針對加密服務的攻擊

加密是安全體系中最基本的需求之一，有了加密技術，銀行才能提供網上銀行和資金轉賬服務，消費者才能使用信用卡或借記卡進行網上購物，它也是公眾與政府機構或醫療服務提供商進行在線交互的安全保證。然而，毫不意外的是，加密服務是DDoS攻擊的主要目標。加密服務讓人們能夠訪問大量個人數據、保密數據和財務數據。身份竊賊和網路罪犯一旦成功破解網路服務加密，就能獲得大量可乘之機。

根據NETSCOUT Arbor的第13次年度全球基礎設施安全報告（WISR），近年來，以加密網路服務為目標的攻擊變得越來越普遍。在企業、政府和教育（EGE）領域的受訪者中，53%檢測到以應用層的加密服務為目標的攻擊，42%的受訪者表示受到以TLS/SSL（安全傳輸層/安全套接層）協議為目標的攻擊，這些協議控制著客戶端-伺服器身份驗證和安全通信。在服務提供商中，檢測到以安全網路服務（HTTPS）為攻擊目標的比例在過去一年顯著提高，從52%提高到了61%。

四種主要加密攻擊類型

以加密服務為目標的DDoS攻擊常常分為以下四類：

·以SSL/TLS協商（一般稱為「握手」）為目標的攻擊，此類攻擊決定了連接互聯網的雙方對其通信進行加密的方式。

·針對SSL服務埠的協議或連接攻擊，此類攻擊旨在利用SSL漏洞。

·以SSL/TLS服務埠為目標的容量耗盡攻擊，此類攻擊通過高流量洪泛耗盡埠容量。

·針對通過SSL/TLS運行的基礎服務的應用層攻擊。

攻擊者在攻擊高價值加密目標時可謂不屈不撓。由於大部分加密應用和服務的本質決定了其重要性，一次成功的攻擊就能產生毀滅性的後果。考慮到安全網路服務攻擊的廣度、多樣性和逐步升級的趨勢，必須採取能夠檢測和緩解目前所有攻擊類型的多層防禦措施。

以牙還牙：挫敗加密攻擊

為了給安全團隊製造更多麻煩，攻擊者經常使用SSL/TLS加密本身隱藏其非法活動。大量互聯網流量在網路中流動卻不會被檢測或發現，這讓惡意攻擊者能夠輕鬆隱藏在合法流量中，隨時準備對安全HTTPS服務發起攻擊。因此，安全體系的一個重要組件是能夠檢查經過安全加密的流量，並驗證其真實性，而不會減緩、阻斷或危害合法流量。雖然成功抵禦攻擊並不總是需要解密，但很明顯，人們越來越需要可擴展的數據包解密解決方案。

NETSCOUT Arbor第13次WISR得出的一個積極結論是，服務提供商和企業都認識到傳統的防火牆和入侵防護系統無法有效抵禦複雜的DDoS攻擊，尤其是以加密服務為目標的加密攻擊。加密是一項必要的技術，但它無法依靠自身挫敗頑強且富有經驗的攻擊者。作為緩解DDoS攻擊唯一有效的方法，安全網路服務運營商和託管方越來越認識到特別設計的智能DDoS緩解系統（IDMS）的必要性。最佳做法是採用結合始終開啟的本地防禦措施和雲端緩解功能的分層方法，根據威脅的規模和性質自動激活。

DDoS攻擊產生的最嚴重後果經常是聲譽和品牌形象受損，對組織聲譽破壞最大的無疑是損壞安全服務，因為消費者已經對這些服務建立了信任，而且每天都依賴這些服務，甚至不會有其他想法。組織需要在加密之外採取更多措施，確保最關鍵服務的完整性和可用性。

關於作者

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！