日前，網(wǎng)絡安全公司Zscaler的 ThreatLabz研究團隊編寫發(fā)布了《2023年加密攻擊態(tài)勢調(diào)查報告》，報告數(shù)據(jù)顯示，目前85.9%的網(wǎng)絡威脅是通過加密通道發(fā)起的，包括惡意軟件、數(shù)據(jù)竊取和網(wǎng)絡釣魚攻擊。更重要的是，許多加密攻擊使用了合法的、受信任的加密隧道服務來托管惡意負載，這使得對這些攻擊的檢測和防范變得更具挑戰(zhàn)性。

利用加密隧道攻擊的10種類型

現(xiàn)代企業(yè)面臨了諸多挑戰(zhàn)，使他們無法大規(guī)模掃描所有的SSL/TLS流量，從而導致許多攻擊可以在不被發(fā)現(xiàn)的情況下通過。為了加強加密隧道中的數(shù)字安全防御能力，企業(yè)應該首先了解攻擊者會如何利用加密隧道發(fā)起攻擊，以下總結(jié)了攻擊者惡意利用加密隧道的常見類型。

1、中間人攻擊(MitM)

在MitM攻擊中，攻擊者會攔截并可能更改流經(jīng)隧道的數(shù)據(jù)。2014年發(fā)生了一起引人注目的事件，當時某大型計算機設備制造商在所有生產(chǎn)的電腦上安裝了Superfish視覺搜索廣告軟件。這使得攻擊者可以在加密的網(wǎng)頁上創(chuàng)建和部署廣告，并通過修改SSL證書來添加自己的廣告。為了緩解這種威脅，需要實施強大的身份驗證機制和定期更新加密協(xié)議。

2、端點漏洞利用

加密隧道的安全性很大程度上取決于它所連接的端點設備。如果連接到隧道的端點設備被破壞，就可以作為惡意活動的入口點。一個典型的例子是2017年發(fā)生的Equifax數(shù)據(jù)泄露事件，該公司網(wǎng)絡中的端點設備受到攻擊，導致敏感的消費者數(shù)據(jù)暴露。該事件強調(diào)了定期安全審計、補丁管理和端點保護措施的重要性。

3、弱加密算法破解

加密算法的強度會直接影響加密隧道抵御攻擊的能力。過時或弱的加密算法很容易受到暴力破解攻擊。2015年的“Logjam”漏洞九凸顯了弱加密算法的風險，導致了包括政府門戶網(wǎng)站在內(nèi)的數(shù)百個網(wǎng)站淪為被攻擊者秘密竊聽的對象。為了應對此類威脅，企業(yè)組織應該跟上行業(yè)發(fā)展趨勢，采用更強大的加密方法。

4、內(nèi)部威脅

具有惡意企圖的內(nèi)部攻擊者同樣會對加密隧道使用構(gòu)成重大風險。有權(quán)訪問加密隧道的雇員或承包商可能會濫用他們的特權(quán)。2018年，由于缺乏可靠的訪問管理機制，思科公司的云基礎設施就陷入被非法訪問的危機。一名惡意的前雇員利用這些弱點訪問了基礎設施并部署了惡意代碼。企業(yè)組織要想緩解內(nèi)部威脅，就需要實現(xiàn)嚴格的訪問控制、進行定期審計和培養(yǎng)具有安全意識的文化。

5、拒絕服務(DoS)攻擊

雖然加密隧道側(cè)重于數(shù)據(jù)機密性，但可用性同樣至關重要。DoS攻擊是指向系統(tǒng)發(fā)送大量流量，使其資源不堪重負，從而破壞加密隧道的功能。2012年，針對美國六大銀行機構(gòu)的DDoS攻擊嚴重破壞了其在線服務，這一事件凸顯了數(shù)字漏洞和網(wǎng)絡攻擊的潛在影響。為了增強加密隧道抵御DoS攻擊的彈性，組織可以采用流量過濾、負載平衡和冗余基礎設施。

6、IPsec隧道利用

IPsec作為安全VPN的基石，也很可能成為網(wǎng)絡入侵者的誘人目標。在入侵過程中，攻擊者可以利用IPsec隧道兩側(cè)的專有硬件設備，這也再次強調(diào)了加強VPN端點安全的重要性。因此很明顯，組織需要增強安全協(xié)議并嚴格監(jiān)控IPsec隧道，實現(xiàn)入侵檢測系統(tǒng)(IDS)和定期更新安全配置都是非常有效的措施。

7、VPN隧道隱秘偵察

對很多大型組織來說，其所使用的Site-to-Site VPN隧道可能會為攻擊者進行網(wǎng)絡偵察提供隱蔽的路線。2019年，攻擊者就成功通過Site-to-Site VPN對一家跨國公司進行了隱秘的網(wǎng)絡偵察，這凸顯了企業(yè)組織對VPN隧道中的偵察活動缺乏定期檢查的現(xiàn)實。為了防止網(wǎng)絡間諜活動的隱蔽路線，組織應該實施強大的流量監(jiān)控和記錄系統(tǒng)。定期分析日志和采用入侵防御系統(tǒng)(IPS)可以幫助識別和阻止?jié)撛诘耐{。

8、SSH隧道隱形攻擊

SSH隧道是為安全數(shù)據(jù)傳輸而設計的，但其創(chuàng)建安全隧道的作用同樣吸引了攻擊者的關注。被破壞的SSH隧道可能成為攻擊者開展非法行動的途徑。組織應該實現(xiàn)強大的身份驗證機制，定期更新SSH配置，并對SSH流量進行實時監(jiān)控。持續(xù)檢查SSH隧道(包括跟蹤用戶活動和審計訪問日志)對于檢測和緩解潛在的安全漏洞至關重要。

