【网络安全】如何应对利用加密隧道发起的网络攻击？

日前，网络安全公司Zscaler的 ThreatLabz研究团队编写发布了《2023年加密攻击态势调查报告》，报告数据显示，目前85.9%的网络威胁是通过加密通道发起的，包括恶意软件、数据窃取和网络钓鱼攻击。更重要的是，许多加密攻击使用了合法的、受信任的加密隧道服务来托管恶意负载，这使得对这些攻击的检测和防范变得更具挑战性。

利用加密隧道攻击的10种类型

现代企业面临了诸多挑战，使他们无法大规模扫描所有的SSL/TLS流量，从而导致许多攻击可以在不被发现的情况下通过。为了加强加密隧道中的数字安全防御能力，企业应该首先了解攻击者会如何利用加密隧道发起攻击，以下总结了攻击者恶意利用加密隧道的常见类型。

1、中间人攻击（MitM）

在MitM攻击中，攻击者会拦截并可能更改流经隧道的数据。2014年发生了一起引人注目的事件，当时某大型计算机设备制造商在所有生产的电脑上安装了Superfish视觉搜索广告软件。这使得攻击者可以在加密的网页上创建和部署广告，并通过修改SSL证书来添加自己的广告。为了缓解这种威胁，需要实施强大的身份验证机制和定期更新加密协议。

2、端点漏洞利用

加密隧道的安全性很大程度上取决于它所连接的端点设备。如果连接到隧道的端点设备被破坏，就可以作为恶意活动的入口点。一个典型的例子是2017年发生的Equifax数据泄露事件，该公司网络中的端点设备受到攻击，导致敏感的消费者数据暴露。该事件强调了定期安全审计、补丁管理和端点保护措施的重要性。

3、弱加密算法破解

加密算法的强度会直接影响加密隧道抵御攻击的能力。过时或弱的加密算法很容易受到暴力破解攻击。2015年的“Logjam”漏洞九凸显了弱加密算法的风险，导致了包括政府门户网站在内的数百个网站沦为被攻击者秘密窃听的对象。为了应对此类威胁，企业组织应该跟上行业发展趋势，采用更强大的加密方法。

4、内部威胁

具有恶意企图的内部攻击者同样会对加密隧道使用构成重大风险。有权访问加密隧道的雇员或承包商可能会滥用他们的特权。2018年，由于缺乏可靠的访问管理机制，思科公司的云基础设施就陷入被非法访问的危机。一名恶意的前雇员利用这些弱点访问了基础设施并部署了恶意代码。企业组织要想缓解内部威胁，就需要实现严格的访问控制、进行定期审计和培养具有安全意识的文化。

5、拒绝服务（DoS）攻击

虽然加密隧道侧重于数据机密性，但可用性同样至关重要。DoS攻击是指向系统发送大量流量，使其资源不堪重负，从而破坏加密隧道的功能。2012年，针对美国六大银行机构的DDoS攻击严重破坏了其在线服务，这一事件凸显了数字漏洞和网络攻击的潜在影响。为了增强加密隧道抵御DoS攻击的弹性，组织可以采用流量过滤、负载平衡和冗余基础设施。

6、IPsec隧道利用

IPsec作为安全VPN的基石，也很可能成为网络入侵者的诱人目标。在入侵过程中，攻击者可以利用IPsec隧道两侧的专有硬件设备，这也再次强调了加强VPN端点安全的重要性。因此很明显，组织需要增强安全协议并严格监控IPsec隧道，实现入侵检测系统（IDS）和定期更新安全配置都是非常有效的措施。

7、VPN隧道隐秘侦察

对很多大型组织来说，其所使用的Site-to-Site VPN隧道可能会为攻击者进行网络侦察提供隐蔽的路线。2019年，攻击者就成功通过Site-to-Site VPN对一家跨国公司进行了隐秘的网络侦察，这凸显了企业组织对VPN隧道中的侦察活动缺乏定期检查的现实。为了防止网络间谍活动的隐蔽路线，组织应该实施强大的流量监控和记录系统。定期分析日志和采用入侵防御系统（IPS）可以帮助识别和阻止潜在的威胁。

8、SSH隧道隐形攻击

SSH隧道是为安全数据传输而设计的，但其创建安全隧道的作用同样吸引了攻击者的关注。被破坏的SSH隧道可能成为攻击者开展非法行动的途径。组织应该实现强大的身份验证机制，定期更新SSH配置，并对SSH流量进行实时监控。持续检查SSH隧道（包括跟踪用户活动和审计访问日志）对于检测和缓解潜在的安全漏洞至关重要。

