元鼎音訊
訂報優惠

駭客也搶搭SSL順風車 HTTPS/SSL加密被重視

  • 張丹鳳
(Top 6 dangers of not inspecting SSL traffic。資料來源:A10 Networks

面對這些夾雜著駭客攻擊威脅的SSL加密資料,企業要照單全收,全部放行嗎?還是要將這些加密的封包一一解密檢測,攔下有害的封包,確定安全的資料再放行?答案應該是很清楚的。但同時,企業現行的網路架構有能力將加密封包一一解密檢測嗎?

Google在2014年8月也宣布將HTTPS加密機制作為網站搜尋結果的排名考量依據,讓有使用HTTPS安全加密網站的排名提升到前面。(資料來源:HTTPS as a ranking signal,webmasters.googleblog.com)。

而隨著HTTPS/SSL加密愈來愈被重視,可想而知的是,網路上SSL加密資料流量的比率也會愈來愈高。根據安全應用服務領導廠商A10 Networks最近的一份報告顯示,SSL流量在2015年約佔網路流量的30%,在2016年會大幅成長至67%,並且在未來趨近到全部的100%。

網路上傳送的資料進行SSL加密確實強化了使用者的資料安全,但卻也為企業的資安防範新開了一個漏洞。駭客也趁機混水摸魚,藉SSL加密連線隱藏惡意攻擊,來達到入侵企業網路的目的。

在2016年Ponemon Institute的研究報告—Uncovering Hidden Threats within Encrypted Traffic中指出,41%的網路攻擊躲藏在加密資料流量裡,藉此迴避資安設備的偵測。

企業為了確保資訊的安全,絕對有必要將SSL封包像托運行李一樣進行開箱檢查,才能夠防範躲藏在SSL加密流量中的駭客攻擊。SSL加密封包進行解密的策略,那要由誰來執行呢?Web Gateway、IPS、APT等設備都是可能的選項,次世代防火牆NGFW則會是更普遍的選擇。

但不論選擇,執行的效能永遠是IT人員重視的環節。不妙的是,依據NSS Labs對8個次世代防火牆業界龍頭產品的測試報告「SSL Performance Problems」顯示,這些次世代防火牆在解密封包時均遭遇到嚴重的效能衰退問題。

尤其是對於愈來愈普遍、安全的2048位元金鑰長度的加密流量進行解密,產品效能衰退的狀況更加明顯,NSS Labs測出來的平均效能損失竟高達81%。

SSL解密的專用設備

如此令人失望的次世代防火牆的測試,看來使用其他的資安產品來兼著負責SSL解密的工作效果也不會太好。這是因為一般的資安設備在卸載加密流量時,需要使用大量的CPU運算而造成設備效能的問題。因此,NSS Labs會宣稱:「在未使用SSL解密專用設備的情況下,企業網路中SSL檢測的可行性令人擔憂」。

事實上,一般的企業資安設備縱使能夠對網路流量進行深入的檢測與分析,卻很少能夠高速地處理加密的SSL流量,有些資安產品甚至根本完全無法解密SSL流量。

有鑒於此,全球安全應用服務領導廠商A10 Networks便發展專為解密SSL流量的SSL Insight技術,並利用專用SSL安全處理器來做硬體加速,以提供A10 Networks產品2048位元金鑰長度的高效能加解密性能,並具備未來處理4096位元金鑰的強大能力。(文章由敦新科技副總經理施建成提供,記者張丹鳳報導)