返回IT运维网
  • |
  • 文章EID:
  • |
  • 账号:
  • 密码:
针对加密服务的攻击
2018-06-26 IT运维网 / NETSCOUT Arbor

加密是安全体系中最基本的需求之一,有了加密技术,银行才能提供网上银行和资金转账服务,消费者才能使用信用卡或借记卡进行网上购物,它也是公众与政府机构或医疗服务提供商进行在线交互的安全保证。然而,毫不意外的是,加密服务是DDoS攻击的主要目标。加密服务让人们能够访问大量个人数据、保密数据和财务数据。身份窃贼和网络罪犯一旦成功破解网络服务加密,就能获得大量可乘之机。

根据NETSCOUT Arbor的第13次年度全球基础设施安全报告(WISR),近年来,以加密网络服务为目标的攻击变得越来越普遍。在企业、政府和教育(EGE)领域的受访者中,53%检测到以应用层的加密服务为目标的攻击,42%的受访者表示受到以TLS/SSL(安全传输层/安全套接层)协议为目标的攻击,这些协议控制着客户端-服务器身份验证和安全通信。在服务提供商中,检测到以安全网络服务(HTTPS)为攻击目标的比例在过去一年显著提高,从52%提高到了61%。

 

四种主要加密攻击类型

以加密服务为目标的DDoS攻击常常分为以下四类:

·以SSL/TLS协商(一般称为“握手”)为目标的攻击,此类攻击决定了连接互联网的双方对其通信进行加密的方式。

·针对SSL服务端口的协议或连接攻击,此类攻击旨在利用SSL漏洞。

·以SSL/TLS服务端口为目标的容量耗尽攻击,此类攻击通过高流量洪泛耗尽端口容量。

·针对通过SSL/TLS运行的基础服务的应用层攻击。

 

攻击者在攻击高价值加密目标时可谓不屈不挠。由于大部分加密应用和服务的本质决定了其重要性,一次成功的攻击就能产生毁灭性的后果。考虑到安全网络服务攻击的广度、多样性和逐步升级的趋势,必须采取能够检测和缓解目前所有攻击类型的多层防御措施。

以牙还牙:挫败加密攻击

为了给安全团队制造更多麻烦,攻击者经常使用SSL/TLS加密本身隐藏其非法活动。大量互联网流量在网络中流动却不会被检测或发现,这让恶意攻击者能够轻松隐藏在合法流量中,随时准备对安全HTTPS服务发起攻击。因此,安全体系的一个重要组件是能够检查经过安全加密的流量,并验证其真实性,而不会减缓、阻断或危害合法流量。虽然成功抵御攻击并不总是需要解密,但很明显,人们越来越需要可扩展的数据包解密解决方案。

NETSCOUT Arbor第13次WISR得出的一个积极结论是,服务提供商和企业都认识到传统的防火墙和入侵防护系统无法有效抵御复杂的DDoS攻击,尤其是以加密服务为目标的加密攻击。加密是一项必要的技术,但它无法依靠自身挫败顽强且富有经验的攻击者。作为缓解DDoS攻击唯一有效的方法,安全网络服务运营商和托管方越来越认识到特别设计的智能DDoS缓解系统(IDMS)的必要性。最佳做法是采用结合始终开启的本地防御措施和云端缓解功能的分层方法,根据威胁的规模和性质自动激活。

 

DDoS攻击产生的最严重后果经常是声誉和品牌形象受损,对组织声誉破坏最大的无疑是损坏安全服务,因为消费者已经对这些服务建立了信任,而且每天都依赖这些服务,甚至不会有其他想法。组织需要在加密之外采取更多措施,确保最关键服务的完整性和可用性。

相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
相关阅读