日前，网络安全公司Zscaler的 ThreatLabz研究团队编写发布了《2023年加密攻击态势调查报告》，报告数据显示，目前85.9%的网络威胁是通过加密通道发起的，包括恶意软件、数据窃取和网络钓鱼攻击。更重要的是，许多加密攻击使用了合法的、受信任的加密隧道服务来托管恶意负载，这使得对这些攻击的检测和防范变得更具挑战性。

利用加密隧道攻击的10种类型

现代企业面临了诸多挑战，使他们无法大规模扫描所有的SSL/TLS流量，从而导致许多攻击可以在不被发现的情况下通过。为了加强加密隧道中的数字安全防御能力，企业应该首先了解攻击者会如何利用加密隧道发起攻击，以下总结了攻击者恶意利用加密隧道的常见类型。

1、中间人攻击(MitM)

在MitM攻击中，攻击者会拦截并可能更改流经隧道的数据。2014年发生了一起引人注目的事件，当时某大型计算机设备制造商在所有生产的电脑上安装了Superfish视觉搜索广告软件。这使得攻击者可以在加密的网页上创建和部署广告，并通过修改SSL证书来添加自己的广告。为了缓解这种威胁，需要实施强大的身份验证机制和定期更新加密协议。

2、端点漏洞利用

加密隧道的安全性很大程度上取决于它所连接的端点设备。如果连接到隧道的端点设备被破坏，就可以作为恶意活动的入口点。一个典型的例子是2017年发生的Equifax数据泄露事件，该公司网络中的端点设备受到攻击，导致敏感的消费者数据暴露。该事件强调了定期安全审计、补丁管理和端点保护措施的重要性。

3、弱加密算法破解

加密算法的强度会直接影响加密隧道抵御攻击的能力。过时或弱的加密算法很容易受到暴力破解攻击。2015年的“Logjam”漏洞九凸显了弱加密算法的风险，导致了包括政府门户网站在内的数百个网站沦为被攻击者秘密窃听的对象。为了应对此类威胁，企业组织应该跟上行业发展趋势，采用更强大的加密方法。

4、内部威胁

具有恶意企图的内部攻击者同样会对加密隧道使用构成重大风险。有权访问加密隧道的雇员或承包商可能会滥用他们的特权。2018年，由于缺乏可靠的访问管理机制，思科公司的云基础设施就陷入被非法访问的危机。一名恶意的前雇员利用这些弱点访问了基础设施并部署了恶意代码。企业组织要想缓解内部威胁，就需要实现严格的访问控制、进行定期审计和培养具有安全意识的文化。

5、拒绝服务(DoS)攻击

虽然加密隧道侧重于数据机密性，但可用性同样至关重要。DoS攻击是指向系统发送大量流量，使其资源不堪重负，从而破坏加密隧道的功能。2012年，针对美国六大银行机构的DDoS攻击严重破坏了其在线服务，这一事件凸显了数字漏洞和网络攻击的潜在影响。为了增强加密隧道抵御DoS攻击的弹性，组织可以采用流量过滤、负载平衡和冗余基础设施。

6、IPsec隧道利用

IPsec作为安全VPN的基石，也很可能成为网络入侵者的诱人目标。在入侵过程中，攻击者可以利用IPsec隧道两侧的专有硬件设备，这也再次强调了加强VPN端点安全的重要性。因此很明显，组织需要增强安全协议并严格监控IPsec隧道，实现入侵检测系统(IDS)和定期更新安全配置都是非常有效的措施。

7、VPN隧道隐秘侦察

对很多大型组织来说，其所使用的Site-to-Site VPN隧道可能会为攻击者进行网络侦察提供隐蔽的路线。2019年，攻击者就成功通过Site-to-Site VPN对一家跨国公司进行了隐秘的网络侦察，这凸显了企业组织对VPN隧道中的侦察活动缺乏定期检查的现实。为了防止网络间谍活动的隐蔽路线，组织应该实施强大的流量监控和记录系统。定期分析日志和采用入侵防御系统(IPS)可以帮助识别和阻止潜在的威胁。

8、SSH隧道隐形攻击

SSH隧道是为安全数据传输而设计的，但其创建安全隧道的作用同样吸引了攻击者的关注。被破坏的SSH隧道可能成为攻击者开展非法行动的途径。组织应该实现强大的身份验证机制，定期更新SSH配置，并对SSH流量进行实时监控。持续检查SSH隧道(包括跟踪用户活动和审计访问日志)对于检测和缓解潜在的安全漏洞至关重要。

