检查流量可以帮助组织检测恶意软件,但 HTTPS 检查所带来的安全风险也需要仔细考量。
阅读本文后,您将能够:
相关内容
订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!
复制文章链接
HTTPS 检查是通过使用与网络连接上的在途攻击相同的技术来检查加密 Web 流量的过程。这是一些企业网络设备、防火墙和威胁管理产品的一项功能。
组织可能想要检查 HTTPS 流量,以寻找恶意软件、识别数据外泄尝试,并阻止对特定网站的访问。恶意软件带来了安全问题,因为它可能使企业运作瘫痪、窃取数据或使文件无法访问。
HTTPS 检查有许多名称,包括 SSL 检查、TLS 检查、TLS 中断和检查以及 HTTPS 拦截。
当组织使用 HTTPS 检查来保护自己免受恶意软件的攻击时,他们会使用一种产品来建立两个单独的加密连接,并模拟客户端和服务器。该产品搜索要阻止的恶意威胁,而不让客户端知道并没有一个经过验证的端到端连接。
举个例子,假设一个学生在课堂上给朋友传递一张纸条,却没有意识到坐在他们之间的人可以阅读消息的内容。在这种情况下,消息发送者认为纸条在传输过程中是密封的,却没有意识到它可以在没有任何明显迹象的情况下打开和关上。HTTPS 检查与此示例的一个重要不同点就是,消息发送者甚至不知道中间人的存在。
通常,当网站使用 TLS 时,客户端设备(用户的计算机或智能手机)直接连接到网站的主机服务器并设置加密连接。建立加密连接后,客户端和服务器之间的流量完全加密,中间中没有人可以查看流量。
在 HTTPS 检查期间,产品设置了两个 SSL 连接——一个到服务器,一个到客户端。从客户端的角度来看,它直接连接到服务器,没有中间人。相反,流量被重定向到冒充网站的检查产品。它具有查看、更改和阻止内容的能力。
在互联网的早期,流量通过 HTTP 以明文形式发送。这意味着没有任何东西是加密的,如果有人拦截流量,其所有的数据都会暴露。
采用 HTTPS(HTTP 的安全版本),流量是加密的。客户端和服务器通过来回通信的过程建立一个安全连接。
HTTPS 保护互联网流量不被未授权方监控。但是,它也可以帮助恶意行为者隐藏他们的踪迹。HTTPS 加密并隐藏各种数据,无论是个人的银行数据还是来自攻击者的恶意软件。
浏览器用于 HTTPS 连接的挂锁图标标志着用户和服务器之间的数据是加密的,而不是说网站的一切都能保证免受攻击或窥探。由受信任的公司(如金融机构)运营的网站可能存在安全漏洞,并在不知不觉中对用户构成威胁。另外,攻击者可以建立一个看起来安全的恶意网站,因为它有 SSL 证书,且会加密流量。
如果操作不当,HTTPS 检查可能会造成安全漏洞。对于正常的、未经检查的流量,浏览器可以验证端到端的连接——验证证书是否有效可确保客户端与拥有域的服务器进行通信。
检查会中断这一过程,如果不充分注意,则会带来一些问题:
HTTPS 检查提供:
关于对抗隐藏在 HTTPS 流量中的恶意软件,尚不存在广泛接受的单一方法。一些可以提供帮助的措施包括:
了解 Cloudflare Gateway 如何阻止恶意软件和其他风险,同时提供近乎实时的流量监控。