隨著愈來愈多數據外洩、竊聽、追蹤的新聞出現,人們已開始廣泛應用加密傳輸。但 Blue Coat 最新研究顯示,因應私隱顧慮而增加的加密應用卻為網絡犯罪創造了理想環境,讓惡意程式能藏身於往來的加密資訊,甚至毋須精密設計便能成功逃避檢測。
加密反而讓惡意攻擊能避過網絡保安
基於個人私隱問題的顧慮增加,各種不同的企業及消費者網站均不斷大量使用加密。事實上,根據 Alexa 統計排名的全球十大網站裡,多達 8 個網站是全部或局部地部署 SSL 加密技術。如 Google、Amazon 和 Facebook 更是實行「全天候 HTTPS」模式,以 SSL 加密來保護所有在連結操作的數據。
企業的關鍵應用如檔案儲存、搜尋、雲端企業軟件及社群媒體,都長期使用加密方式來保護傳輸中的數據。然而 SSL 加密傳輸缺乏可視性,因此造成潛在漏洞而令許多企業的保安設備無法區分正常與攻擊性的 SSL 傳輸。
這令加密反而讓攻擊能避過網絡保安,導致企業內敏感的僱員或公司資料外洩。Blue Coat 實驗室一般每週收到超過 10 萬個客戶查詢要求安全資訊,都是有關網站使用 HTTPS 加密協議管控惡意軟件的。
超過一成事故與網站加密相關
加密的廣泛應用,意味著許多企業都無法追踪在網絡上正常進出的訊息,造成盲點並不斷擴大。據 Blue Coat 最新安全報告指出,加密傳輸正成為了網絡罪案的溫床,因為惡意程式會利用加密掩護攻擊而毋須精密設計,換言之加密反而阻礙了企業偵測攻擊。
外來駭客或不良僱員的惡意破壞能導致重要數據失竊,敏感訊息輕易外傳;通過簡單結合「一日網站(One-Day Wonders)」與加密,於 SSL 傳輸傳入惡意程式或傳出竊取數據,企業會毫不察覺正遭受攻擊,因而無法防止、偵測及應對。
報告顯示, 2013 年 9 月以來的 12 個月內,Blue Coat 研究人員平均每週接獲的安全訊息查詢中,有多達 11% 至 14% 是與網站加密相關。
Blue Coat 首席安全策略專家 Dr. Hugh Thompson 表示,個人隱私與企業資訊安全之間的拉鋸戰令企業網絡打開了缺口,受到利用 SSL 的新惡意程式攻擊,危及每個人的資料。企業要確保客戶資料安全並符合法規要求,必須具備可視性以能窺探隱藏在加密傳輸的威脅以及精確控制,以確保員工私隱也同樣得到保障。
