日前，網絡安全公司Zscaler的 ThreatLabz研究團隊編寫發布了《2023年加密攻擊態勢調查報告》，報告數據顯示，目前85.9%的網絡威脅是通過加密通道發起的，包括惡意軟件、數據竊取和網絡釣魚攻擊。更重要的是，許多加密攻擊使用了合法的、受信任的加密隧道服務來托管惡意負載，這使得對這些攻擊的檢測和防范變得更具挑戰性。

利用加密隧道攻擊的10種類型

現代企業面臨了諸多挑戰，使他們無法大規模掃描所有的SSL/TLS流量，從而導致許多攻擊可以在不被發現的情況下通過。為了加強加密隧道中的數字安全防御能力，企業應該首先了解攻擊者會如何利用加密隧道發起攻擊，以下總結了攻擊者惡意利用加密隧道的常見類型。

1、中間人攻擊(MitM)

在MitM攻擊中，攻擊者會攔截并可能更改流經隧道的數據。2014年發生了一起引人注目的事件，當時某大型計算機設備制造商在所有生產的電腦上安裝了Superfish視覺搜索廣告軟件。這使得攻擊者可以在加密的網頁上創建和部署廣告，并通過修改SSL證書來添加自己的廣告。為了緩解這種威脅，需要實施強大的身份驗證機制和定期更新加密協議。

2、端點漏洞利用

加密隧道的安全性很大程度上取決于它所連接的端點設備。如果連接到隧道的端點設備被破壞，就可以作為惡意活動的入口點。一個典型的例子是2017年發生的Equifax數據泄露事件，該公司網絡中的端點設備受到攻擊，導致敏感的消費者數據暴露。該事件強調了定期安全審計、補丁管理和端點保護措施的重要性。

3、弱加密算法破解

加密算法的強度會直接影響加密隧道抵御攻擊的能力。過時或弱的加密算法很容易受到暴力破解攻擊。2015年的“Logjam”漏洞九凸顯了弱加密算法的風險，導致了包括政府門戶網站在內的數百個網站淪為被攻擊者秘密竊聽的對象。為了應對此類威脅，企業組織應該跟上行業發展趨勢，采用更強大的加密方法。

4、內部威脅

具有惡意企圖的內部攻擊者同樣會對加密隧道使用構成重大風險。有權訪問加密隧道的雇員或承包商可能會濫用他們的特權。2018年，由于缺乏可靠的訪問管理機制，思科公司的云基礎設施就陷入被非法訪問的危機。一名惡意的前雇員利用這些弱點訪問了基礎設施并部署了惡意代碼。企業組織要想緩解內部威脅，就需要實現嚴格的訪問控制、進行定期審計和培養具有安全意識的文化。

5、拒絕服務(DoS)攻擊

雖然加密隧道側重于數據機密性，但可用性同樣至關重要。DoS攻擊是指向系統發送大量流量，使其資源不堪重負，從而破壞加密隧道的功能。2012年，針對美國六大銀行機構的DDoS攻擊嚴重破壞了其在線服務，這一事件凸顯了數字漏洞和網絡攻擊的潛在影響。為了增強加密隧道抵御DoS攻擊的彈性，組織可以采用流量過濾、負載平衡和冗余基礎設施。

6、IPsec隧道利用

IPsec作為安全VPN的基石，也很可能成為網絡入侵者的誘人目標。在入侵過程中，攻擊者可以利用IPsec隧道兩側的專有硬件設備，這也再次強調了加強VPN端點安全的重要性。因此很明顯，組織需要增強安全協議并嚴格監控IPsec隧道，實現入侵檢測系統(IDS)和定期更新安全配置都是非常有效的措施。

7、VPN隧道隱秘偵察

對很多大型組織來說，其所使用的Site-to-Site VPN隧道可能會為攻擊者進行網絡偵察提供隱蔽的路線。2019年，攻擊者就成功通過Site-to-Site VPN對一家跨國公司進行了隱秘的網絡偵察，這凸顯了企業組織對VPN隧道中的偵察活動缺乏定期檢查的現實。為了防止網絡間諜活動的隱蔽路線，組織應該實施強大的流量監控和記錄系統。定期分析日志和采用入侵防御系統(IPS)可以幫助識別和阻止潛在的威脅。

8、SSH隧道隱形攻擊

SSH隧道是為安全數據傳輸而設計的，但其創建安全隧道的作用同樣吸引了攻擊者的關注。被破壞的SSH隧道可能成為攻擊者開展非法行動的途徑。組織應該實現強大的身份驗證機制，定期更新SSH配置，并對SSH流量進行實時監控。持續檢查SSH隧道(包括跟蹤用戶活動和審計訪問日志)對于檢測和緩解潛在的安全漏洞至關重要。

