“在新冠肺炎大流行期間,網(wǎng)絡(luò)罪犯正在無情地攻擊關(guān)鍵行業(yè)。”根據(jù)Zscaler最新威脅研究報告,未來五年,針對繞過傳統(tǒng)安全控制的加密流量(SSL)的攻擊將增長260%,受到基于SSL威脅攻擊的行業(yè)主要包括:
醫(yī)療:16億(25.5%)
金融和保險:12億(18.3%)
制造業(yè):11億(17.4%)
政府:9.52億(14.3%)
服務(wù):7.3億(13.8%)
據(jù)了解,新冠疫情的蔓延推動勒索軟件對加密流量的攻擊增加了5倍;作為SSL最常用的攻擊之一,網(wǎng)絡(luò)釣魚嘗試在2020年的前9個月中達(dá)到了1.93億次實(shí)例;同時30%的基于SSL的攻擊欺騙了受信任的云提供商,網(wǎng)絡(luò)犯罪分子利用Dropbox、Google、Microsoft和Amazon等受信任云提供商的聲譽(yù)來通過加密渠道分發(fā)惡意軟件,在避免檢測方面變得越來越復(fù)雜。
這項(xiàng)研究表明,隨著企業(yè)在網(wǎng)站數(shù)據(jù)加密方面做得越來越好,用SSL隱藏自己惡意活動的網(wǎng)絡(luò)攻擊也越來越多,如果不及時進(jìn)行安全檢查,加密的流量會十分危險。
合法站點(diǎn)被攻陷導(dǎo)致大多數(shù)證書被濫用是網(wǎng)絡(luò)犯罪分子能夠利用加密渠道進(jìn)行攻擊的重要原因,天威誠信提醒您,在訪問網(wǎng)站時,不應(yīng)單單僅看“小鎖頭”標(biāo)識,更重要的是點(diǎn)擊證書信息查看域名所有者的名字,以此分辨網(wǎng)站所有人的真實(shí)性。
值得一提的是,從身份認(rèn)證角度上來講,可免費(fèi)獲得的域名驗(yàn)證(DV)證書往往通過程序自動匹配申請人或機(jī)構(gòu)信息和所申請的域名信息,只要匹配一致就能獲得證書,不需要人工審核。這類證書只能驗(yàn)證域名所有權(quán),無法對組織進(jìn)行驗(yàn)證,即無法驗(yàn)證服務(wù)器身份,因此留下了很大的安全漏洞和隱患。黑客只需驗(yàn)證域名信息就能輕松獲得證書,從而為自己披上看似可信的外衣,而此時的https仍可起到加密傳輸?shù)淖饔?,但信息傳輸?shù)哪康膮s由真實(shí)網(wǎng)站的服務(wù)器變成了黑客的“釣魚”服務(wù)器,信息加密也就如同皇帝的新衣,黑客抓取用戶敏感信息就變得探囊取物般輕而易舉,因此最容易被網(wǎng)絡(luò)犯罪分子所利用。而組織驗(yàn)證(OV)證書及擴(kuò)展驗(yàn)證(EV)證書類型能做到良好的身份認(rèn)證功能,表示業(yè)務(wù)背后運(yùn)營方的真實(shí)身份。
SSL加密在保護(hù)敏感數(shù)據(jù),打擊非法信息竊取及黑客攻擊,幫助企業(yè)達(dá)到合規(guī)性要求方面起著至關(guān)重要的作用。但是隨著更多的攻擊依賴SSL/TLS來避免被傳統(tǒng)網(wǎng)絡(luò)監(jiān)視工具審查,企業(yè)和用戶都要增強(qiáng)安全意識,仔細(xì)辨別,審慎選擇,通過多種措施確保所有數(shù)據(jù)受到安全防護(hù)。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!