最近，網路上採用加密流量傳輸的情況，是越來越普及。自2016年底，兩大瀏覽器陣營──Google與Mozilla基金會，相繼公布統計數據，宣布他們瀏覽器的使用者中，已有一半以上的上網流量，都採用HTTPS協定的加密連線。今年3月，Cisco最新公布的調查結果裡，也映證網路傳輸加密普遍應用的趨勢：HTTPS流量在2017年10月達到50％，相較於2016年11月僅占整體的38％，使用率可說是大幅增加。NSS實驗室更大膽預測，2019年將會有3/4的網路流量，都會採用加密機制。

在瀏覽器發展的歷史中，廠商早期著重於功能與使用者操作體驗的較勁，像是提供分頁瀏覽，或是支援擴充套件，讓用戶自行為瀏覽器快速加上額外的功能等措施。不過，這幾年各家瀏覽器的改版中，則是加入了安全性考量的政策，從Safari、Chrome、Firefox等瀏覽器，都陸續限制Java與Flash等軟體外掛程式的功能，免於這些軟體拖累瀏覽器執行效率，更重要的，則是上述外掛程式的漏洞，往往也是攻擊者主要下手的目標，連帶影響使用者上網的安全。

而這2年來，兩大瀏覽器陣營的開發方向，則是鼓勵上網流量採用HTTPS加密協定，在2017年1月推出的Chrome 56版，Google將含有要求輸入密碼等機敏內容的HTTP網站，在網址列標示為不安全的網站，Firefox 51也跟進這樣的措施。在這之前，上述瀏覽器僅是在網址列顯示驚歎號符號，提醒用戶要小心。

同年10月，由Google推出的Chrome 62版，則進一步將所有能填寫表單的HTTP網頁，一概都視為不安全、具有潛在風險的連線。此外，基於使用者採用無痕瀏覽視窗的情境下，隱私保護的要求更高，Chrome更是在這樣的模式下，直接標示HTTP連線為危險。

今年2月，Google更直接表態，將在預計7月提供的新版瀏覽器中，把所有HTTP連線視為不安全，而Firefox目前也正在每日建構版本（Nightly）中，測試類似的機制。

不光只是勸退網站和使用者，要他們別再透過HTTP連線，這兩家瀏覽器開發業者，也不約而同擴大加密流量的應用範圍，並且支援新的加密通訊協定，試圖讓使用者上網更加安全。Mozilla基金會在1月時表示，Firefox新功能都將倚賴HTTPS傳輸，而Google則是2017年底在63版Chrome上，開始支援即將推出的TLS 1.3。

另一方面，加密流量的應用普及，也與網站搜尋排行有關，2014年Google宣布，他們的搜尋演算法開始有所調整，針對採用HTTPS的網頁，會優先在搜尋結果中出現，藉此吸引站臺的經營者提升網站安全層級。

再者，現在網站經營者取得SSL憑證的門檻，更是大幅降低。同樣大力推動加密流量的非營利組織──網路安全研究小組（Internet Security Research Group），他們自2015年開始，提供了能自助、免費申請的Let's Encrypt憑證，截至2017年6月時，該單位宣布已經發出了多達一億份的憑證。根據資安顧問Scott Helme的調查，在Alexa排行前一百萬名的網站中，Let's Encrypt已是最大的憑證發行單位，這些現象，顯然有助於加速採用HTTPS傳輸。

｜加密流量對企業帶來的3大風險｜企業無法透視加密流量的問題，我們大致可從3個面向來看，包含了內對外、內對內，以及外對內，其對應的主要流量，分別是員工上網、員工連線公司內的伺服器，還有外部使用者與企業架設的對外伺服器等，其中都潛藏了更容易受到攻擊，或是增加防護難度的情況。

從針對少數網路應用，演變為普及的標準防護配備

然而，HTTPS傳輸協定早期的應用範圍，主要是用來防護機敏資訊的傳遞，不致遭中間人（Man-in-the-Middle，MitM）攻擊，或是有心人士從中側錄的情形，並非適用於大多數網站。因此，當時主要是像網路銀行、購物網站等，才會採用這種通訊協定。

但隨著網際網路應用越來越普遍，攻擊日益氾濫，於是開始有人推動所有網站都要使用HTTPS的概念，像是促進網路自由的電子前線基金會（Electronic Frontier Foundation），他們早在2010年時，就與非營利組織The Tor Project合作，開發了名為HTTPS Everywhere瀏覽器擴充套件，希望協助使用者，儘可能採取HTTPS協定與網站連結，增加上網的安全性。

