當加密流量成為網路常態

在2014年底，我們製作了網路加密流量管理的專題報導，當時仍有許多國內的網站並未全面採用HTTPS，Yahoo奇摩算是開始率先進行的本土網站，而且是做到全站加密連線。在那段時間，我們也看到電子前哨基金會（EFF），持續鼓吹眾人應積極使用HTTPS，因而，出現了HTTPS Everywhere這類瀏覽器外掛程式，使得我們在存取網頁時，預設就是使用HTTPS協定。

而時隔3年的現在，各大瀏覽器平臺預設就是以HTTPS來存取所有網頁，絕大多數網站也幾乎都支援這樣的作法，加上Let's Encrypt從2015年底起，開始廣泛發布SSL憑證，加速推動了網站全面採用HTTPS的風潮，至此，使用者在瀏覽各種網頁時，可說是全面透過加密連線來存取。

而此刻，為何我們要重新面對這個議題？許多資安廠商都在這兩年提出呼籲，注意躲藏在加密流量的惡意軟體或入侵攻擊。

例如，根據Cisco的採樣，透過TLS加密連線進行通訊的惡意軟體，在2015年的比例是2.21％,，到了2017年5月，增加到21.44％。另一個佐證，則是研究機構Ponemon在2016年的問卷調查，結果顯示，已意識惡意人士透過SSL加密來隱藏其漏洞濫用行徑的公司，比例為41％；因隱藏在SSL加密流量的惡意軟體，而使得公司內部帳號密碼外洩的比例，高達71％；而受限於公司現有安全基礎架構而無力檢測加密流量者，也有6成。

接下來，讓我們再看看雲端安全服務廠商Zscaler的分析。他們觀察到2017年上半，自身的雲端服務當中，有60％的網路流量是SSL或TLS加密的連線，而利用這種管道傳遞惡意內容的行為成長了2倍；同時，他們攔截到的新興惡意攻擊的彈頭，都源於Box、Dropbox、AWS、Google等雲端服務環境，透過SSL/TLS的加密網路連線，聯繫命令與控制伺服器（C&C），而且，當中有60％是網路銀行木馬，25％是勒索軟體，12％是竊取資料的木馬。

面對加密網路流量同時包藏惡意軟體連線與駭客攻擊活動的狀況，其實頗為尷尬，因為原本推動加密連線的目的，就是為了要確保網路連線的過程中，可透過加密的形式，防止經由網路傳遞的內容遭到擷取或竄改，但這下可好了！各方雖然投入大量資源，極力促成整個網際網路達到100% HTTPS的目標，積極確保網路上的個人隱私與內容機密，然而，這項全球型行動，卻也同時讓網路犯罪份子、駭客組織跟著受惠。

因為，透過Let's Encrypt、SSL For Free這樣的服務，所有人都能更方便取得SSL憑證。 根據Let's Encrypt的統計，他們在2017年底已經針對6千1百萬個網域名稱，提供了SSL憑證，今年的網域憑證發放規模，預計達到9千萬到1.2億個。但是，這是否也衍生一些問題呢？

在2015年底，趨勢科技發現了惡意廣告結合Let's Encrypt免費憑證的手法。到了2017年3月，任職於SSL Store公司的加密專家Vincent Lynch透露，Let's Encrypt對於使用到「PayPal」一詞的網域名稱，例如paypal.com.secure-alert.net，發放了超過1.5萬個安全憑證，極有可能用於釣魚網站。

因此，當整個網際網路在大力擁抱加密連線的作法時，有心搞破壞的人士、惡意軟體、網路入侵行為，也同樣受到這個機制的保護，而難以現形，若要妥善因應這個趨勢，如何提升透視加密流量的能力，勢必要投入更多資源，才能更有效強化相關管控。