不少網站採用 SSL 加密,加強數據傳送的保安。但當 HTTPS 愈來愈廣泛,卻成了惡意程式的掩護。
基於個人私隱的顧慮,愈來愈多網站使用加密。Google、Facebook、Amazon 等更全面採用 SSL 加密保護傳送數據。企業的應用程式,如檔案儲存、搜尋、雲端企業軟件及社群媒體,也在使用 SSL 加密保護傳輸數據。然而,SSL 加密傳輸缺乏可視性,因此造成潛在漏洞而令很多企業的保安設備無法區分正常與攻擊性的 SSL 傳輸。結果加密反而讓攻擊能避過網絡保安,導致企業內敏感的僱員或公司資料外洩。
Blue Coat 上月發表的《2014 安全報告-可視性漏洞》指出,加密傳輸正成為了網絡罪案的溫床。經加密的傳送內容大多會直接經過保安機制不作檢查。外來黑客或不良員工的惡意破壞能導致重要數據失竊,而當「一日網站」(One-Day Wonders)結合加密,經 SSL 傳輸傳入惡意程式,並加密傳出竊取的數據,企業會毫不察覺,更無法防止、偵測和應付。