公司企业在加密网络流量防护潜在数据泄露方面越做越好，在线攻击者也随之更进一步，用SSL/TLS来隐藏他们的恶意活动。

2017年上半年，安全公司Zscaler观测到的所有交易中，平均有60%都是通过SSL/TLS进行的。SSL/TLS使用的增长包含了合法行为和恶意活动两方面——罪犯依靠合法SSL证书散布其恶意内容。平均每天有300次网页漏洞利用包含了作为感染链一环的SSL。

Zscaler安全研究高级主管迪鹏·德赛称：“犯罪软件家族越来越多地使用SSL/TLS。过去6个月里，通过SSL/TLS散布的恶意内容翻了2倍多。”Zscaler云平台上，2017年上半年平均每天封锁840万次基于SSL/TLS的恶意活动。被封的恶意活动中，平均每天有60万起是高级威胁。Zscaler的研究人员在2017年上半年里，每天都要见证通过SSL/TLS投送的1.2万次网络钓鱼尝试——比2016年同期增长了400%。

这些数字还只反映了SSL/TLS的一部分现状，因为Zscaler并没有包含进其他类型的攻击，比如使用SSL/TLS投送载荷的广告软件。

当企业网络流量被加密，从罪犯的角度出发，加密他们的犯罪活动也就有利可图了——IT管理员面对同样加了密的流量更难以区分其中好坏。恶意软件家族也越来越多地用SSL加密受害终端与C2系统之间的通信，可以隐藏指令、载荷和其他要发送的信息。与去年同期相比，2017年上半年通过加密连接发送的攻击载荷翻了个倍。

用SSL/TLS进行C2通信的恶意负载，有60%来自银行木马，比如Zbot、Vawtrak和Trickbot。另有12%是信息盗取木马，比如Fareit和Papra。1/4的载荷来自勒索软件。

网络钓鱼团伙也使用SSL/TLS，他们将自己的恶意页面托管在有合法证书的网站上。用户看到“安全”字样或浏览器上的绿色小锁头，就以为自己访问的是合法网站，没有认识到这些标识仅仅表明证书本身有效，以及连接是加密的。网站本身的合法性，甚至网页内容是否属实，并不在这些标识的保证范围内。

用户分辨网站所有人真实性的唯一办法，是查看实际的证书。有些浏览器会显示域名拥有者的名字，而不仅仅是“安全”字样或小锁头标志，这样会更便于用户判断。

微软、领英和Adobe是最常见的被假冒品牌。nnicrosoft.com（用两个连续的“n”试图伪装成“m”）这样的网络钓鱼网站也是存在的。被网络钓鱼团伙滥用的其他网站包括 Amazon Seller、Google Drive、Outlook和DocuSign。

不能将SSL/TLS攻击的上升归咎到 Let’s Encrypt 之类免费证书颁发机构头上。虽然这些服务让网站拥有者更快更方便地获取SSL证书，但他们并不是错误颁发有效证书给罪犯的唯一实体。老牌CA也会将证书错发给罪犯。而且，尽管某些案例中CA把证书颁发给了不应该颁发的对象，但大多数案例中，证书都还是发对了人的。只是罪犯劫持并滥用了合法站点而已——往往是著名的云服务，比如 Office 365、SharePoint、Google Drive 和Dropbox，用这些合法站点托管攻击载荷，收集渗漏出来的数据。

比如说，安逸熊(CozyBear)黑客组织就用PowerShell脚本在被黑主机上挂载了隐藏OneDrive分区，并将所有数据拷贝到了该隐藏分区。主机和服务(OneDrive)间的所有活动，都默认加密，且由于OneDrive常作业务用途，IT部门往往注意不到这些攻击。攻击者不需要欺骗性地获取一个证书，因为OneDrive为所有用户提供该层级的保护。

对企业而言，加密不是可选项，因此，他们还需要考虑SSL检查。基于云的平台，比如Zscaler，可以提供此类服务，或者内联部署的应用也行，比如微软、Arbor Networks 和 Check Point 等公司提供的那些。

用户需要有自己的信息不被未授权方拦截的保证，但企业需要途径知道哪些加密流量包含用户数据，哪些承载了恶意指令。随着更多的攻击依赖SSL/TLS来避免被传统网络监视工具审查，企业需要采取措施确保所有数据受到保护，而坏流量不能偷偷翻过他们的防护。

相关阅读

解密 SSL 流量，发现隐藏威胁
你以为A10 Networks只做应用交付？
让我们加密吧！Let’s Encrypt 欲推免费HTTPS证书