9、TLS/SSL隧道身份操纵

通常用于保护web交易的TLS/SSL隧道可能成为身份操纵的“帮凶”。攻击者可能会采用中间人之类的策略，利用虚假身份，这也强调了持续对访问者身份进行审查的必要性。此外，实现强大的证书管理实践、定期更新SSL/TLS协议和使用web应用程序防火墙(WAF)也都是必不可少的步骤。

10、加密网络钓鱼

网络钓鱼者会利用TLS/SSL隧道使用被盗证书来创建欺骗性网站。当攻击者操纵SSL/TLS隧道时，HTTPS会话中的信任会变得脆弱，需要采取主动措施和定期验证。近年来，利用加密隧道的网络钓鱼攻击不断发展。在2021年的“DarkTequila”活动中，网络犯罪分子巧妙地利用TLS加密连接来掩盖其恶意活动。通过部署带有被盗SSL证书的欺骗性网站，攻击者成功地锁定了用户的敏感信息。这个例子强调了实施主动措施以防止加密网络钓鱼攻击的紧迫性。

加密隧道攻击防护建议

如上所见，攻击者会在攻击链的多个阶段利用加密隧道：从通过VPN等工具获得初始入口，到通过网络钓鱼攻击建立立脚点，再到通过域控制器横向移动并泄露数据。因此，企业组织应该详细规划阻止加密威胁的机制，并在攻击链的每个阶段采取合适的控制措施。以下是Zscaler安全研究人员给出的加密隧道攻击防护建议：

1、使用零信任架构检查所有的加密流量

阻止加密攻击的关键在于能够大规模扫描所有的加密流量和内容，同时又不影响网络的运行性能。基于最小特权原则，零信任架构会根据身份、上下文和业务策略直接代理用户和应用程序之间的连接——而不是底层网络。因此，无论用户消耗多少带宽，所有加密的流量和内容都可以通过统一的架构，对来自每个用户的每个数据包进行无限规模的SSL/TLS检查。除此之外，用户和应用程序的直接连接，使得将应用程序流量分割到高度精细的用户集变得更加容易，从而消除了传统扁平网络中通常存在的横向移动风险。

2、最小化企业网络攻击面

所有IP地址或面向互联网的资产(包括企业应用程序和工具，如VPN和防火墙)都是可发现的，容易受到威胁行为者的攻击。破坏这些资产是网络犯罪分子获取立足点的第一步，随后他们会从传统网络横向移动到关键的应用程序。

因此，企业需要做好攻击面管理工作，尽可能地在互联网上隐藏各种应用程序，或将它们置于云安全代理之后，这样只有经过身份验证的用户才能访问它们。通过清除大量的外部攻击面，企业可以防止应用系统被威胁行为者发现，并从一开始就阻止许多加密攻击的发生。

3、利用体系化的威胁防护技术

企业可以使用许多工具来阻止加密威胁，其中分层防御是最好的防护理念。关键的是，这些防御措施应该是相互关联的，以便安全工具在加密流量实际交付之前检测到恶意有效负载。

有许多核心技术可以构成最佳实践防御。其中包括具有ML功能的内联沙箱，它允许组织立即、实时地隔离、阻止和引爆可疑文件和零日威胁，而不会影响业务。此外，云IPS、URL过滤、DNS过滤和浏览器隔离等技术结合起来也能够为企业提供针对加密威胁的有效防护。

4、采取多层策略保护数据安全

企业在阻止加密攻击时，还必须有效保护其网络数据的流通和使用，以防止网络犯罪分子窃取数据。如上所述，威胁行为者经常使用“受信任的”加密隧道来托管恶意的有效载荷和泄露的数据。如果不扫描出站SSL/TLS流量和内联内容，企业将很难知道这种情况正在发生。与其他类型的威胁预防措施一样，企业也应该采取多层方法来保护其数据。作为最佳实践，企业应该寻找像内联DLP这样的功能，它可以检查所有数据通道中的SSL/TLS内容，如SaaS应用程序、端点、电子邮件、私有应用程序，甚至云上的安全态势。

原文链接：

https://venafi.com/blog/5-worst-things-attackers-can-do-your-encrypted-tunnels/。

https://www.encryptionconsulting.com/demystifying-threats-in-encrypted-tunnels-what-you-need-to-know/。

https://www.zscaler.com/blogs/product-insights/4-ways-enterprises-can-stop-encrypted-cyber-threats。