不過，當時多數使用者還是利用IE瀏覽網頁，這款當時只支援Firefox的擴充套件，並未造成HTTPS流量明顯變化。

根據NSS實驗室的調查，加密連線在2013年時，僅占企業整體流量約25％至35％之間，使用的比率並不算高。在當年，Gartner也預測，這種流量每年會以20％幅度成長，而在許多2017年與今年度的研究報告中，皆指出企業採用加密連線的流量已達到50％以上，實際的情勢，也大致與之前的推測接近。當然，無論是瀏覽器的威嚇，標示HTTP連線具有較高的風險，還是網頁搜尋排行（Search Engine Optimization，SEO）的誘因，以及透過HTTPS交握網站所需的憑證，能夠免費取得等因素的推波助瀾，更是加速這2至3年來，加密連線應用持續擴大的動力。

論及加密流量增長的現象，NSS實驗室在2016年的調查報告中，也反映出無法再忽視的情況──高達97％受訪的企業表示，他們都發現加密網路流量明顯變多，顯然環境的變化，這些企業也開始留意到，可能會帶來的管理問題。

此外，值得留意的是，前述儘管是由應用最為大宗的上網流量，也就是HTTPS做為討論加密流量的代表，然而，連線採取加密保護的做法，遍及各種型態的通訊協定，像是電子郵件的部分，就有POP3S、SMTPS、IMAPS等加密流量，依據Google的統計資料，無論是寄送還是接收，各約有9成與Gmail通訊的電子郵件，採用了加密措施保護。

｜IoT裝置是企業加密流量增加的重要來源｜企業加密流量大幅增加的來源，主要來自於新興的應用。根據IDC在2016年4月的State of SSL/TLS and Threat Visibility Survey調查，前3大企業加密流量的應用增長來源裡，IoT裝置與使用者檔案共用的SaaS服務，所產生的連線，可說是企業普遍認為加密流量主要應用。不過，無論是企業內部員工使用，還是提供給客戶的網路應用程式，也陸續採取這種連線機制。資料來源／IDC

水能載舟亦能覆舟，加密流量遭攻擊者濫用，暗渡陳倉

其實，本來網路流量加密機制的用意，在於增加對於傳輸內容的保護，避免中間人攻擊手法，從中竄改或是截取內容。只是，以往建立這種措施的時候，大概想不到有朝一日，加密流量竟會成為企業網路管理的死角。

前述Cisco最近推出的調查報告裡，第一個提到的現象，就是埋藏在加密流量中的攻擊大幅增加，顯示這樣的情況極需企業關注。

依據Cisco的統計資料，利用加密連線傳輸惡意軟體的情形，在2016年11月僅僅不到1/5，之後便開始略為成長，但在2017年6月以前，他們每個月所發現到的樣本數，仍在40％以下，直到7月，竟一舉超過60％，9月的比例更達到快要8成之多，換言之，加密流量幾乎可說是現在攻擊者滲透的主要管道。

值得留意的是，採用加密流量暗中夾帶惡意軟體的手法，其實已經出現多年，然而，或許是以往企業大多傾向封鎖這種流量，因此之前運用的比例其實都不高。雖然Cisco統計依據的是惡意軟體樣本數量，不過，在該份報告中，他們也特別提到，有心人士透過C&C中繼站下達攻擊命令時，加密流量是強而有力的工具之一。事實上，之所以2017年出現的多起加密勒索軟體攻擊，像是WannaCry、NotPetya、BadRabbit等，能夠神不知鬼不覺的潛入企業，然後演變為大規模爆發的災情，一般也認為是利用這種流量進行的攻擊。

從2017年5月連續發動2波攻擊，目標鎖定金融產業的TrickBot事件為例，F5透過解密後的流量內容進行分析後，發現與C&C伺服器連線的Javascript指令碼，幾乎都是採用HTTPS協定通訊。這起事件主要在美國、歐洲、澳洲，以及紐西蘭等地發生災情，而且鎖定針對銀行、線上支付服務供應商、客戶關係管理SaaS平臺廠商等，攻擊者專挑他們的分公司下手。對手策畫時，可能認為分公司難以透視加密流量，因此特別找上這樣的目標，增加得手的機率。

｜潛藏加密流量中的惡意軟體樣本數大幅增加｜埋伏在加密流量裡的惡意軟體數量，自WannaCry等加密勒索軟體爆發後不久，即2017年7月以後便明顯增加，9月時更達到高峰，近乎8成，等於每5個惡意軟體就有4個在加密流量中，顯示這種流量已成為有心人士傳送惡意攻擊的主要管道。圖片來源／Cisco

促使企業管理加密流量的關鍵推力，仍在於影響營運與否

雖然加密流量帶來了資安盲點，這次受訪的廠商也普遍表示，臺灣企業對於相關解決方案詢問度，高達6至7成，不過，論及採用專屬加解密設備，或是升級次世代防火牆等相關措施的動機，企業仍看重是否直接造成營運損失，例如，員工是否將公司重要機密資料外洩，因此，目前仍有許多以管制使用者行為的做法，像是使用網址白名單、禁用VPN連線，而在電子郵件的部分，則是出現了攔截附件政策，甚至是大部分員工不能自行寄信的情況。

