最近研究发现，到 2023 年，超过 85% 的攻击现在在杀伤链的各个阶段都使用加密通道，比上一年增加了 20%。通过使用伪造或泄露的密钥和证书，攻击者可以在您的网络中创建恶意隧道，在那里进行监视、安装恶意软件并最终窃取有价值的数据。同一项发现，影响用户和组织的所有网络威胁中，近 90% 都来自通过电子邮件或受感染网站中共享的链接下载恶意负载的恶意软件。

这种攻击尤其邪恶，因为攻击者使用的隧道似乎包含日常业务通信，除非它们经过检查。在 Equifax 泄密事件中，过期的证书禁用了 TLS 检查设备，为攻击者在几个月内创建的加密隧道敞开了大门。但让我们面对现实吧，即使拥有功能齐全的安全系统，有多少组织会百分之百检查其网络流量？

什么是加密隧道？

隧道是一种通过加密连接传输任意网络数据的方法。它可用于为旧式应用程序添加加密。它还可用于实施 VPN 并跨防火墙访问内联网服务。

例如，当您使用 VPN 连接到互联网时，它会在您和互联网之间建立连接，像隧道一样包围您的互联网数据，加密您的设备发送的数据包。但是，除非隧道附带足够强大的加密以防止攻击者，否则隧道不能被视为私密的。

另一个例子是 SSH 隧道。SSH 用于在不受信任的网络上进行安全的远程登录和文件传输。它还提供了一种使用端口转发来保护任何给定应用程序的数据流量的方法，基本上是通过 SSH 隧道传输任何 TCP/IP 端口。这意味着应用程序数据流量被引导到加密的 SSH 连接内流动，以便在传输过程中不会被窃听或拦截。这种能力使 SSH 成为网络犯罪分子特别理想的目标。

加密隧道如何使用

加密隧道的相对脆弱性取决于多种因素，例如其协议的安全性、其属性以及组织对隧道使用方式的整体了解。下面，我概述了网络犯罪分子最常使用的加密隧道类型以及它们可能如何促成攻击。

1. 使用 IPsec 隧道获取初始访问权限

组织使用 Internet 协议安全 (IPsec) 来创建 VPN，以保护 IP 网络上的 Internet 通信。由于 IPsec 隧道经常用于从远程站点到中心站点建立隧道，因此它们是网络犯罪分子理想的渗透工具。IPsec/L2TP 隧道最常用于发现和入侵攻击阶段。隧道用于获取对组织的初始访问权限、执行侦察并建立滩头阵地。这种类型的攻击通常只会危害已建立的 VPN 端点，因为创建新隧道需要攻击者穿透外围层防御才能访问 VPN 管理控制台 - 这是一项技术上更为复杂的任务。

2. 站点到站点 VPN 隧道内的枢轴

大型组织使用站点到站点 VPN 将其主要位置网络连接到多个办公室和业务合作伙伴。由于它们是最灵活和适应性的选项，因此它们是在扩展网络内快速从一个站点移动到另一个站点的完美工具。攻击者在破坏初始内部系统后使用站点到站点隧道作为攻击的关键部分。这些隧道非常适合攻击的侦察阶段 - 当攻击者试图访问其他网络段或设备时。由于对性能的影响，站点到站点 VPN 隧道很少受到检查，这使得攻击者在使用它们时不被发现。

3.通过 SSH 隧道移动有效负载

SSH（安全外壳）协议是管理远程服务器和应用程序最方便的方式。SSH 密钥越来越受到攻击者的追捧，因为它们授予管理员对应用程序和系统的特权访问权限。通过存储的服务器和客户端密钥对每台机器进行身份验证，SSH 允许它们安全地相互连接，而无需手动输入身份验证凭据。这就是为什么 SSH 隧道是攻击者在网络段和设备之间进行切换的简单方法。它们也是在文件服务器和应用程序之间移动未被发现的恶意负载的理想选择，因为攻击者可以在受感染的 SSH 隧道中传输隐藏的恶意软件。通常，SSH 隧道用于从文件服务器窃取数据，因为复制文件是用于在机器之间传输数据的常规自动化任务，而且由于数据是加密的，因此被认为是安全的。

4.伪造 SSL 和 TLS 隧道中的机器身份

安全套接字层 (SSL) 和传输层安全性 (TLS) 是最常见的隧道形式。SSL/TLS 隧道提供从任何 PC 浏览器到应用服务器的安全会话，用于保护基于 Web 的交易，例如银行业务或付款。攻击者创建虚假身份并窃取受害者的数据，因此他们可以使用中间人攻击来窃听加密流量。或者他们可以使用窃取的密钥解密会话以窃取受害者的数据。

5.使用 SSL 和 TLS 隧道创建钓鱼网站

另一种非常常见的攻击是在互联网或组织的内部网上建立钓鱼网站。攻击者使用被盗或被盗的证书来建立受害者浏览器会信任的身份。受害者连接到恶意网站，建立加密会话，并且由于他们认为自己连接到了受信任的机器，因此开始向攻击者发送敏感数据。由于 HTTPS 会话是受信任的，并且很少受到分层安全技术的检查，因此这些攻击通常不会被发现。

“加密为网络犯罪分子提供了完美的掩护。如果没有适当的可见性，许多安全解决方案对于隐藏在加密流量中的越来越多的攻击都毫无用处，”Venafi 安全战略和威胁情报副总裁 Kevin Bocek 指出。“问题是，潜伏在加密流量中的攻击者使得快速响应变得更加困难。对于没有成熟的入站、跨网络和出站检查程序的组织来说尤其如此。这种过度自信清楚地表明，大多数安全专业人员没有必要的策略来防范恶意加密流量。”

如何保护加密隧道

防止加密隧道受到攻击的最有效方法是协调 TLS/SSL 检查，这为 TLS 数据流提供了关键的可视性。为此，您必须能够访问您正在监控流量的数千个系统的私钥。支持这种规模的 TLS 检查需要能够自动安全地传输私钥并将其安装在 TLS 检查设备上。除了 TLS 检查之外，您还应该考虑监控 SSH 密钥的授权和使用情况。

任何类型的加密隧道都可能被滥用于网络攻击。虚拟专用网络 (VPN) 是加密隧道最典型的示例，并且被认为易受攻击，但许多组织并未意识到 SSL/TLS 和 SSH 隧道也容易受到攻击。因此，大多数组织并未对进出其网络的所有隧道提供充分的监督。