日前，網(wǎng)絡(luò)安全公司Zscaler的 ThreatLabz研究團(tuán)隊(duì)編寫發(fā)布了《2023年加密攻擊態(tài)勢(shì)調(diào)查報(bào)告》，報(bào)告數(shù)據(jù)顯示，目前85.9%的網(wǎng)絡(luò)威脅是通過加密通道發(fā)起的，包括惡意軟件、數(shù)據(jù)竊取和網(wǎng)絡(luò)釣魚攻擊。更重要的是，許多加密攻擊使用了合法的、受信任的加密隧道服務(wù)來托管惡意負(fù)載，這使得對(duì)這些攻擊的檢測(cè)和防范變得更具挑戰(zhàn)性。

利用加密隧道攻擊的10種類型

現(xiàn)代企業(yè)面臨了諸多挑戰(zhàn)，使他們無法大規(guī)模掃描所有的SSL/TLS流量，從而導(dǎo)致許多攻擊可以在不被發(fā)現(xiàn)的情況下通過。為了加強(qiáng)加密隧道中的數(shù)字安全防御能力，企業(yè)應(yīng)該首先了解攻擊者會(huì)如何利用加密隧道發(fā)起攻擊，以下總結(jié)了攻擊者惡意利用加密隧道的常見類型。

1、中間人攻擊(MitM)

在MitM攻擊中，攻擊者會(huì)攔截并可能更改流經(jīng)隧道的數(shù)據(jù)。2014年發(fā)生了一起引人注目的事件，當(dāng)時(shí)某大型計(jì)算機(jī)設(shè)備制造商在所有生產(chǎn)的電腦上安裝了Superfish視覺搜索廣告軟件。這使得攻擊者可以在加密的網(wǎng)頁(yè)上創(chuàng)建和部署廣告，并通過修改SSL證書來添加自己的廣告。為了緩解這種威脅，需要實(shí)施強(qiáng)大的身份驗(yàn)證機(jī)制和定期更新加密協(xié)議。

2、端點(diǎn)漏洞利用

加密隧道的安全性很大程度上取決于它所連接的端點(diǎn)設(shè)備。如果連接到隧道的端點(diǎn)設(shè)備被破壞，就可以作為惡意活動(dòng)的入口點(diǎn)。一個(gè)典型的例子是2017年發(fā)生的Equifax數(shù)據(jù)泄露事件，該公司網(wǎng)絡(luò)中的端點(diǎn)設(shè)備受到攻擊，導(dǎo)致敏感的消費(fèi)者數(shù)據(jù)暴露。該事件強(qiáng)調(diào)了定期安全審計(jì)、補(bǔ)丁管理和端點(diǎn)保護(hù)措施的重要性。

3、弱加密算法破解

加密算法的強(qiáng)度會(huì)直接影響加密隧道抵御攻擊的能力。過時(shí)或弱的加密算法很容易受到暴力破解攻擊。2015年的“Logjam”漏洞九凸顯了弱加密算法的風(fēng)險(xiǎn)，導(dǎo)致了包括政府門戶網(wǎng)站在內(nèi)的數(shù)百個(gè)網(wǎng)站淪為被攻擊者秘密竊聽的對(duì)象。為了應(yīng)對(duì)此類威脅，企業(yè)組織應(yīng)該跟上行業(yè)發(fā)展趨勢(shì)，采用更強(qiáng)大的加密方法。

4、內(nèi)部威脅

具有惡意企圖的內(nèi)部攻擊者同樣會(huì)對(duì)加密隧道使用構(gòu)成重大風(fēng)險(xiǎn)。有權(quán)訪問加密隧道的雇員或承包商可能會(huì)濫用他們的特權(quán)。2018年，由于缺乏可靠的訪問管理機(jī)制，思科公司的云基礎(chǔ)設(shè)施就陷入被非法訪問的危機(jī)。一名惡意的前雇員利用這些弱點(diǎn)訪問了基礎(chǔ)設(shè)施并部署了惡意代碼。企業(yè)組織要想緩解內(nèi)部威脅，就需要實(shí)現(xiàn)嚴(yán)格的訪問控制、進(jìn)行定期審計(jì)和培養(yǎng)具有安全意識(shí)的文化。

5、拒絕服務(wù)(DoS)攻擊

雖然加密隧道側(cè)重于數(shù)據(jù)機(jī)密性，但可用性同樣至關(guān)重要。DoS攻擊是指向系統(tǒng)發(fā)送大量流量，使其資源不堪重負(fù)，從而破壞加密隧道的功能。2012年，針對(duì)美國(guó)六大銀行機(jī)構(gòu)的DDoS攻擊嚴(yán)重破壞了其在線服務(wù)，這一事件凸顯了數(shù)字漏洞和網(wǎng)絡(luò)攻擊的潛在影響。為了增強(qiáng)加密隧道抵御DoS攻擊的彈性，組織可以采用流量過濾、負(fù)載平衡和冗余基礎(chǔ)設(shè)施。

