早在斯諾登曝光美國國家安全局破壞加密活動之前，研究人員就對加密技術進行了嚴格的分析。在2012年ekoparty安全會議上，Thai Duong和Juliano Rizzo討論了名為CRIME的攻擊，該攻擊并沒有明顯影響安全套接層/傳輸層安全(SSL/TLS)的安全性。在2013年黑帽大會上，Yoel Gluck、Neal Harris和Angelo Prado繼續(xù)研究SSL/TLS加密技術，他們揭示了新的威脅—通過自適應超文本壓縮的瀏覽器勘測與滲透(或者被稱為BREACH攻擊)，該攻擊對SSL/TLS的影響比CRIME更為深遠。

在這篇文章中，我們將談論什么是BREACH攻擊，它的工作原理，以及企業(yè)應該采取哪些步驟來降低這種攻擊風險。

BREACH攻擊工作原理

為了破解加密，BREACH攻擊瞄準了HTTPS表頭壓縮，這種壓縮對很多企業(yè)來說很關鍵，因為它最大限度地減少了帶寬成本，并加快提高了網(wǎng)頁加載速度。

BREACH通過結合現(xiàn)有的兩種攻擊類型來竊取關于數(shù)據(jù)如何通過HTTPS Web應用加密的信息，這兩種攻擊類型是：利用跨站請求偽造(CSRF)來改變傳輸中的數(shù)據(jù)，以及利用中間人攻擊注入數(shù)據(jù)到HTTPS表頭。根據(jù)注入數(shù)據(jù)，對這些請求變更的響應允許攻擊者確定用于加密會話的字節(jié)信息，然后這些信息可以用于對數(shù)據(jù)進行解密。

面對這些攻擊，靜態(tài)網(wǎng)站屬于低風險，而全功能的web應用則非常容易受到攻擊，因為它們被設計為接受來自web客戶端的輸入，使得它更容易衡量web應用提供的網(wǎng)頁中的變化，并最終解密連接。雖然這種攻擊技術在服務器端的實際影響是微乎其微的，但在客戶端，企業(yè)必須即時更新來防止中間人攻擊。幸運的是，這種攻擊可能無法破解使用SSL/TLS用于傳輸層加密(例如SSL-SMTP或者IMAPS)的其他協(xié)議。

企業(yè)可以用來降低攻擊風險的步驟

我們有很多資源可以用于緩解BREACH攻擊。Qualys公司應用安全研究主管Ivan Ristic寫了一篇博客探討潛在的抵御措施。Carnegie Mellon CERT在其漏洞報告中列出了潛在的緩解方案。一份互聯(lián)網(wǎng)工程任務組(IETF)草案中也建議改善TLS來抵御這種攻擊。

然而，這些戰(zhàn)略都不能完全消除這個問題;正如Ristic所提到的，抵御這個攻擊需要瀏覽器端的改進。雖然BREACH對企業(yè)的影響很小，但全面的分析客戶幫助確定網(wǎng)站是否容易受到BREACH攻擊或者對SSL/TLS的其他攻擊。

企業(yè)可以采取不同的措施來緩解BREACH攻擊，不過，需要注意的是，雖然這些戰(zhàn)略很有效，但這些戰(zhàn)略可能對業(yè)務帶來負面影響。例如，禁用表頭壓縮將極大地降低BREACH攻擊的風險，但這會對高流量企業(yè)網(wǎng)站有著顯著的帶寬影響。

幸運的是，我們還可以利用其他措施，包括以下：

為了保護內(nèi)部客戶端的安全性，使用IPsec虛擬專用網(wǎng)絡(VPN)來阻止中間人攻擊，(IPsec還可以幫助保護易受攻擊的SSL VPN)

利用入侵防御或入侵檢測系統(tǒng)(IPS/IDS)來識別試圖利用漏洞的惡意客戶端，并發(fā)出警報或阻止攻擊系統(tǒng)。

另外，web應用防火墻或者具有web檢測功能的防火墻可以識別惡意客戶端并阻止它們。

漏洞掃描儀或者web應用安全工具可以找出潛在的易受攻擊的需要更新的web應用。

Web代理服務器或者web服務器中的配置更改可以阻止客戶端系統(tǒng)試圖在30秒內(nèi)發(fā)起超過設定的連接數(shù)。由于BREACH攻擊需要大量連接數(shù)，控制這一點可以防止漏洞被利用。

結論

SSL/TLS協(xié)議已經(jīng)經(jīng)受了嚴格的審查，仍然被認為是保護公共網(wǎng)絡數(shù)據(jù)傳輸?shù)淖钣行У臋C制之一。

雖然有些使用這些協(xié)議的方法很不安全，但只有正確部署SSL/TLS，它都能夠提供高水平的傳輸安全。

企業(yè)可以而且應該依賴于使用SSL/TLS的HTTPS來保護web流量的傳輸。雖然HTTPS仍容易受到中間人攻擊，但信息安全方面和加密協(xié)議的改進正在幫助企業(yè)抵御這些攻擊。

BREACH攻擊可能需要迅速采取行動來盡量減少風險，但從長遠來看，這不應該阻止企業(yè)對數(shù)據(jù)傳輸使用加密。加密具有諸多好處，即使加密面臨這個特定攻擊的風險，但仍然是利大于弊。