最近，網(wǎng)絡(luò)上采用加密流量傳輸?shù)那闆r，是越來(lái)越普及。自2016年底，兩大瀏覽器陣營(yíng)──Google與Mozilla基金會(huì)，相繼公布統(tǒng)計(jì)數(shù)據(jù)，宣布他們?yōu)g覽器的使用者中，已有一半以上的上網(wǎng)流量，都采用HTTPS協(xié)定的加密連線。今年3月，Cisco最新公布的調(diào)查結(jié)果里，也映證網(wǎng)絡(luò)傳輸加密普遍應(yīng)用的趨勢(shì)：HTTPS流量在2017年10月達(dá)到50％，相較於2016年11月僅占整體的38％，使用率可說(shuō)是大幅增加。NSS實(shí)驗(yàn)室更大膽預(yù)測(cè)，2019年將會(huì)有3/4的網(wǎng)絡(luò)流量，都會(huì)采用加密機(jī)制。

　　在瀏覽器發(fā)展的歷史中，廠商早期著重於功能與使用者操作體驗(yàn)的較勁，像是提供分頁(yè)瀏覽，或是支援?dāng)U充套件，讓用戶(hù)自行為瀏覽器快速加上額外的功能等措施。不過(guò)，這幾年各家瀏覽器的改版中，則是加入了安全性考量的政策，從Safari、Chrome、Firefox等瀏覽器，都陸續(xù)限制Java與Flash等軟體外掛程式的功能，免於這些軟體拖累瀏覽器執(zhí)行效率，更重要的，則是上述外掛程式的漏洞，往往也是攻擊者主要下手的目標(biāo)，連帶影響使用者上網(wǎng)的安全。

　　而這2年來(lái)，兩大瀏覽器陣營(yíng)的開(kāi)發(fā)方向，則是鼓勵(lì)上網(wǎng)流量采用HTTPS加密協(xié)定，在2017年1月推出的Chrome 56版，Google將含有要求輸入密碼等機(jī)敏內(nèi)容的HTTP網(wǎng)站，在網(wǎng)址列標(biāo)示為不安全的網(wǎng)站，F(xiàn)irefox 51也跟進(jìn)這樣的措施。在這之前，上述瀏覽器僅是在網(wǎng)址列顯示驚嘆號(hào)符號(hào)，提醒用戶(hù)要小心。

　　同年10月，由Google推出的Chrome 62版，則進(jìn)一步將所有能填寫(xiě)表單的HTTP網(wǎng)頁(yè)，一概都視為不安全、具有潛在風(fēng)險(xiǎn)的連線。此外，基於使用者采用無(wú)痕瀏覽視窗的情境下，隱私保護(hù)的要求更高，Chrome更是在這樣的模式下，直接標(biāo)示HTTP連線為危險(xiǎn)。

　　今年2月，Google更直接表態(tài)，將在預(yù)計(jì)7月提供的新版瀏覽器中，把所有HTTP連線視為不安全，而Firefox目前也正在每日建構(gòu)版本（Nightly）中，測(cè)試類(lèi)似的機(jī)制。

　　不光只是勸退網(wǎng)站和使用者，要他們別再透過(guò)HTTP連線，這兩家瀏覽器開(kāi)發(fā)業(yè)者，也不約而同擴(kuò)大加密流量的應(yīng)用范圍，并且支援新的加密通訊協(xié)定，試圖讓使用者上網(wǎng)更加安全。Mozilla基金會(huì)在1月時(shí)表示，F(xiàn)irefox新功能都將倚賴(lài)HTTPS傳輸，而Google則是2017年底在63版Chrome上，開(kāi)始支援即將推出的TLS 1.3。

　　另一方面，加密流量的應(yīng)用普及，也與網(wǎng)站搜尋排行有關(guān)，2014年Google宣布，他們的搜尋演算法開(kāi)始有所調(diào)整，針對(duì)采用HTTPS的網(wǎng)頁(yè)，會(huì)優(yōu)先在搜尋結(jié)果中出現(xiàn)，藉此吸引站臺(tái)的經(jīng)營(yíng)者提升網(wǎng)站安全層級(jí)。