6、IPsec隧道利用

IPsec作為安全VPN的基石，也很可能成為網(wǎng)絡(luò)入侵者的誘人目標(biāo)。在入侵過程中，攻擊者可以利用IPsec隧道兩側(cè)的專有硬件設(shè)備，這也再次強(qiáng)調(diào)了加強(qiáng)VPN端點(diǎn)安全的重要性。因此很明顯，組織需要增強(qiáng)安全協(xié)議并嚴(yán)格監(jiān)控IPsec隧道，實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)(IDS)和定期更新安全配置都是非常有效的措施。

7、VPN隧道隱秘偵察

對(duì)很多大型組織來說，其所使用的Site-to-Site VPN隧道可能會(huì)為攻擊者進(jìn)行網(wǎng)絡(luò)偵察提供隱蔽的路線。2019年，攻擊者就成功通過Site-to-Site VPN對(duì)一家跨國(guó)公司進(jìn)行了隱秘的網(wǎng)絡(luò)偵察，這凸顯了企業(yè)組織對(duì)VPN隧道中的偵察活動(dòng)缺乏定期檢查的現(xiàn)實(shí)。為了防止網(wǎng)絡(luò)間諜活動(dòng)的隱蔽路線，組織應(yīng)該實(shí)施強(qiáng)大的流量監(jiān)控和記錄系統(tǒng)。定期分析日志和采用入侵防御系統(tǒng)(IPS)可以幫助識(shí)別和阻止?jié)撛诘耐{。

8、SSH隧道隱形攻擊

SSH隧道是為安全數(shù)據(jù)傳輸而設(shè)計(jì)的，但其創(chuàng)建安全隧道的作用同樣吸引了攻擊者的關(guān)注。被破壞的SSH隧道可能成為攻擊者開展非法行動(dòng)的途徑。組織應(yīng)該實(shí)現(xiàn)強(qiáng)大的身份驗(yàn)證機(jī)制，定期更新SSH配置，并對(duì)SSH流量進(jìn)行實(shí)時(shí)監(jiān)控。持續(xù)檢查SSH隧道(包括跟蹤用戶活動(dòng)和審計(jì)訪問日志)對(duì)于檢測(cè)和緩解潛在的安全漏洞至關(guān)重要。

9、TLS/SSL隧道身份操縱

通常用于保護(hù)web交易的TLS/SSL隧道可能成為身份操縱的“幫兇”。攻擊者可能會(huì)采用中間人之類的策略，利用虛假身份，這也強(qiáng)調(diào)了持續(xù)對(duì)訪問者身份進(jìn)行審查的必要性。此外，實(shí)現(xiàn)強(qiáng)大的證書管理實(shí)踐、定期更新SSL/TLS協(xié)議和使用web應(yīng)用程序防火墻(WAF)也都是必不可少的步驟。

10、加密網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚者會(huì)利用TLS/SSL隧道使用被盜證書來創(chuàng)建欺騙性網(wǎng)站。當(dāng)攻擊者操縱SSL/TLS隧道時(shí)，HTTPS會(huì)話中的信任會(huì)變得脆弱，需要采取主動(dòng)措施和定期驗(yàn)證。近年來，利用加密隧道的網(wǎng)絡(luò)釣魚攻擊不斷發(fā)展。在2021年的“DarkTequila”活動(dòng)中，網(wǎng)絡(luò)犯罪分子巧妙地利用TLS加密連接來掩蓋其惡意活動(dòng)。通過部署帶有被盜SSL證書的欺騙性網(wǎng)站，攻擊者成功地鎖定了用戶的敏感信息。這個(gè)例子強(qiáng)調(diào)了實(shí)施主動(dòng)措施以防止加密網(wǎng)絡(luò)釣魚攻擊的緊迫性。

加密隧道攻擊防護(hù)建議

如上所見，攻擊者會(huì)在攻擊鏈的多個(gè)階段利用加密隧道：從通過VPN等工具獲得初始入口，到通過網(wǎng)絡(luò)釣魚攻擊建立立腳點(diǎn)，再到通過域控制器橫向移動(dòng)并泄露數(shù)據(jù)。因此，企業(yè)組織應(yīng)該詳細(xì)規(guī)劃阻止加密威脅的機(jī)制，并在攻擊鏈的每個(gè)階段采取合適的控制措施。以下是Zscaler安全研究人員給出的加密隧道攻擊防護(hù)建議：