然而，若是一味的採取限縮員工上網行為，恐怕也會嚴重影響公司整體的生產力，而且上有政策，下有對策，使用者也很有可能改用自己裝置對外連線，勢必也會衍生其他的隱憂。例如，透過Facebook粉絲專頁行銷的方法，目前大部分的公司都有採用，企業假如以管制員工上網的理由，禁止使用Facebook，負責管理分絲專頁的員工，恐怕就要利用外部裝置處理。因此，監控網路流量的內容，並且加以分析可能隱含其中的問題，企業也要與時俱進。

由於存在解密流量極度耗費設備硬體資源的情況，依據NSS實驗室的測試資料來看，次世代防火牆啟動了加解密的功能後，性能便只剩下不到原本的1/5。在過往加密流量使用率不高的環境中，企業可以採取封鎖的政策，可是現在超過一半流量都使用加密連線，假如依舊不能透視這些流量的內容，便形同瞎子摸象，更別說要管理了。

另一方面，企業上網的裝置型態也不再只有PC，還有員工的手機，以及IoT連網裝置等。從Google統計使用Chrome瀏覽器上網的數據來看，執行Android平臺的設備，採取HTTPS加密流量的比例，可說是成長最多。在2015年3月的時候，與HTTPS網頁的通訊只有29％，遠低於PC各類型平臺的39％到44％，但截至今年的3月，這類裝置使用HTTPS連線網頁的比例為69％，已與Windows電腦的71％相當接近。而Android作業系統又是許多IoT裝置會採用的平臺，企業想要管理加密流量的時候，就不能只列管個人電腦和伺服器，也必須要將IoT與行動裝置一併納入範圍。

而實際臺灣企業的需求為何？我們這次採訪的廠商中，不約而同的表示，許多客戶之所以詢問加密流量解決方案，大多仍是想要防止員工將公司的機密資料外洩。這樣的考量，雖然無可厚非，但若僅是偏重防內賊，作為解密流量的出發點，也可能會衍生其他問題，像是許多流量含有使用者的隱私內容，企業要是在沒有合理的調查緣由，就全數解密，極有可能觸及個資相關的法令，加上臺灣是以對外貿易為主的國家，對於其他地區法規的要求，企業可能同時也需要遵守。

因此，不論企業採取的流量管理做法為何，勢必要通盤考量，包含因應架構上的變化，尤其現在企業或多或少都採用了SaaS、PaaS，或是IaaS雲端服務，雖然維持公司網路的可用性極為重要，但要是忽略上述新興架構裡的加密網路流量，也同樣存在潛藏的風險。

固然，加密流量帶來了不少潛在的風險，網管人員想要映證公司中的現況，其中所占總流量比例為何，其實也不難，例如，可以經由防火牆、UTM設備過濾HTTPS等協定流量，或是監聽443等通訊埠的統計結果，就能概略得知。但若是想要呈報上級，使其了解企業加密流量大幅增加的程度，以及需透過特定設備，加以管理，卻恐怕有其難度。因為，企業過往的流量記錄，未必能夠取得這些加密連現的狀態，而要是之前採取封鎖的政策，報表上也難有與加密流量相關的資料，可供比較。

一般而言，由於無法透視加密流量，所產生的資安事件，這樣的案例讓人最能同感深受，也是這次受訪廠商普遍認為較為可行的做法。

畢竟，對於企業經營的角度來說，或許受害的損失是其次，但攻擊事件一旦公開，遭到媒體大肆的報導，帶來的商譽損害威力極為驚人，誰也不想成為這樣的受害者。

當然，企業採取了合適的加密流量管理、透視的措施之後，也要對其收集到的內容，透過像是資安事件分析平臺，歸檔並加以整理，由於不少資安事件是目標式攻擊，潛伏期間可能非常長，企業若是能從中找出徵兆，才有可能及早防範攻擊事件的發生。

｜運用加密流量的勒索軟體排行｜加密流量本是保護連線內容，卻現在成為有心人士隱暱惡意軟體的死角，去年極為令人聞之色變的勒索軟體，許多便利用這樣的管道滲透。在SonicWall近期推出的2018年資安威脅報告中，指出他們從加密流量發現了多達23萬個勒索軟體，其中包含了知名的Locky等家族。

｜SSL和TLS協定運作方式｜我們經常會聽到SSL、TLS等與網路連線有關的名詞，但你知道嗎？這些加密連線實際上是如何運作？加密連線建立的過程，從用戶端電腦發出HTTPS連線請求開始，網站伺服器便會寄送x509憑證與公開金鑰，然後由用戶端確認憑證來源有效性後，產生隨機的對稱金鑰，用來解開來自伺服器的金鑰。之後的加密連線期間，兩端就以上述的對稱金鑰，拆解流量中的內容。