　　再者，現(xiàn)在網(wǎng)站經(jīng)營(yíng)者取得SSL憑證的門(mén)檻，更是大幅降低。同樣大力推動(dòng)加密流量的非營(yíng)利組織──網(wǎng)絡(luò)安全研究小組（Internet Security Research Group），他們自2015年開(kāi)始，提供了能自助、免費(fèi)申請(qǐng)的Let's Encrypt憑證，截至2017年6月時(shí)，該單位宣布已經(jīng)發(fā)出了多達(dá)一億份的憑證。根據(jù)資安顧問(wèn)Scott Helme的調(diào)查，在Alexa排行前一百萬(wàn)名的網(wǎng)站中，Let's Encrypt已是最大的憑證發(fā)行單位，這些現(xiàn)象，顯然有助於加速采用HTTPS傳輸。

　　加密流量對(duì)企業(yè)帶來(lái)的3大風(fēng)險(xiǎn)：企業(yè)無(wú)法透視加密流量的問(wèn)題，我們大致可從3個(gè)面向來(lái)看，包含了內(nèi)對(duì)外、內(nèi)對(duì)內(nèi)，以及外對(duì)內(nèi)，其對(duì)應(yīng)的主要流量，分別是員工上網(wǎng)、員工連線公司內(nèi)的伺服器，還有外部使用者與企業(yè)架設(shè)的對(duì)外伺服器等，其中都潛藏了更容易受到攻擊，或是增加防護(hù)難度的情況。

　　然而，HTTPS傳輸協(xié)定早期的應(yīng)用范圍，主要是用來(lái)防護(hù)機(jī)敏資訊的傳遞，不致遭中間人（Man-in-the-Middle，MitM）攻擊，或是有心人士從中側(cè)錄的情形，并非適用於大多數(shù)網(wǎng)站。因此，當(dāng)時(shí)主要是像網(wǎng)絡(luò)銀行、購(gòu)物網(wǎng)站等，才會(huì)采用這種通訊協(xié)定。

　　但隨著網(wǎng)際網(wǎng)絡(luò)應(yīng)用越來(lái)越普遍，攻擊日益泛濫，於是開(kāi)始有人推動(dòng)所有網(wǎng)站都要使用HTTPS的概念，像是促進(jìn)網(wǎng)絡(luò)自由的電子前線基金會(huì)（Electronic Frontier Foundation），他們?cè)缭?010年時(shí)，就與非營(yíng)利組織The Tor Project合作，開(kāi)發(fā)了名為HTTPS Everywhere瀏覽器擴(kuò)充套件，希望協(xié)助使用者，盡可能采取HTTPS協(xié)定與網(wǎng)站連結(jié)，增加上網(wǎng)的安全性。

　　不過(guò)，當(dāng)時(shí)多數(shù)使用者還是利用IE瀏覽網(wǎng)頁(yè)，這款當(dāng)時(shí)只支援Firefox的擴(kuò)充套件，并未造成HTTPS流量明顯變化。

　　根據(jù)NSS實(shí)驗(yàn)室的調(diào)查，加密連線在2013年時(shí)，僅占企業(yè)整體流量約25％至35％之間，使用的比率并不算高。在當(dāng)年，Gartner也預(yù)測(cè)，這種流量每年會(huì)以20％幅度成長(zhǎng)，而在許多2017年與今年度的研究報(bào)告中，皆指出企業(yè)采用加密連線的流量已達(dá)到50％以上，實(shí)際的情勢(shì)，也大致與之前的推測(cè)接近。當(dāng)然，無(wú)論是瀏覽器的威嚇，標(biāo)示HTTP連線具有較高的風(fēng)險(xiǎn)，還是網(wǎng)頁(yè)搜尋排行（Search Engine Optimization，SEO）的誘因，以及透過(guò)HTTPS交握網(wǎng)站所需的憑證，能夠免費(fèi)取得等因素的推波助瀾，更是加速這2至3年來(lái)，加密連線應(yīng)用持續(xù)擴(kuò)大的動(dòng)力。

　　論及加密流量增長(zhǎng)的現(xiàn)象，NSS實(shí)驗(yàn)室在2016年的調(diào)查報(bào)告中，也反映出無(wú)法再忽視的情況──高達(dá)97％受訪的企業(yè)表示，他們都發(fā)現(xiàn)加密網(wǎng)絡(luò)流量明顯變多，顯然環(huán)境的變化，這些企業(yè)也開(kāi)始留意到，可能會(huì)帶來(lái)的管理問(wèn)題。

