拓墣分析丨采用HTTPS加密来提升网路安全性的利与弊

来源:hexun | 2017-09-19 17:55:31

近期众多大厂如Apple(要求iOS App开发者于2016年底前全面采用HTTPS协定)、Google、百度、淘宝等积极宣导HTTPS加密,其中Google Chrome直接对采用HTTP(HTTP协定以明文方式传送内容,不提供资料加密,当骇客截取Web浏览器和网站伺服器间传输,即可直接读取当中资讯)连结网站标示为「不安全」,改采用HTTPS加密,对各企业来说,从HTTP升级为HTTPS为势在必行,足以见得HTTPS加密的重要性。

HTTPS意味著在用户端浏览器和Web伺服器间已建立SSL(Secure Sockets Layer)安全加密通道,尤其网站作为企业入口,是企业与用户建立信任的第一道防护,加上目前线上付款应用多元,在SSL(加密强度取决于客户浏览器使用状况,支援最低40位、最高256位加密)机制下,用户线上所输入的交易密码、信用卡号等资讯在传输过程中将不易被修改与窃取。

1. 网路加密为两面刃,虽可保护资料免遭骇,但也让监测工具面临资安威胁

自2017年以来,时而发生知名入口网站、搜寻引擎、线上交易购物平台、社群网站遭受骇客攻击,由于其具备大量消费者个资,一旦受恶意软体或木马病毒感染,除机敏资料外泄疑虑外,更严重的还会影响到金钱损害。

除企业外,甚至是政府线上便民服务网站亦遭受攻击,例如勒索病毒NotPetya自2017年6月首先瘫痪乌克兰企业与政府网站,接著延伸到全球各地,导致工厂、企业被迫暂时歇业与货运港口关闭,侵害企业商誉及形象。

尤其线上服务业者营运若遭骇,将连带导致企业办公自动化(Office Automation,OA)使用端无辜受到资安威胁,因此线上服务业者及政府单位纷纷开始采取HTTPS方式将网路流量加密。

2016年底美国联邦政府正式规范各级政府部门的网站一律使用HTTPS,达到网站防篡改、防监听、防劫持与提高可信度,目前各级政府单位与民间业者亦开始陆续跟进这项网路加密政策,不过黑客也升级,藉由加密流量恶意程式,从既有资安防护入侵到企业或政府内网,衍生出相关勒索软体资安大规模攻击。

图:黑客以SSL实际流内容之管道

Source:A10,201709

Source:A10,201709

2. HTTPS加密传输为大势所趋,线上付款多采SSL连线

根据Cisco研究统计,2013年加密流量占整体频宽流量20%,至2016年已成长至67%,企业因此透过加密流量解密需求提升外,必须搭配资讯安全设备的一并升级,毕竟有些资安设备年代过久,无法更新韧体或是相关特征码等新世代功能服务,导致无法有效辨识与发现网路加密流量中的恶意威胁。

透过HTTPS加密与SSL支援,以保护资料完整、安全及身份验证,在进行网站认证的同时亦对传输资料进行加密,尤其对于目前行动支付越来越普及情况下,可为电子商务交易双方提供伺服器凭证,建立信任关系,使线上交易进行确认。

随著新兴技术发展,企业纷纷面临数位化转型,但同时也需面对数位化带来之各种风险,尤其各类层出不穷的威胁,传统资安防护方式不足,未来在智能化、自动化、视觉化、深度检测、检测与回应能力皆成为资安防御的手段。

目前已有不少资安厂商推出针对SSL加密流量可视性的解决方案,透过结合新世代入侵侦测防御系统及应用程式辨识管理防火墙,加强资讯安全联防概念,采用智能化自动化调教方式,满足各产业在内网对外网或是外网进到内网之双向网路流量中分析,在加密情况下有效拆解封包,找出具有资安威胁之恶意应用程式,并针对创新型的进阶持续性渗透攻击(Advanced Persistent Threat,APT)攻击及在加密流量中的绑架勒索软件(Ransomware),目标在事前发现与预防管理,避免企业及政府单位遭受骇客攻击。

(文/拓墣产业研究院 谢雨珊)

责任编辑:SH01