是埋藏在加密流量中的攻击大幅增加,显示这样的情况极需企业关注。
依据Cisco的统计资料,利用加密连线传输恶意软体的情形,在2016年11月仅仅不到1/5,之後便开始略为成长,但在2017年6月以前,他们每个月所发现到的样本数,仍在40%以下,直到7月,竟一举超过60%,9月的比例更达到快要8成之多,换言之,加密流量几乎可说是现在攻击者渗透的主要管道。
值得留意的是,采用加密流量暗中夹带恶意软体的手法,其实已经出现多年,然而,或许是以往企业大多倾向封锁这种流量,因此之前运用的比例其实都不高。虽然Cisco统计依据的是恶意软体样本数量,不过,在该份报告中,他们也特别提到,有心人士透过C&C中继站下达攻击命令时,加密流量是强而有力的工具之一。事实上,之所以2017年出现的多起加密勒索软体攻击,像是WannaCry、NotPetya、BadRabbit等,能够神不知鬼不觉的潜入企业,然後演变为大规模爆发的灾情,一般也认为是利用这种流量进行的攻击。
从2017年5月连续发动2波攻击,目标锁定金融产业的TrickBot事件为例,F5透过解密後的流量内容进行分析後,发现与C&C伺服器连线的Javascript指令码,几乎都是采用HTTPS协定通讯。这起事件主要在美国、欧洲、澳洲,以及纽西兰等地发生灾情,而且锁定针对银行、线上支付服务供应商、客户关系管理SaaS平台厂商等,攻击者专挑他们的分公司下手。对手策画时,可能认为分公司难以透视加密流量,因此特别找上这样的目标,增加得手的机率。
潜藏加密流量中的恶意软体样本数大幅增加:埋伏在加密流量里的恶意软体数量,自WannaCry等加密勒索软体爆发後不久,即2017年7月以後便明显增加,9月时更达到高峰,近乎8成,等於每5个恶意软体就有4个在加密流量中,显示这种流量已成为有心人士传送恶意攻击的主要管道。图片来源/Cisco
促使企业管理加密流量的关键推力,仍在於影响营运与否
虽然加密流量带来了资安盲点,这次受访的厂商也普遍表示,台湾企业对於相关解决方案询问度,高达6至7成,不过,论及采用专属加解密设备,或是升级次世代防火墙等相关措施的动机,企业仍看重是否直接造成营运损失,例如,员工是否将公司重要机密资料外泄,因此,目前仍有许多以管制使用者行为的做法,像是使用网址白名单、禁用VPN连线,而在电子邮件的部分,则是出现了拦截附件政策,甚至是大部分员工不能自行寄信的情况。
然而,若是一味的采取限缩员工上网行为,恐怕也会严重影响公司整体的生产力,而且上有政策,下有对策,使用者也很有可能改用自己装置对外连线,势必也会衍生其他的隐忧。例如,透过Facebook粉丝专页行销的方法,目前大部分的公司都有采用,企业假如以管制员工上网的理由,禁止使用Facebook,负责管理分丝专页的员工,恐怕就要利用外部装置处理。因此,监控网络流量的内容,并且加以分析可能隐含其中的问题,企业也要与时俱进。
由於存在解密流量极度耗费设备硬体资源的情况,依据NSS实验室的测试资料来看,次世代防火墙启动了加解密的功能後,性能便只剩下不到原本的1/5。在过往加密流量使用率不高的环境中,企业可以采取封锁的政策,可是现在超过一半流量都使用加密连线,假如依旧不能透视这些流量的内容,便形同瞎子摸象,更别说要管理了。
另一方面,企业上网的装置型态也不再只有PC,还有员工的手机,以及IoT连网装置等。从Google统计使用Chrome浏览器上网的数据来看,执行Android平台的设备,采取HTTPS加密流量的比例,可说是成长最多。在2015年3月的时候,与HTTPS网页的通讯只有29%,远低於PC各类型平台的39%到44%,但截至今年的3月,这类装置使用HTTPS连线网页的比例为69%,已与Windows电脑的71%相当接近。而Android作业系统又是许多IoT装置会采用的平台,企业想要管理加密流量的时候,就不能只列管个人电脑和伺服器,也必须要将IoT与行动装置一并纳入范围。
而实际台湾企业的需求为何?我们这次采访的厂商中,不约而同的表示,许多客户之所以询问加密流量解决方案,大多仍是想要防止员工将公司的机密资料外泄。这样的考量,虽然无可厚非,但若仅是偏重防内贼,作为解密流量的出发点,也可能会衍生其他问题,像是许多流量含有使用者的隐私内容,企业要是在没有合理的调查缘由,就全数解密,极有可能触及个资相关的法令,加上台湾是以对外贸易为主的国家,对於其他地区法规的要求,企业可能同时也需要遵守。
因此,不论企业采取的流量管理做法为何,势必要通盘考量,包含因应架构上的变化,尤其现在企业或多或少都采用了SaaS、PaaS,或是IaaS云端服务,虽然维持公司网络的可用性极为重要,但要是忽略上述新兴架构里的加密网络流量,也同样存在潜藏的风险。
固然,加密流量带来了不少潜在的风险,网管人员想要映证公司中的现况,其中所占总流量比例为何,其实也不难,例如,可以经由防火墙、UTM设备过滤HTTPS等协定流量,或是监听443等通讯埠的统计结果,就能概略得知。但若是想要呈报上级,使其了解企业加密流量大幅增加的程度,以及需透过特定设备,加以管理,却恐怕有其难度。因为,企业过往的流量记录,未必能够取得这些加密连现的状态,而要是之前采取封锁的政策,报表上也难有与加密流量相关的资料,可供比较。
一般而言,由於无法透视加密流量,所产生的资安事件,这样的案例让人最能同感深受,也是这次受访厂商普遍认为较为可行的做法。
毕竟,对於企业经营的角度来说,或许受害的损失是其次,但攻击事件一旦公开,遭到媒体大肆的报导,带来的商誉损害威力极为惊人,谁也不想成为这样的受害者。
当然,企业采取了合适的加密流量管理、透视的措施之後,也要对其收集到的内容,透过像是资安事件分析平台,归档并加以整理,由於不少资安事件是目标式攻击,潜伏期间可能非常长,企业若是能从中找出徵兆,才有可能及早防范攻击事件的发生。
运用加密流量的勒索软体排行:加密流量本是保护连线内容,却现在成为有心人士隐昵恶意软体的死角,去年极为令人闻之色变的勒索软体,许多便利用这样的管道渗透。在SonicWall近期推出的2018年资安威胁报告中,指出他们从加密流量发现了多达23万个勒索软体,其中包含了知名的Locky等家族。
SSL和TLS协定运作方式:我们经常会听到SSL、TLS等与网络连线有关的名词,但你知道吗?这些加密连线实际上是如何运作?加密连线建立的过程,从用户端电脑发出HTTPS连线请求开始,网站伺服器便会寄送x509凭证与公开金钥,然後由用户端确认凭证来源有效性後,产生随机的对称金钥,用来解开来自伺服器的金钥。之後的加密连线期间,两端就以上述的对称金钥,拆解流量中的内容。