　　此外，值得留意的是，前述盡管是由應(yīng)用最為大宗的上網(wǎng)流量，也就是HTTPS做為討論加密流量的代表，然而，連線采取加密保護(hù)的做法，遍及各種型態(tài)的通訊協(xié)定，像是電子郵件的部分，就有POP3S、SMTPS、IMAPS等加密流量，依據(jù)Google的統(tǒng)計(jì)資料，無(wú)論是寄送還是接收，各約有9成與Gmail通訊的電子郵件，采用了加密措施保護(hù)。

　　IoT裝置是企業(yè)加密流量增加的重要來(lái)源：企業(yè)加密流量大幅增加的來(lái)源，主要來(lái)自於新興的應(yīng)用。根據(jù)IDC在2016年4月的State of SSL/TLS and Threat Visibility Survey調(diào)查，前3大企業(yè)加密流量的應(yīng)用增長(zhǎng)來(lái)源里，IoT裝置與使用者檔案共用的SaaS服務(wù)，所產(chǎn)生的連線，可說(shuō)是企業(yè)普遍認(rèn)為加密流量主要應(yīng)用。不過(guò)，無(wú)論是企業(yè)內(nèi)部員工使用，還是提供給客戶(hù)的網(wǎng)絡(luò)應(yīng)用程式，也陸續(xù)采取這種連線機(jī)制。

　　其實(shí)，本來(lái)網(wǎng)絡(luò)流量加密機(jī)制的用意，在於增加對(duì)於傳輸內(nèi)容的保護(hù)，避免中間人攻擊手法，從中竄改或是截取內(nèi)容。只是，以往建立這種措施的時(shí)候，大概想不到有朝一日，加密流量竟會(huì)成為企業(yè)網(wǎng)絡(luò)管理的死角。

　　前述Cisco最近推出的調(diào)查報(bào)告里，第一個(gè)提到的現(xiàn)象，就是埋藏在加密流量中的攻擊大幅增加，顯示這樣的情況極需企業(yè)關(guān)注。

　　依據(jù)Cisco的統(tǒng)計(jì)資料，利用加密連線傳輸惡意軟體的情形，在2016年11月僅僅不到1/5，之後便開(kāi)始略為成長(zhǎng)，但在2017年6月以前，他們每個(gè)月所發(fā)現(xiàn)到的樣本數(shù)，仍在40％以下，直到7月，竟一舉超過(guò)60％，9月的比例更達(dá)到快要8成之多，換言之，加密流量幾乎可說(shuō)是現(xiàn)在攻擊者滲透的主要管道。

　　值得留意的是，采用加密流量暗中夾帶惡意軟體的手法，其實(shí)已經(jīng)出現(xiàn)多年，然而，或許是以往企業(yè)大多傾向封鎖這種流量，因此之前運(yùn)用的比例其實(shí)都不高。雖然Cisco統(tǒng)計(jì)依據(jù)的是惡意軟體樣本數(shù)量，不過(guò)，在該份報(bào)告中，他們也特別提到，有心人士透過(guò)C&C中繼站下達(dá)攻擊命令時(shí)，加密流量是強(qiáng)而有力的工具之一。事實(shí)上，之所以2017年出現(xiàn)的多起加密勒索軟體攻擊，像是WannaCry、NotPetya、BadRabbit等，能夠神不知鬼不覺(jué)的潛入企業(yè)，然後演變?yōu)榇笠?guī)模爆發(fā)的災(zāi)情，一般也認(rèn)為是利用這種流量進(jìn)行的攻擊。

　　從2017年5月連續(xù)發(fā)動(dòng)2波攻擊，目標(biāo)鎖定金融產(chǎn)業(yè)的TrickBot事件為例，F(xiàn)5透過(guò)解密後的流量?jī)?nèi)容進(jìn)行分析後，發(fā)現(xiàn)與C&C伺服器連線的Javascript指令碼，幾乎都是采用HTTPS協(xié)定通訊。這起事件主要在美國(guó)、歐洲、澳洲，以及紐西蘭等地發(fā)生災(zāi)情，而且鎖定針對(duì)銀行、線上支付服務(wù)供應(yīng)商、客戶(hù)關(guān)系管理SaaS平臺(tái)廠商等，攻擊者專(zhuān)挑他們的分公司下手。對(duì)手策畫(huà)時(shí)，可能認(rèn)為分公司難以透視加密流量，因此特別找上這樣的目標(biāo)，增加得手的機(jī)率。

