最近，網(wǎng)絡(luò)上采用加密流量傳輸?shù)那闆r，是越來越普及。自2016年底，兩大瀏覽器陣營──Google與Mozilla基金會，相繼公布統(tǒng)計數(shù)據(jù)，宣布他們?yōu)g覽器的使用者中，已有一半以上的上網(wǎng)流量，都采用HTTPS協(xié)定的加密連線。今年3月，Cisco最新公布的調(diào)查結(jié)果里，也映證網(wǎng)絡(luò)傳輸加密普遍應(yīng)用的趨勢：HTTPS流量在2017年10月達到50％，相較於2016年11月僅占整體的38％，使用率可說是大幅增加。NSS實驗室更大膽預(yù)測，2019年將會有3/4的網(wǎng)絡(luò)流量，都會采用加密機制。

　　在瀏覽器發(fā)展的歷史中，廠商早期著重於功能與使用者操作體驗的較勁，像是提供分頁瀏覽，或是支援擴充套件，讓用戶自行為瀏覽器快速加上額外的功能等措施。不過，這幾年各家瀏覽器的改版中，則是加入了安全性考量的政策，從Safari、Chrome、Firefox等瀏覽器，都陸續(xù)限制Java與Flash等軟體外掛程式的功能，免於這些軟體拖累瀏覽器執(zhí)行效率，更重要的，則是上述外掛程式的漏洞，往往也是攻擊者主要下手的目標，連帶影響使用者上網(wǎng)的安全。

　　而這2年來，兩大瀏覽器陣營的開發(fā)方向，則是鼓勵上網(wǎng)流量采用HTTPS加密協(xié)定，在2017年1月推出的Chrome 56版，Google將含有要求輸入密碼等機敏內(nèi)容的HTTP網(wǎng)站，在網(wǎng)址列標示為不安全的網(wǎng)站，F(xiàn)irefox 51也跟進這樣的措施。在這之前，上述瀏覽器僅是在網(wǎng)址列顯示驚嘆號符號，提醒用戶要小心。

　　同年10月，由Google推出的Chrome 62版，則進一步將所有能填寫表單的HTTP網(wǎng)頁，一概都視為不安全、具有潛在風(fēng)險的連線。此外，基於使用者采用無痕瀏覽視窗的情境下，隱私保護的要求更高，Chrome更是在這樣的模式下，直接標示HTTP連線為危險。

　　今年2月，Google更直接表態(tài)，將在預(yù)計7月提供的新版瀏覽器中，把所有HTTP連線視為不安全，而Firefox目前也正在每日建構(gòu)版本（Nightly）中，測試類似的機制。

　　不光只是勸退網(wǎng)站和使用者，要他們別再透過HTTP連線，這兩家瀏覽器開發(fā)業(yè)者，也不約而同擴大加密流量的應(yīng)用范圍，并且支援新的加密通訊協(xié)定，試圖讓使用者上網(wǎng)更加安全。Mozilla基金會在1月時表示，F(xiàn)irefox新功能都將倚賴HTTPS傳輸，而Google則是2017年底在63版Chrome上，開始支援即將推出的TLS 1.3。

　　另一方面，加密流量的應(yīng)用普及，也與網(wǎng)站搜尋排行有關(guān)，2014年Google宣布，他們的搜尋演算法開始有所調(diào)整，針對采用HTTPS的網(wǎng)頁，會優(yōu)先在搜尋結(jié)果中出現(xiàn)，藉此吸引站臺的經(jīng)營者提升網(wǎng)站安全層級。

　　再者，現(xiàn)在網(wǎng)站經(jīng)營者取得SSL憑證的門檻，更是大幅降低。同樣大力推動加密流量的非營利組織──網(wǎng)絡(luò)安全研究小組（Internet Security Research Group），他們自2015年開始，提供了能自助、免費申請的Let's Encrypt憑證，截至2017年6月時，該單位宣布已經(jīng)發(fā)出了多達一億份的憑證。根據(jù)資安顧問Scott Helme的調(diào)查，在Alexa排行前一百萬名的網(wǎng)站中，Let's Encrypt已是最大的憑證發(fā)行單位，這些現(xiàn)象，顯然有助於加速采用HTTPS傳輸。

　　加密流量對企業(yè)帶來的3大風(fēng)險：企業(yè)無法透視加密流量的問題，我們大致可從3個面向來看，包含了內(nèi)對外、內(nèi)對內(nèi)，以及外對內(nèi)，其對應(yīng)的主要流量，分別是員工上網(wǎng)、員工連線公司內(nèi)的伺服器，還有外部使用者與企業(yè)架設(shè)的對外伺服器等，其中都潛藏了更容易受到攻擊，或是增加防護難度的情況。