9、TLS/SSL隧道身份操縱

通常用于保護web交易的TLS/SSL隧道可能成為身份操縱的“幫兇”。攻擊者可能會采用中間人之類的策略，利用虛假身份，這也強調(diào)了持續(xù)對訪問者身份進行審查的必要性。此外，實現(xiàn)強大的證書管理實踐、定期更新SSL/TLS協(xié)議和使用web應用程序防火墻(WAF)也都是必不可少的步驟。

10、加密網(wǎng)絡釣魚

網(wǎng)絡釣魚者會利用TLS/SSL隧道使用被盜證書來創(chuàng)建欺騙性網(wǎng)站。當攻擊者操縱SSL/TLS隧道時，HTTPS會話中的信任會變得脆弱，需要采取主動措施和定期驗證。近年來，利用加密隧道的網(wǎng)絡釣魚攻擊不斷發(fā)展。在2021年的“DarkTequila”活動中，網(wǎng)絡犯罪分子巧妙地利用TLS加密連接來掩蓋其惡意活動。通過部署帶有被盜SSL證書的欺騙性網(wǎng)站，攻擊者成功地鎖定了用戶的敏感信息。這個例子強調(diào)了實施主動措施以防止加密網(wǎng)絡釣魚攻擊的緊迫性。

加密隧道攻擊防護建議

如上所見，攻擊者會在攻擊鏈的多個階段利用加密隧道：從通過VPN等工具獲得初始入口，到通過網(wǎng)絡釣魚攻擊建立立腳點，再到通過域控制器橫向移動并泄露數(shù)據(jù)。因此，企業(yè)組織應該詳細規(guī)劃阻止加密威脅的機制，并在攻擊鏈的每個階段采取合適的控制措施。以下是Zscaler安全研究人員給出的加密隧道攻擊防護建議：

1、使用零信任架構(gòu)檢查所有的加密流量

阻止加密攻擊的關鍵在于能夠大規(guī)模掃描所有的加密流量和內(nèi)容，同時又不影響網(wǎng)絡的運行性能。基于最小特權(quán)原則，零信任架構(gòu)會根據(jù)身份、上下文和業(yè)務策略直接代理用戶和應用程序之間的連接——而不是底層網(wǎng)絡。因此，無論用戶消耗多少帶寬，所有加密的流量和內(nèi)容都可以通過統(tǒng)一的架構(gòu)，對來自每個用戶的每個數(shù)據(jù)包進行無限規(guī)模的SSL/TLS檢查。除此之外，用戶和應用程序的直接連接，使得將應用程序流量分割到高度精細的用戶集變得更加容易，從而消除了傳統(tǒng)扁平網(wǎng)絡中通常存在的橫向移動風險。

2、最小化企業(yè)網(wǎng)絡攻擊面

所有IP地址或面向互聯(lián)網(wǎng)的資產(chǎn)(包括企業(yè)應用程序和工具，如VPN和防火墻)都是可發(fā)現(xiàn)的，容易受到威脅行為者的攻擊。破壞這些資產(chǎn)是網(wǎng)絡犯罪分子獲取立足點的第一步，隨后他們會從傳統(tǒng)網(wǎng)絡橫向移動到關鍵的應用程序。

因此，企業(yè)需要做好攻擊面管理工作，盡可能地在互聯(lián)網(wǎng)上隱藏各種應用程序，或?qū)⑺鼈冎糜谠瓢踩碇?，這樣只有經(jīng)過身份驗證的用戶才能訪問它們。通過清除大量的外部攻擊面，企業(yè)可以防止應用系統(tǒng)被威脅行為者發(fā)現(xiàn)，并從一開始就阻止許多加密攻擊的發(fā)生。

3、利用體系化的威脅防護技術(shù)

企業(yè)可以使用許多工具來阻止加密威脅，其中分層防御是最好的防護理念。關鍵的是，這些防御措施應該是相互關聯(lián)的，以便安全工具在加密流量實際交付之前檢測到惡意有效負載。

有許多核心技術(shù)可以構(gòu)成最佳實踐防御。其中包括具有ML功能的內(nèi)聯(lián)沙箱，它允許組織立即、實時地隔離、阻止和引爆可疑文件和零日威脅，而不會影響業(yè)務。此外，云IPS、URL過濾、DNS過濾和瀏覽器隔離等技術(shù)結(jié)合起來也能夠為企業(yè)提供針對加密威脅的有效防護。

4、采取多層策略保護數(shù)據(jù)安全

企業(yè)在阻止加密攻擊時，還必須有效保護其網(wǎng)絡數(shù)據(jù)的流通和使用，以防止網(wǎng)絡犯罪分子竊取數(shù)據(jù)。如上所述，威脅行為者經(jīng)常使用“受信任的”加密隧道來托管惡意的有效載荷和泄露的數(shù)據(jù)。如果不掃描出站SSL/TLS流量和內(nèi)聯(lián)內(nèi)容，企業(yè)將很難知道這種情況正在發(fā)生。與其他類型的威脅預防措施一樣，企業(yè)也應該采取多層方法來保護其數(shù)據(jù)。作為最佳實踐，企業(yè)應該尋找像內(nèi)聯(lián)DLP這樣的功能，它可以檢查所有數(shù)據(jù)通道中的SSL/TLS內(nèi)容，如SaaS應用程序、端點、電子郵件、私有應用程序，甚至云上的安全態(tài)勢。

原文鏈接：

https://venafi.com/blog/5-worst-things-attackers-can-do-your-encrypted-tunnels/。

https://www.encryptionconsulting.com/demystifying-threats-in-encrypted-tunnels-what-you-need-to-know/。

https://www.zscaler.com/blogs/product-insights/4-ways-enterprises-can-stop-encrypted-cyber-threats。