　　潛藏加密流量中的惡意軟體樣本數(shù)大幅增加：埋伏在加密流量里的惡意軟體數(shù)量，自WannaCry等加密勒索軟體爆發(fā)後不久，即2017年7月以後便明顯增加，9月時(shí)更達(dá)到高峰，近乎8成，等於每5個(gè)惡意軟體就有4個(gè)在加密流量中，顯示這種流量已成為有心人士傳送惡意攻擊的主要管道。圖片來(lái)源／Cisco

　　雖然加密流量帶來(lái)了資安盲點(diǎn)，這次受訪的廠商也普遍表示，臺(tái)灣企業(yè)對(duì)於相關(guān)解決方案詢(xún)問(wèn)度，高達(dá)6至7成，不過(guò)，論及采用專(zhuān)屬加解密設(shè)備，或是升級(jí)次世代防火墻等相關(guān)措施的動(dòng)機(jī)，企業(yè)仍看重是否直接造成營(yíng)運(yùn)損失，例如，員工是否將公司重要機(jī)密資料外泄，因此，目前仍有許多以管制使用者行為的做法，像是使用網(wǎng)址白名單、禁用VPN連線，而在電子郵件的部分，則是出現(xiàn)了攔截附件政策，甚至是大部分員工不能自行寄信的情況。

　　然而，若是一味的采取限縮員工上網(wǎng)行為，恐怕也會(huì)嚴(yán)重影響公司整體的生產(chǎn)力，而且上有政策，下有對(duì)策，使用者也很有可能改用自己裝置對(duì)外連線，勢(shì)必也會(huì)衍生其他的隱憂。例如，透過(guò)Facebook粉絲專(zhuān)頁(yè)行銷(xiāo)的方法，目前大部分的公司都有采用，企業(yè)假如以管制員工上網(wǎng)的理由，禁止使用Facebook，負(fù)責(zé)管理分絲專(zhuān)頁(yè)的員工，恐怕就要利用外部裝置處理。因此，監(jiān)控網(wǎng)絡(luò)流量的內(nèi)容，并且加以分析可能隱含其中的問(wèn)題，企業(yè)也要與時(shí)俱進(jìn)。

　　由於存在解密流量極度耗費(fèi)設(shè)備硬體資源的情況，依據(jù)NSS實(shí)驗(yàn)室的測(cè)試資料來(lái)看，次世代防火墻啟動(dòng)了加解密的功能後，性能便只剩下不到原本的1/5。在過(guò)往加密流量使用率不高的環(huán)境中，企業(yè)可以采取封鎖的政策，可是現(xiàn)在超過(guò)一半流量都使用加密連線，假如依舊不能透視這些流量的內(nèi)容，便形同瞎子摸象，更別說(shuō)要管理了。

　　另一方面，企業(yè)上網(wǎng)的裝置型態(tài)也不再只有PC，還有員工的手機(jī)，以及IoT連網(wǎng)裝置等。從Google統(tǒng)計(jì)使用Chrome瀏覽器上網(wǎng)的數(shù)據(jù)來(lái)看，執(zhí)行Android平臺(tái)的設(shè)備，采取HTTPS加密流量的比例，可說(shuō)是成長(zhǎng)最多。在2015年3月的時(shí)候，與HTTPS網(wǎng)頁(yè)的通訊只有29％，遠(yuǎn)低於PC各類(lèi)型平臺(tái)的39％到44％，但截至今年的3月，這類(lèi)裝置使用HTTPS連線網(wǎng)頁(yè)的比例為69％，已與Windows電腦的71％相當(dāng)接近。而Android作業(yè)系統(tǒng)又是許多IoT裝置會(huì)采用的平臺(tái)，企業(yè)想要管理加密流量的時(shí)候，就不能只列管個(gè)人電腦和伺服器，也必須要將IoT與行動(dòng)裝置一并納入范圍。

