檢查流量可以幫助組織偵測惡意程式碼,但 HTTPS 檢查的安全風險需要仔細考慮。
閱讀本文後,您將能夠:
相關內容
訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!
複製文章連結
HTTPS 檢查是透過使用與網路連線上的中間人攻擊相同的技術來檢查加密 Web 流量的過程。這是一些企業網路裝置、防火牆和威脅管理產品的一項功能。
組織可能想要檢查 HTTPS 流量,以尋找惡意程式碼、識別資料外泄嘗試,並封鎖對特定網站的存取。惡意程式碼帶來了安全問題,因為它可能使企業運作癱瘓、竊取資料或使檔案無法存取。
HTTPS 檢查有許多名稱,包括 SSL 檢查、TLS 檢查、TLS 中斷和檢查以及 HTTPS 攔截。
當組織使用 HTTPS 檢查來保護自己免受惡意程式碼的攻擊時,他們會使用一種產品來建立兩個單獨的加密連線,並模擬用戶端和伺服器。該產品搜尋要封鎖的惡意威脅,而不讓用戶端知道並沒有一個經過驗證的端對端連線。
舉個例子,假設一個學生在課堂上給朋友傳遞一張紙條,卻沒有意識到坐在他們之間的人可以閱讀訊息的內容。在這種情況下,訊息傳送者認為紙條在傳輸過程中是密封的,卻沒有意識到它可以在沒有任何明顯跡象的情況下打開和合上。HTTPS 檢查與此範例的一個重要不同點就是,訊息寄送者甚至不知道中間人的存在。
通常,當網站使用 TLS 時,用戶端裝置(使用者的電腦或智慧型手機)直接連接到網站的主機伺服器並設定加密連線。建立加密連線後,用戶端和伺服器之間的流量完全加密,中間沒有人可以檢視流量。
在 HTTPS 檢查期間,產品設定了兩個 SSL 連線——一個到伺服器,一個到用戶端。從用戶端的角度來看,它直接連接到伺服器,沒有中間人。相反,流量被重新導向到模仿網站的檢查產品。它具有查看、更改和封鎖內容的能力。
在網際網路的早期,流量透過 HTTP 以純文字形式傳送。這意味著沒有任何東西是加密的,如果有人攔截流量,其所有的資料都會暴露。
採用 HTTPS(HTTP 的安全版本),流量是加密的。用戶端和伺服器透過來回通訊的過程建立一個安全連線。
HTTPS 保護網際網路流量不被未授權方監控。但是,它也可以幫助惡意行為者隱藏他們的蹤跡。HTTPS 加密並隱藏各種資料,無論是個人的銀行資料還是來自攻擊者的惡意程式碼。
瀏覽器用於 HTTPS 連線的掛鎖圖示標誌著使用者和伺服器之間的資料是加密的,而不是說網站的一切都能保證免受攻擊或窺探。由受信任的公司(如金融機構)營運的網站可能存在安全性漏洞,並在不知不覺中對使用者構成威脅。另外,攻擊者可以建立一個看起來安全的惡意網站,因為它有 SSL 憑證,且會加密流量。
如果操作不當,HTTPS 檢查可能會造成安全性漏洞。對於正常的、未經檢查的流量,瀏覽器可以驗證端對端的連線——確認憑證有效可確保用戶端正在與擁有網域的伺服器進行通訊。
檢查會中斷這一過程,如果不充分注意,則會帶來一些問題:
HTTPS 檢查提供:
關於對抗隱藏在 HTTPS 流量中的惡意程式碼,尚不存在廣泛接受的單一方法。一些可以提供幫助的措施包括:
瞭解 Cloudflare Gateway 如何封鎖惡意程式碼和其他風險,同時提供近乎即時的流量監控。