9、TLS/SSL隧道身份操纵

通常用于保护web交易的TLS/SSL隧道可能成为身份操纵的“帮凶”。攻击者可能会采用中间人之类的策略，利用虚假身份，这也强调了持续对访问者身份进行审查的必要性。此外，实现强大的证书管理实践、定期更新SSL/TLS协议和使用web应用程序防火墙（WAF）也都是必不可少的步骤。

10、加密网络钓鱼

网络钓鱼者会利用TLS/SSL隧道使用被盗证书来创建欺骗性网站。当攻击者操纵SSL/TLS隧道时，HTTPS会话中的信任会变得脆弱，需要采取主动措施和定期验证。近年来，利用加密隧道的网络钓鱼攻击不断发展。在2021年的“DarkTequila”活动中，网络犯罪分子巧妙地利用TLS加密连接来掩盖其恶意活动。通过部署带有被盗SSL证书的欺骗性网站，攻击者成功地锁定了用户的敏感信息。这个例子强调了实施主动措施以防止加密网络钓鱼攻击的紧迫性。

加密隧道攻击防护建议

如上所见，攻击者会在攻击链的多个阶段利用加密隧道：从通过VPN等工具获得初始入口，到通过网络钓鱼攻击建立立脚点，再到通过域控制器横向移动并泄露数据。因此，企业组织应该详细规划阻止加密威胁的机制，并在攻击链的每个阶段采取合适的控制措施。以下是Zscaler安全研究人员给出的加密隧道攻击防护建议：

01、使用零信任架构检查所有的加密流量

阻止加密攻击的关键在于能够大规模扫描所有的加密流量和内容，同时又不影响网络的运行性能。基于最小特权原则，零信任架构会根据身份、上下文和业务策略直接代理用户和应用程序之间的连接——而不是底层网络。因此，无论用户消耗多少带宽，所有加密的流量和内容都可以通过统一的架构，对来自每个用户的每个数据包进行无限规模的SSL/TLS检查。除此之外，用户和应用程序的直接连接，使得将应用程序流量分割到高度精细的用户集变得更加容易，从而消除了传统扁平网络中通常存在的横向移动风险。

02、最小化企业网络攻击面

所有IP地址或面向互联网的资产（包括企业应用程序和工具，如VPN和防火墙）都是可发现的，容易受到威胁行为者的攻击。破坏这些资产是网络犯罪分子获取立足点的第一步，随后他们会从传统网络横向移动到关键的应用程序。

因此，企业需要做好攻击面管理工作，尽可能地在互联网上隐藏各种应用程序，或将它们置于云安全代理之后，这样只有经过身份验证的用户才能访问它们。通过清除大量的外部攻击面，企业可以防止应用系统被威胁行为者发现，并从一开始就阻止许多加密攻击的发生。

03、利用体系化的威胁防护技术

企业可以使用许多工具来阻止加密威胁，其中分层防御是最好的防护理念。关键的是，这些防御措施应该是相互关联的，以便安全工具在加密流量实际交付之前检测到恶意有效负载。

有许多核心技术可以构成最佳实践防御。其中包括具有ML功能的内联沙箱，它允许组织立即、实时地隔离、阻止和引爆可疑文件和零日威胁，而不会影响业务。此外，云IPS、URL过滤、DNS过滤和浏览器隔离等技术结合起来也能够为企业提供针对加密威胁的有效防护。

04、采取多层策略保护数据安全

企业在阻止加密攻击时，还必须有效保护其网络数据的流通和使用，以防止网络犯罪分子窃取数据。如上所述，威胁行为者经常使用“受信任的”加密隧道来托管恶意的有效载荷和泄露的数据。如果不扫描出站SSL/TLS流量和内联内容，企业将很难知道这种情况正在发生。与其他类型的威胁预防措施一样，企业也应该采取多层方法来保护其数据。作为最佳实践，企业应该寻找像内联DLP这样的功能，它可以检查所有数据通道中的SSL/TLS内容，如SaaS应用程序、端点、电子邮件、私有应用程序，甚至云上的安全态势。

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉【整整282G！】网络安全&黑客技术小白到大神全套资料，免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。