Radware：SSL攻擊——黑客利用安全手段加密攻擊

二戰中，由於盟軍能夠破解日本和德國用來發送敏感信息的加密協議而佔盡優勢。當時盟軍能夠攔截並解碼信息，獲取與敏感軍事行動有關的情報。

在當今互聯網時代，惡意黑客正在利用企業所部署用來保護通信安全的加密標準，將惡意流量封裝在本該保護企業應用的協議內發起攻擊。

保密是雙向的

企業採用了安全套接字層(SSL)和傳輸層安全(TLS)來加密網路通信。並利用加密協議來確保隱私和數據的完整性。遺憾的是，加密協議會同時保護，不論是合法還是非法的所有數據的安全。

黑客會將SSL/TLS協議用作混淆攻擊負載的工具。安全設備可以在明文中識別跨站腳本或SQL注入攻擊，但如果利用SSL/TLS對相同攻擊進行加密，除非事先解密並進行檢查，否則將無法成功檢測到攻擊。

黑客也能夠在SSL/TLS協議本身中找到漏洞。作為互聯網協議，SSL/TLS很容易受到bug和漏洞利用的攻擊。黑客就會利用重新協商的缺陷，如POODLE漏洞和Heartbleed。

保衛企業自有安全工具

企業正陷入左右為難的境地，為了保護應用的安全，企業不得不採用SSL/TLS技術，但同時，由於黑客也會利用SSL/TLS協議來攻擊企業業務，因此企業也需要一些工具來防範這些協議。

外圍安全防禦措施需要處理SSL/TLS流量，確定連接是否合法或者連接是否是DDoS或應用攻擊的一部分。理想情況下，系統能夠在不影響網路和應用可用性的同時，在一定的性能層面上管理SSL/TLS流量。

由於管理加密SSL/TLS連接有大量的資源需求，因此安全解決方案必須整合可以處理並對連接進行分類的方法。必要時，解決方案可以將SSL/TLS連接卸載到高性能加密系統中，該系統可以執行適當的質詢/響應方法來驗證SSL/TLS連接。

此外，加密系統在必要時也可以檢查並驗證內容。SSL檢查解決方案必須是帶外的，這樣才可以確保在SSL連接數量增加時它不會成為瓶頸。

可實現入站保護的DefenseSSL

入站SSL檢查和緩解解決方案是外圍DDoS緩解和應用安全解決方案的重要組成部分。現在，互聯網上50%以上的流量都是經過加密的，而且這個數字還在增加。

任何可以提供DDoS緩解和應用安全服務的外圍網路安全解決方案，都需要集成一個強健且可擴展的SSL檢查解決方案。可擴展性和靈活性對外圍防禦解決方案而言也相當重要。企業有義務保護自己的網路和應用不受威脅侵擾，即使這些隱患有機會是他們自己埋下的。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！