BREACH攻击的工作原理及应对措施

安全 应用安全
在这篇文章中,我们将谈论什么是BREACH攻击,它的工作原理,以及企业应该采取哪些步骤来降低这种攻击风险。

早在斯诺登曝光美国国家安全局破坏加密活动之前,研究人员就对加密技术进行了严格的分析。在2012年ekoparty安全会议上,Thai Duong和Juliano Rizzo讨论了名为CRIME的攻击,该攻击并没有明显影响安全套接层/传输层安全(SSL/TLS)的安全性。在2013年黑帽大会上,Yoel Gluck、Neal Harris和Angelo Prado继续研究SSL/TLS加密技术,他们揭示了新的威胁—通过自适应超文本压缩的浏览器勘测与渗透(或者被称为BREACH攻击),该攻击对SSL/TLS的影响比CRIME更为深远。

在这篇文章中,我们将谈论什么是BREACH攻击,它的工作原理,以及企业应该采取哪些步骤来降低这种攻击风险。

BREACH攻击工作原理

为了破解加密,BREACH攻击瞄准了HTTPS表头压缩,这种压缩对很多企业来说很关键,因为它最大限度地减少了带宽成本,并加快提高了网页加载速度。

BREACH通过结合现有的两种攻击类型来窃取关于数据如何通过HTTPS Web应用加密的信息,这两种攻击类型是:利用跨站请求伪造(CSRF)来改变传输中的数据,以及利用中间人攻击注入数据到HTTPS表头。根据注入数据,对这些请求变更的响应允许攻击者确定用于加密会话的字节信息,然后这些信息可以用于对数据进行解密。

面对这些攻击,静态网站属于低风险,而全功能的web应用则非常容易受到攻击,因为它们被设计为接受来自web客户端的输入,使得它更容易衡量web应用提供的网页中的变化,并最终解密连接。虽然这种攻击技术在服务器端的实际影响是微乎其微的,但在客户端,企业必须即时更新来防止中间人攻击。幸运的是,这种攻击可能无法破解使用SSL/TLS用于传输层加密(例如SSL-SMTP或者IMAPS)的其他协议。

企业可以用来降低攻击风险的步骤

我们有很多资源可以用于缓解BREACH攻击。Qualys公司应用安全研究主管Ivan Ristic写了一篇博客探讨潜在的抵御措施。Carnegie Mellon CERT在其漏洞报告中列出了潜在的缓解方案。一份互联网工程任务组(IETF)草案中也建议改善TLS来抵御这种攻击。

然而,这些战略都不能完全消除这个问题;正如Ristic所提到的,抵御这个攻击需要浏览器端的改进。虽然BREACH对企业的影响很小,但全面的分析客户帮助确定网站是否容易受到BREACH攻击或者对SSL/TLS的其他攻击。

企业可以采取不同的措施来缓解BREACH攻击,不过,需要注意的是,虽然这些战略很有效,但这些战略可能对业务带来负面影响。例如,禁用表头压缩将极大地降低BREACH攻击的风险,但这会对高流量企业网站有着显著的带宽影响。

幸运的是,我们还可以利用其他措施,包括以下:

为了保护内部客户端的安全性,使用IPsec虚拟专用网络(VPN)来阻止中间人攻击,(IPsec还可以帮助保护易受攻击的SSL VPN)

利用入侵防御或入侵检测系统(IPS/IDS)来识别试图利用漏洞的恶意客户端,并发出警报或阻止攻击系统。

另外,web应用防火墙或者具有web检测功能的防火墙可以识别恶意客户端并阻止它们。

漏洞扫描仪或者web应用安全工具可以找出潜在的易受攻击的需要更新的web应用。

Web代理服务器或者web服务器中的配置更改可以阻止客户端系统试图在30秒内发起超过设定的连接数。由于BREACH攻击需要大量连接数,控制这一点可以防止漏洞被利用。

结论

SSL/TLS协议已经经受了严格的审查,仍然被认为是保护公共网络数据传输的最有效的机制之一。

虽然有些使用这些协议的方法很不安全,但只有正确部署SSL/TLS,它都能够提供高水平的传输安全。

企业可以而且应该依赖于使用SSL/TLS的HTTPS来保护web流量的传输。虽然HTTPS仍容易受到中间人攻击,但信息安全方面和加密协议的改进正在帮助企业抵御这些攻击。

BREACH攻击可能需要迅速采取行动来尽量减少风险,但从长远来看,这不应该阻止企业对数据传输使用加密。加密具有诸多好处,即使加密面临这个特定攻击的风险,但仍然是利大于弊。

责任编辑:蓝雨泪 来源: TechTarget中国
相关推荐

2012-10-23 10:19:28

2010-09-25 16:08:40

2010-09-16 20:31:33

2015-05-13 10:36:43

2010-09-17 15:24:02

2010-04-07 09:25:00

2017-07-14 16:28:21

2020-07-20 00:44:23

物联网安全物联网IOT

2020-08-29 19:06:18

水坑攻击恶意软件网络攻击

2021-07-26 05:43:28

CC攻击DDoS攻击网络攻击

2010-09-30 10:55:19

2016-09-19 00:22:11

2010-09-25 15:52:01

2022-07-26 14:43:34

网络安全云计算风险

2010-08-30 16:44:14

数据中心误区

2021-04-21 11:10:31

云存储云安全数据泄露

2020-04-14 11:18:11

大数据IT技术

2011-03-31 12:55:23

SQL Server备份

2022-08-02 17:04:50

云计算安全云平台

2021-08-05 12:42:50

天基系统安全
点赞
收藏

51CTO技术栈公众号