1、使用零信任架構(gòu)檢查所有的加密流量

阻止加密攻擊的關(guān)鍵在于能夠大規(guī)模掃描所有的加密流量和內(nèi)容，同時(shí)又不影響網(wǎng)絡(luò)的運(yùn)行性能。基于最小特權(quán)原則，零信任架構(gòu)會(huì)根據(jù)身份、上下文和業(yè)務(wù)策略直接代理用戶和應(yīng)用程序之間的連接——而不是底層網(wǎng)絡(luò)。因此，無論用戶消耗多少帶寬，所有加密的流量和內(nèi)容都可以通過統(tǒng)一的架構(gòu)，對(duì)來自每個(gè)用戶的每個(gè)數(shù)據(jù)包進(jìn)行無限規(guī)模的SSL/TLS檢查。除此之外，用戶和應(yīng)用程序的直接連接，使得將應(yīng)用程序流量分割到高度精細(xì)的用戶集變得更加容易，從而消除了傳統(tǒng)扁平網(wǎng)絡(luò)中通常存在的橫向移動(dòng)風(fēng)險(xiǎn)。

2、最小化企業(yè)網(wǎng)絡(luò)攻擊面

所有IP地址或面向互聯(lián)網(wǎng)的資產(chǎn)(包括企業(yè)應(yīng)用程序和工具，如VPN和防火墻)都是可發(fā)現(xiàn)的，容易受到威脅行為者的攻擊。破壞這些資產(chǎn)是網(wǎng)絡(luò)犯罪分子獲取立足點(diǎn)的第一步，隨后他們會(huì)從傳統(tǒng)網(wǎng)絡(luò)橫向移動(dòng)到關(guān)鍵的應(yīng)用程序。

因此，企業(yè)需要做好攻擊面管理工作，盡可能地在互聯(lián)網(wǎng)上隱藏各種應(yīng)用程序，或?qū)⑺鼈冎糜谠瓢踩碇螅@樣只有經(jīng)過身份驗(yàn)證的用戶才能訪問它們。通過清除大量的外部攻擊面，企業(yè)可以防止應(yīng)用系統(tǒng)被威脅行為者發(fā)現(xiàn)，并從一開始就阻止許多加密攻擊的發(fā)生。

3、利用體系化的威脅防護(hù)技術(shù)

企業(yè)可以使用許多工具來阻止加密威脅，其中分層防御是最好的防護(hù)理念。關(guān)鍵的是，這些防御措施應(yīng)該是相互關(guān)聯(lián)的，以便安全工具在加密流量實(shí)際交付之前檢測(cè)到惡意有效負(fù)載。

有許多核心技術(shù)可以構(gòu)成最佳實(shí)踐防御。其中包括具有ML功能的內(nèi)聯(lián)沙箱，它允許組織立即、實(shí)時(shí)地隔離、阻止和引爆可疑文件和零日威脅，而不會(huì)影響業(yè)務(wù)。此外，云IPS、URL過濾、DNS過濾和瀏覽器隔離等技術(shù)結(jié)合起來也能夠?yàn)槠髽I(yè)提供針對(duì)加密威脅的有效防護(hù)。

4、采取多層策略保護(hù)數(shù)據(jù)安全

企業(yè)在阻止加密攻擊時(shí)，還必須有效保護(hù)其網(wǎng)絡(luò)數(shù)據(jù)的流通和使用，以防止網(wǎng)絡(luò)犯罪分子竊取數(shù)據(jù)。如上所述，威脅行為者經(jīng)常使用“受信任的”加密隧道來托管惡意的有效載荷和泄露的數(shù)據(jù)。如果不掃描出站SSL/TLS流量和內(nèi)聯(lián)內(nèi)容，企業(yè)將很難知道這種情況正在發(fā)生。與其他類型的威脅預(yù)防措施一樣，企業(yè)也應(yīng)該采取多層方法來保護(hù)其數(shù)據(jù)。作為最佳實(shí)踐，企業(yè)應(yīng)該尋找像內(nèi)聯(lián)DLP這樣的功能，它可以檢查所有數(shù)據(jù)通道中的SSL/TLS內(nèi)容，如SaaS應(yīng)用程序、端點(diǎn)、電子郵件、私有應(yīng)用程序，甚至云上的安全態(tài)勢(shì)。

原文鏈接：

https://venafi.com/blog/5-worst-things-attackers-can-do-your-encrypted-tunnels/。

https://www.encryptionconsulting.com/demystifying-threats-in-encrypted-tunnels-what-you-need-to-know/。

https://www.zscaler.com/blogs/product-insights/4-ways-enterprises-can-stop-encrypted-cyber-threats。