　　然而，HTTPS傳輸協(xié)定早期的應(yīng)用范圍，主要是用來防護機敏資訊的傳遞，不致遭中間人（Man-in-the-Middle，MitM）攻擊，或是有心人士從中側(cè)錄的情形，并非適用於大多數(shù)網(wǎng)站。因此，當時主要是像網(wǎng)絡(luò)銀行、購物網(wǎng)站等，才會采用這種通訊協(xié)定。

　　但隨著網(wǎng)際網(wǎng)絡(luò)應(yīng)用越來越普遍，攻擊日益泛濫，於是開始有人推動所有網(wǎng)站都要使用HTTPS的概念，像是促進網(wǎng)絡(luò)自由的電子前線基金會（Electronic Frontier Foundation），他們早在2010年時，就與非營利組織The Tor Project合作，開發(fā)了名為HTTPS Everywhere瀏覽器擴充套件，希望協(xié)助使用者，盡可能采取HTTPS協(xié)定與網(wǎng)站連結(jié)，增加上網(wǎng)的安全性。

　　不過，當時多數(shù)使用者還是利用IE瀏覽網(wǎng)頁，這款當時只支援Firefox的擴充套件，并未造成HTTPS流量明顯變化。

　　根據(jù)NSS實驗室的調(diào)查，加密連線在2013年時，僅占企業(yè)整體流量約25％至35％之間，使用的比率并不算高。在當年，Gartner也預(yù)測，這種流量每年會以20％幅度成長，而在許多2017年與今年度的研究報告中，皆指出企業(yè)采用加密連線的流量已達到50％以上，實際的情勢，也大致與之前的推測接近。當然，無論是瀏覽器的威嚇，標示HTTP連線具有較高的風(fēng)險，還是網(wǎng)頁搜尋排行（Search Engine Optimization，SEO）的誘因，以及透過HTTPS交握網(wǎng)站所需的憑證，能夠免費取得等因素的推波助瀾，更是加速這2至3年來，加密連線應(yīng)用持續(xù)擴大的動力。

　　論及加密流量增長的現(xiàn)象，NSS實驗室在2016年的調(diào)查報告中，也反映出無法再忽視的情況──高達97％受訪的企業(yè)表示，他們都發(fā)現(xiàn)加密網(wǎng)絡(luò)流量明顯變多，顯然環(huán)境的變化，這些企業(yè)也開始留意到，可能會帶來的管理問題。

　　此外，值得留意的是，前述盡管是由應(yīng)用最為大宗的上網(wǎng)流量，也就是HTTPS做為討論加密流量的代表，然而，連線采取加密保護的做法，遍及各種型態(tài)的通訊協(xié)定，像是電子郵件的部分，就有POP3S、SMTPS、IMAPS等加密流量，依據(jù)Google的統(tǒng)計資料，無論是寄送還是接收，各約有9成與Gmail通訊的電子郵件，采用了加密措施保護。

　　IoT裝置是企業(yè)加密流量增加的重要來源：企業(yè)加密流量大幅增加的來源，主要來自於新興的應(yīng)用。根據(jù)IDC在2016年4月的State of SSL/TLS and Threat Visibility Survey調(diào)查，前3大企業(yè)加密流量的應(yīng)用增長來源里，IoT裝置與使用者檔案共用的SaaS服務(wù)，所產(chǎn)生的連線，可說是企業(yè)普遍認為加密流量主要應(yīng)用。不過，無論是企業(yè)內(nèi)部員工使用，還是提供給客戶的網(wǎng)絡(luò)應(yīng)用程式，也陸續(xù)采取這種連線機制。

　　其實，本來網(wǎng)絡(luò)流量加密機制的用意，在於增加對於傳輸內(nèi)容的保護，避免中間人攻擊手法，從中竄改或是截取內(nèi)容。只是，以往建立這種措施的時候，大概想不到有朝一日，加密流量竟會成為企業(yè)網(wǎng)絡(luò)管理的死角。

　　前述Cisco最近推出的調(diào)查報告里，第一個提到的現(xiàn)象，就是埋藏在加密流量中的攻擊大幅增加，顯示這樣的情況極需企業(yè)關(guān)注。