9、TLS/SSL隧道身份操縱

通常用于保護web交易的TLS/SSL隧道可能成為身份操縱的“幫兇”。攻擊者可能會采用中間人之類的策略，利用虛假身份，這也強調了持續對訪問者身份進行審查的必要性。此外，實現強大的證書管理實踐、定期更新SSL/TLS協議和使用web應用程序防火墻(WAF)也都是必不可少的步驟。

10、加密網絡釣魚

網絡釣魚者會利用TLS/SSL隧道使用被盜證書來創建欺騙性網站。當攻擊者操縱SSL/TLS隧道時，HTTPS會話中的信任會變得脆弱，需要采取主動措施和定期驗證。近年來，利用加密隧道的網絡釣魚攻擊不斷發展。在2021年的“DarkTequila”活動中，網絡犯罪分子巧妙地利用TLS加密連接來掩蓋其惡意活動。通過部署帶有被盜SSL證書的欺騙性網站，攻擊者成功地鎖定了用戶的敏感信息。這個例子強調了實施主動措施以防止加密網絡釣魚攻擊的緊迫性。

加密隧道攻擊防護建議

如上所見，攻擊者會在攻擊鏈的多個階段利用加密隧道：從通過VPN等工具獲得初始入口，到通過網絡釣魚攻擊建立立腳點，再到通過域控制器橫向移動并泄露數據。因此，企業組織應該詳細規劃阻止加密威脅的機制，并在攻擊鏈的每個階段采取合適的控制措施。以下是Zscaler安全研究人員給出的加密隧道攻擊防護建議：

1、使用零信任架構檢查所有的加密流量

阻止加密攻擊的關鍵在于能夠大規模掃描所有的加密流量和內容，同時又不影響網絡的運行性能。基于最小特權原則，零信任架構會根據身份、上下文和業務策略直接代理用戶和應用程序之間的連接——而不是底層網絡。因此，無論用戶消耗多少帶寬，所有加密的流量和內容都可以通過統一的架構，對來自每個用戶的每個數據包進行無限規模的SSL/TLS檢查。除此之外，用戶和應用程序的直接連接，使得將應用程序流量分割到高度精細的用戶集變得更加容易，從而消除了傳統扁平網絡中通常存在的橫向移動風險。

2、最小化企業網絡攻擊面

所有IP地址或面向互聯網的資產(包括企業應用程序和工具，如VPN和防火墻)都是可發現的，容易受到威脅行為者的攻擊。破壞這些資產是網絡犯罪分子獲取立足點的第一步，隨后他們會從傳統網絡橫向移動到關鍵的應用程序。

因此，企業需要做好攻擊面管理工作，盡可能地在互聯網上隱藏各種應用程序，或將它們置于云安全代理之后，這樣只有經過身份驗證的用戶才能訪問它們。通過清除大量的外部攻擊面，企業可以防止應用系統被威脅行為者發現，并從一開始就阻止許多加密攻擊的發生。

3、利用體系化的威脅防護技術

企業可以使用許多工具來阻止加密威脅，其中分層防御是最好的防護理念。關鍵的是，這些防御措施應該是相互關聯的，以便安全工具在加密流量實際交付之前檢測到惡意有效負載。

有許多核心技術可以構成最佳實踐防御。其中包括具有ML功能的內聯沙箱，它允許組織立即、實時地隔離、阻止和引爆可疑文件和零日威脅，而不會影響業務。此外，云IPS、URL過濾、DNS過濾和瀏覽器隔離等技術結合起來也能夠為企業提供針對加密威脅的有效防護。

4、采取多層策略保護數據安全

企業在阻止加密攻擊時，還必須有效保護其網絡數據的流通和使用，以防止網絡犯罪分子竊取數據。如上所述，威脅行為者經常使用“受信任的”加密隧道來托管惡意的有效載荷和泄露的數據。如果不掃描出站SSL/TLS流量和內聯內容，企業將很難知道這種情況正在發生。與其他類型的威脅預防措施一樣，企業也應該采取多層方法來保護其數據。作為最佳實踐，企業應該尋找像內聯DLP這樣的功能，它可以檢查所有數據通道中的SSL/TLS內容，如SaaS應用程序、端點、電子郵件、私有應用程序，甚至云上的安全態勢。

原文鏈接：

https://venafi.com/blog/5-worst-things-attackers-can-do-your-encrypted-tunnels/。

https://www.encryptionconsulting.com/demystifying-threats-in-encrypted-tunnels-what-you-need-to-know/。

https://www.zscaler.com/blogs/product-insights/4-ways-enterprises-can-stop-encrypted-cyber-threats。