什麽是 HTTPS 檢查?

檢查流量可以幫助組織偵測惡意程式碼,但 HTTPS 檢查的安全風險需要仔細考慮。

學習目標

閱讀本文後,您將能夠:

  • 描述 HTTPS 檢查的運作方式
  • 說明攻擊者如何使用 HTTPS 掩飾其活動
  • 瞭解緩解攻擊風險的替代方法

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麽是 HTTPS 檢查?

HTTPS 檢查是透過使用與網路連線上的中間人攻擊相同的技術來檢查加密 Web 流量的過程。這是一些企業網路裝置、防火牆和威脅管理產品的一項功能。

組織可能想要檢查 HTTPS 流量,以尋找惡意程式碼、識別資料外泄嘗試,並封鎖對特定網站的存取。惡意程式碼帶來了安全問題,因為它可能使企業運作癱瘓、竊取資料或使檔案無法存取。

HTTPS 檢查有許多名稱,包括 SSL 檢查、TLS 檢查、TLS 中斷和檢查以及 HTTPS 攔截。

HTTPS 檢查是如何進行的?

當組織使用 HTTPS 檢查來保護自己免受惡意程式碼的攻擊時,他們會使用一種產品來建立兩個單獨的加密連線,並模擬用戶端和伺服器。該產品搜尋要封鎖的惡意威脅,而不讓用戶端知道並沒有一個經過驗證的端對端連線。

舉個例子,假設一個學生在課堂上給朋友傳遞一張紙條,卻沒有意識到坐在他們之間的人可以閱讀訊息的內容。在這種情況下,訊息傳送者認為紙條在傳輸過程中是密封的,卻沒有意識到它可以在沒有任何明顯跡象的情況下打開和合上。HTTPS 檢查與此範例的一個重要不同點就是,訊息寄送者甚至不知道中間人的存在。

通常,當網站使用 TLS 時,用戶端裝置(使用者的電腦或智慧型手機)直接連接到網站的主機伺服器並設定加密連線。建立加密連線後,用戶端和伺服器之間的流量完全加密,中間沒有人可以檢視流量。

在 HTTPS 檢查期間,產品設定了兩個 SSL 連線——一個到伺服器,一個到用戶端。從用戶端的角度來看,它直接連接到伺服器,沒有中間人。相反,流量被重新導向到模仿網站的檢查產品。它具有查看、更改和封鎖內容的能力。

安全流量如何傳播惡意程式碼?

在網際網路的早期,流量透過 HTTP 以純文字形式傳送。這意味著沒有任何東西是加密的,如果有人攔截流量,其所有的資料都會暴露。

採用 HTTPS(HTTP 的安全版本),流量是加密的。用戶端和伺服器透過來回通訊的過程建立一個安全連線。

HTTPS 保護網際網路流量不被未授權方監控。但是,它也可以幫助惡意行為者隱藏他們的蹤跡。HTTPS 加密並隱藏各種資料,無論是個人的銀行資料還是來自攻擊者的惡意程式碼。

瀏覽器用於 HTTPS 連線的掛鎖圖示標誌著使用者和伺服器之間的資料是加密的,而不是說網站的一切都能保證免受攻擊或窺探。由受信任的公司(如金融機構)營運的網站可能存在安全性漏洞,並在不知不覺中對使用者構成威脅。另外,攻擊者可以建立一個看起來安全的惡意網站,因為它有 SSL 憑證,且會加密流量。

HTTPS 檢查有哪些風險?

如果操作不當,HTTPS 檢查可能會造成安全性漏洞。對於正常的、未經檢查的流量,瀏覽器可以驗證端對端的連線——確認憑證有效可確保用戶端正在與擁有網域的伺服器進行通訊。

檢查會中斷這一過程,如果不充分注意,則會帶來一些問題:

  • 檢查後加密可能不太安全,特別是當檢查產品不使用當前的加密標準時
  • 一些檢查產品無法正確驗證憑證鏈結,這增加了來自犯罪分子的單獨中間人攻擊的機會
  • 瀏覽器經常會自動更新以解決新的安全問題,但檢查產品可能會落後于安全最佳做法,如支援最新版本的 Transport Layer Security (TLS) 通訊協定

HTTPS 檢查有哪些好處?

HTTPS 檢查提供:

  • 對網路流量和潛在風險的更大的可見度
  • 更可能封鎖對組織網路進行惡意攻擊
  • 增強執行公司安全性原則的能力

HTTPS 檢查有哪些替代方案?

關於對抗隱藏在 HTTPS 流量中的惡意程式碼,尚不存在廣泛接受的單一方法。一些可以提供幫助的措施包括:

  • 在不破壞加密的情況下使用檢查安全憑證的防火牆來識別可疑行為
  • 從源頭上解決來自員工的風險,如限制他們下載未經核准的軟體的能力,以及加強端點監控
  • 微調防火牆內的深度封包檢查規則
  • 採用 DNS 篩選安全 Web 閘道來封鎖與不安全網站或伺服器的連線
  • 使用瀏覽器隔離,將瀏覽活動限制在一個安全的環境中,防止在網路內執行不安全的代碼

瞭解 Cloudflare Gateway 如何封鎖惡意程式碼和其他風險,同時提供近乎即時的流量監控。