　　依據(jù)Cisco的統(tǒng)計資料，利用加密連線傳輸惡意軟體的情形，在2016年11月僅僅不到1/5，之後便開始略為成長，但在2017年6月以前，他們每個月所發(fā)現(xiàn)到的樣本數(shù)，仍在40％以下，直到7月，竟一舉超過60％，9月的比例更達到快要8成之多，換言之，加密流量幾乎可說是現(xiàn)在攻擊者滲透的主要管道。

　　值得留意的是，采用加密流量暗中夾帶惡意軟體的手法，其實已經(jīng)出現(xiàn)多年，然而，或許是以往企業(yè)大多傾向封鎖這種流量，因此之前運用的比例其實都不高。雖然Cisco統(tǒng)計依據(jù)的是惡意軟體樣本數(shù)量，不過，在該份報告中，他們也特別提到，有心人士透過C&C中繼站下達攻擊命令時，加密流量是強而有力的工具之一。事實上，之所以2017年出現(xiàn)的多起加密勒索軟體攻擊，像是WannaCry、NotPetya、BadRabbit等，能夠神不知鬼不覺的潛入企業(yè)，然後演變?yōu)榇笠?guī)模爆發(fā)的災(zāi)情，一般也認為是利用這種流量進行的攻擊。

　　從2017年5月連續(xù)發(fā)動2波攻擊，目標鎖定金融產(chǎn)業(yè)的TrickBot事件為例，F(xiàn)5透過解密後的流量內(nèi)容進行分析後，發(fā)現(xiàn)與C&C伺服器連線的Javascript指令碼，幾乎都是采用HTTPS協(xié)定通訊。這起事件主要在美國、歐洲、澳洲，以及紐西蘭等地發(fā)生災(zāi)情，而且鎖定針對銀行、線上支付服務(wù)供應(yīng)商、客戶關(guān)系管理SaaS平臺廠商等，攻擊者專挑他們的分公司下手。對手策畫時，可能認為分公司難以透視加密流量，因此特別找上這樣的目標，增加得手的機率。

　　潛藏加密流量中的惡意軟體樣本數(shù)大幅增加：埋伏在加密流量里的惡意軟體數(shù)量，自WannaCry等加密勒索軟體爆發(fā)後不久，即2017年7月以後便明顯增加，9月時更達到高峰，近乎8成，等於每5個惡意軟體就有4個在加密流量中，顯示這種流量已成為有心人士傳送惡意攻擊的主要管道。圖片來源／Cisco

　　雖然加密流量帶來了資安盲點，這次受訪的廠商也普遍表示，臺灣企業(yè)對於相關(guān)解決方案詢問度，高達6至7成，不過，論及采用專屬加解密設(shè)備，或是升級次世代防火墻等相關(guān)措施的動機，企業(yè)仍看重是否直接造成營運損失，例如，員工是否將公司重要機密資料外泄，因此，目前仍有許多以管制使用者行為的做法，像是使用網(wǎng)址白名單、禁用VPN連線，而在電子郵件的部分，則是出現(xiàn)了攔截附件政策，甚至是大部分員工不能自行寄信的情況。

　　然而，若是一味的采取限縮員工上網(wǎng)行為，恐怕也會嚴重影響公司整體的生產(chǎn)力，而且上有政策，下有對策，使用者也很有可能改用自己裝置對外連線，勢必也會衍生其他的隱憂。例如，透過Facebook粉絲專頁行銷的方法，目前大部分的公司都有采用，企業(yè)假如以管制員工上網(wǎng)的理由，禁止使用Facebook，負責(zé)管理分絲專頁的員工，恐怕就要利用外部裝置處理。因此，監(jiān)控網(wǎng)絡(luò)流量的內(nèi)容，并且加以分析可能隱含其中的問題，企業(yè)也要與時俱進。

　　由於存在解密流量極度耗費設(shè)備硬體資源的情況，依據(jù)NSS實驗室的測試資料來看，次世代防火墻啟動了加解密的功能後，性能便只剩下不到原本的1/5。在過往加密流量使用率不高的環(huán)境中，企業(yè)可以采取封鎖的政策，可是現(xiàn)在超過一半流量都使用加密連線，假如依舊不能透視這些流量的內(nèi)容，便形同瞎子摸象，更別說要管理了。