　　而實(shí)際臺(tái)灣企業(yè)的需求為何？我們這次采訪的廠商中，不約而同的表示，許多客戶(hù)之所以詢(xún)問(wèn)加密流量解決方案，大多仍是想要防止員工將公司的機(jī)密資料外泄。這樣的考量，雖然無(wú)可厚非，但若僅是偏重防內(nèi)賊，作為解密流量的出發(fā)點(diǎn)，也可能會(huì)衍生其他問(wèn)題，像是許多流量含有使用者的隱私內(nèi)容，企業(yè)要是在沒(méi)有合理的調(diào)查緣由，就全數(shù)解密，極有可能觸及個(gè)資相關(guān)的法令，加上臺(tái)灣是以對(duì)外貿(mào)易為主的國(guó)家，對(duì)於其他地區(qū)法規(guī)的要求，企業(yè)可能同時(shí)也需要遵守。

　　因此，不論企業(yè)采取的流量管理做法為何，勢(shì)必要通盤(pán)考量，包含因應(yīng)架構(gòu)上的變化，尤其現(xiàn)在企業(yè)或多或少都采用了SaaS、PaaS，或是IaaS云端服務(wù)，雖然維持公司網(wǎng)絡(luò)的可用性極為重要，但要是忽略上述新興架構(gòu)里的加密網(wǎng)絡(luò)流量，也同樣存在潛藏的風(fēng)險(xiǎn)。

　　固然，加密流量帶來(lái)了不少潛在的風(fēng)險(xiǎn)，網(wǎng)管人員想要映證公司中的現(xiàn)況，其中所占總流量比例為何，其實(shí)也不難，例如，可以經(jīng)由防火墻、UTM設(shè)備過(guò)濾HTTPS等協(xié)定流量，或是監(jiān)聽(tīng)443等通訊埠的統(tǒng)計(jì)結(jié)果，就能概略得知。但若是想要呈報(bào)上級(jí)，使其了解企業(yè)加密流量大幅增加的程度，以及需透過(guò)特定設(shè)備，加以管理，卻恐怕有其難度。因?yàn)�，企業(yè)過(guò)往的流量記錄，未必能夠取得這些加密連現(xiàn)的狀態(tài)，而要是之前采取封鎖的政策，報(bào)表上也難有與加密流量相關(guān)的資料，可供比較。

　　一般而言，由於無(wú)法透視加密流量，所產(chǎn)生的資安事件，這樣的案例讓人最能同感深受，也是這次受訪廠商普遍認(rèn)為較為可行的做法。

　　畢竟，對(duì)於企業(yè)經(jīng)營(yíng)的角度來(lái)說(shuō)，或許受害的損失是其次，但攻擊事件一旦公開(kāi)，遭到媒體大肆的報(bào)導(dǎo)，帶來(lái)的商譽(yù)損害威力極為驚人，誰(shuí)也不想成為這樣的受害者。

　　當(dāng)然，企業(yè)采取了合適的加密流量管理、透視的措施之後，也要對(duì)其收集到的內(nèi)容，透過(guò)像是資安事件分析平臺(tái)，歸檔并加以整理，由於不少資安事件是目標(biāo)式攻擊，潛伏期間可能非常長(zhǎng)，企業(yè)若是能從中找出徵兆，才有可能及早防范攻擊事件的發(fā)生。

　　運(yùn)用加密流量的勒索軟體排行：加密流量本是保護(hù)連線內(nèi)容，卻現(xiàn)在成為有心人士隱昵惡意軟體的死角，去年極為令人聞之色變的勒索軟體，許多便利用這樣的管道滲透。在SonicWall近期推出的2018年資安威脅報(bào)告中，指出他們從加密流量發(fā)現(xiàn)了多達(dá)23萬(wàn)個(gè)勒索軟體，其中包含了知名的Locky等家族。

　　SSL和TLS協(xié)定運(yùn)作方式：我們經(jīng)常會(huì)聽(tīng)到SSL、TLS等與網(wǎng)絡(luò)連線有關(guān)的名詞，但你知道嗎？這些加密連線實(shí)際上是如何運(yùn)作？加密連線建立的過(guò)程，從用戶(hù)端電腦發(fā)出HTTPS連線請(qǐng)求開(kāi)始，網(wǎng)站伺服器便會(huì)寄送x509憑證與公開(kāi)金鑰，然後由用戶(hù)端確認(rèn)憑證來(lái)源有效性後，產(chǎn)生隨機(jī)的對(duì)稱(chēng)金鑰，用來(lái)解開(kāi)來(lái)自伺服器的金鑰。之後的加密連線期間，兩端就以上述的對(duì)稱(chēng)金鑰，拆解流量中的內(nèi)容。