駭客也搶搭SSL順風車 HTTPS/SSL加密被重視

(Top 6 dangers of not inspecting SSL traffic。資料來源：A10 Networks

面對這些夾雜著駭客攻擊威脅的SSL加密資料，企業要照單全收，全部放行嗎？還是要將這些加密的封包一一解密檢測，攔下有害的封包，確定安全的資料再放行？答案應該是很清楚的。但同時，企業現行的網路架構有能力將加密封包一一解密檢測嗎？

Google在2014年8月也宣布將HTTPS加密機制作為網站搜尋結果的排名考量依據，讓有使用HTTPS安全加密網站的排名提升到前面。(資料來源：HTTPS as a ranking signal，webmasters.googleblog.com)。

而隨著HTTPS/SSL加密愈來愈被重視，可想而知的是，網路上SSL加密資料流量的比率也會愈來愈高。根據安全應用服務領導廠商A10 Networks最近的一份報告顯示，SSL流量在2015年約佔網路流量的30%，在2016年會大幅成長至67%，並且在未來趨近到全部的100%。

網路上傳送的資料進行SSL加密確實強化了使用者的資料安全，但卻也為企業的資安防範新開了一個漏洞。駭客也趁機混水摸魚，藉SSL加密連線隱藏惡意攻擊，來達到入侵企業網路的目的。

在2016年Ponemon Institute的研究報告—Uncovering Hidden Threats within Encrypted Traffic中指出，41%的網路攻擊躲藏在加密資料流量裡，藉此迴避資安設備的偵測。

企業為了確保資訊的安全，絕對有必要將SSL封包像托運行李一樣進行開箱檢查，才能夠防範躲藏在SSL加密流量中的駭客攻擊。SSL加密封包進行解密的策略，那要由誰來執行呢？Web Gateway、IPS、APT等設備都是可能的選項，次世代防火牆NGFW則會是更普遍的選擇。

但不論選擇，執行的效能永遠是IT人員重視的環節。不妙的是，依據NSS Labs對8個次世代防火牆業界龍頭產品的測試報告「SSL Performance Problems」顯示，這些次世代防火牆在解密封包時均遭遇到嚴重的效能衰退問題。

尤其是對於愈來愈普遍、安全的2048位元金鑰長度的加密流量進行解密，產品效能衰退的狀況更加明顯，NSS Labs測出來的平均效能損失竟高達81%。

SSL解密的專用設備

如此令人失望的次世代防火牆的測試，看來使用其他的資安產品來兼著負責SSL解密的工作效果也不會太好。這是因為一般的資安設備在卸載加密流量時，需要使用大量的CPU運算而造成設備效能的問題。因此，NSS Labs會宣稱：「在未使用SSL解密專用設備的情況下，企業網路中SSL檢測的可行性令人擔憂」。

事實上，一般的企業資安設備縱使能夠對網路流量進行深入的檢測與分析，卻很少能夠高速地處理加密的SSL流量，有些資安產品甚至根本完全無法解密SSL流量。

有鑒於此，全球安全應用服務領導廠商A10 Networks便發展專為解密SSL流量的SSL Insight技術，並利用專用SSL安全處理器來做硬體加速，以提供A10 Networks產品2048位元金鑰長度的高效能加解密性能，並具備未來處理4096位元金鑰的強大能力。(文章由敦新科技副總經理施建成提供，記者張丹鳳報導)