　　另一方面，企業(yè)上網(wǎng)的裝置型態(tài)也不再只有PC，還有員工的手機，以及IoT連網(wǎng)裝置等。從Google統(tǒng)計使用Chrome瀏覽器上網(wǎng)的數(shù)據(jù)來看，執(zhí)行Android平臺的設(shè)備，采取HTTPS加密流量的比例，可說是成長最多。在2015年3月的時候，與HTTPS網(wǎng)頁的通訊只有29％，遠低於PC各類型平臺的39％到44％，但截至今年的3月，這類裝置使用HTTPS連線網(wǎng)頁的比例為69％，已與Windows電腦的71％相當接近。而Android作業(yè)系統(tǒng)又是許多IoT裝置會采用的平臺，企業(yè)想要管理加密流量的時候，就不能只列管個人電腦和伺服器，也必須要將IoT與行動裝置一并納入范圍。

　　而實際臺灣企業(yè)的需求為何？我們這次采訪的廠商中，不約而同的表示，許多客戶之所以詢問加密流量解決方案，大多仍是想要防止員工將公司的機密資料外泄。這樣的考量，雖然無可厚非，但若僅是偏重防內(nèi)賊，作為解密流量的出發(fā)點，也可能會衍生其他問題，像是許多流量含有使用者的隱私內(nèi)容，企業(yè)要是在沒有合理的調(diào)查緣由，就全數(shù)解密，極有可能觸及個資相關(guān)的法令，加上臺灣是以對外貿(mào)易為主的國家，對於其他地區(qū)法規(guī)的要求，企業(yè)可能同時也需要遵守。

　　因此，不論企業(yè)采取的流量管理做法為何，勢必要通盤考量，包含因應(yīng)架構(gòu)上的變化，尤其現(xiàn)在企業(yè)或多或少都采用了SaaS、PaaS，或是IaaS云端服務(wù)，雖然維持公司網(wǎng)絡(luò)的可用性極為重要，但要是忽略上述新興架構(gòu)里的加密網(wǎng)絡(luò)流量，也同樣存在潛藏的風(fēng)險。

　　固然，加密流量帶來了不少潛在的風(fēng)險，網(wǎng)管人員想要映證公司中的現(xiàn)況，其中所占總流量比例為何，其實也不難，例如，可以經(jīng)由防火墻、UTM設(shè)備過濾HTTPS等協(xié)定流量，或是監(jiān)聽443等通訊埠的統(tǒng)計結(jié)果，就能概略得知。但若是想要呈報上級，使其了解企業(yè)加密流量大幅增加的程度，以及需透過特定設(shè)備，加以管理，卻恐怕有其難度。因為，企業(yè)過往的流量記錄，未必能夠取得這些加密連現(xiàn)的狀態(tài)，而要是之前采取封鎖的政策，報表上也難有與加密流量相關(guān)的資料，可供比較。

　　一般而言，由於無法透視加密流量，所產(chǎn)生的資安事件，這樣的案例讓人最能同感深受，也是這次受訪廠商普遍認為較為可行的做法。

　　畢竟，對於企業(yè)經(jīng)營的角度來說，或許受害的損失是其次，但攻擊事件一旦公開，遭到媒體大肆的報導(dǎo)，帶來的商譽損害威力極為驚人，誰也不想成為這樣的受害者。

　　當然，企業(yè)采取了合適的加密流量管理、透視的措施之後，也要對其收集到的內(nèi)容，透過像是資安事件分析平臺，歸檔并加以整理，由於不少資安事件是目標式攻擊，潛伏期間可能非常長，企業(yè)若是能從中找出徵兆，才有可能及早防范攻擊事件的發(fā)生。

　　運用加密流量的勒索軟體排行：加密流量本是保護連線內(nèi)容，卻現(xiàn)在成為有心人士隱昵惡意軟體的死角，去年極為令人聞之色變的勒索軟體，許多便利用這樣的管道滲透。在SonicWall近期推出的2018年資安威脅報告中，指出他們從加密流量發(fā)現(xiàn)了多達23萬個勒索軟體，其中包含了知名的Locky等家族。

　　SSL和TLS協(xié)定運作方式：我們經(jīng)常會聽到SSL、TLS等與網(wǎng)絡(luò)連線有關(guān)的名詞，但你知道嗎？這些加密連線實際上是如何運作？加密連線建立的過程，從用戶端電腦發(fā)出HTTPS連線請求開始，網(wǎng)站伺服器便會寄送x509憑證與公開金鑰，然後由用戶端確認憑證來源有效性後，產(chǎn)生隨機的對稱金鑰，用來解開來自伺服器的金鑰。之後的加密連線期間，兩端就以上述的對稱金鑰，拆解流量中的內(nèi)容。