網絡安全戰成也 SSL 敗也 SSL
如果沒有了數據加密運算技術,這個互聯網世界早就崩潰,越來越多使用者知道Https及Http之間的分別,注重網站的安全性,從而安心的使用電郵、處理帳單、網上付款購物。但正義一方會利用加密的安全性,邪惡的一方都會利用這技術避過網絡保安。
全天侯SSL未必最好
各種不同的企業及消費者網站均不斷大量使用加密來保護個人私隱,根據Alexa統計排名的全球十大網站裡,多達8個網站是全部或局部地部署SSL加密技術,例如Google、Amazon和Facebook都實行了「全天候HTTPS」模式。企業的關鍵應用如檔案儲存、搜尋、雲端企業軟件及社群媒體,都長期使用加密方式來保護傳輸中的數據。然而,SSL加密傳輸缺乏可視性,因此造成潛在漏洞而令許多企業的保安設備無法區分正常與攻擊性的SSL傳輸。結果加密反而讓攻擊能避過網絡保安,導致企業內敏感的僱員或公司資料外洩。
揭示可視性漏洞
Blue Coat 最新的資訊安全報告指出,加密傳輸正成為了網絡罪案的溫床,原因是惡意程式利用加密掩護其傳送的數據,這樣無需精密設計也可以阻礙企業保安系統的偵測,因為高級的加密技術難以分析出其風險問題。駭客或僱員的惡意破壞能導致重要數據失竊,敏感訊息輕易外傳。或通過簡單結合「一日網站(One-Day Wonders)」與加密,於SSL傳輸傳入惡意程式及/或傳出竊取數據,用戶難以察覺潛在的攻擊,因而無法防止、偵測及應對。
SSL成為入侵盲點
加密的廣泛應用,意味著許多企業都無法追踪在網絡上正常進出的訊息內容,是否安全,是否敏感資料。事實上,從2013年9月以來的12個月內,Blue Coat研究人員平均每週接獲的安全訊息查詢中,有多達11%至14%是與網站加密相關。
曾經成功一時的Zeus被擊破後,簡單地增添加密的Dyre迅速取而代之,專門竊取密碼且能廣泛傳播,攻擊擁有大量帳戶的國際級企業,以盜取帳戶訊息如社會安全號碼、銀行賬戶資料 、隱密健康資料、知識產權等等。
維護安全及私隱的拉鋸
企業要確保客戶資料安全必須用上加密,同時要令保安可偵測的可視性,資訊安全要求必須兼顧私隱政策與相關法規這兩難,企業需要一套可視性以能窺探隱藏在加密傳輸的威脅以及精確控制,由於企業政策及適用法規會因不同地域以及個別機構和行業而有所不同,因此企業需要具備靈活、可配置、可自訂及針對解密的效能,以滿足獨特的業務需求。