BREACH攻击的工作原理及应对措施

在这篇文章中，我们将谈论什么是BREACH攻击，它的工作原理，以及企业应该采取哪些步骤来降低这种攻击风险。

BREACH攻击工作原理

为了破解加密，BREACH攻击瞄准了HTTPS表头压缩，这种压缩对很多企业来说很关键，因为它最大限度地减少了带宽成本，并加快提高了网页加载速度。

BREACH通过结合现有的两种攻击类型来窃取关于数据如何通过HTTPS Web应用加密的信息，这两种攻击类型是：利用跨站请求伪造（CSRF）来改变传输中的数据，以及利用中间人攻击注入数据到HTTPS表头。根据注入数据，对这些请求变更的响应允许攻击者确定用于加密会话的字节信息，然后这些信息可以用于对数据进行解密。

面对这些攻击，静态网站属于低风险，而全功能的web应用则非常容易受到攻击，因为它们被设计为接受来自web客户端的输入，使得它更容易衡量web应用提供的网页中的变化，并最终解密连接。虽然这种攻击技术在服务器端的实际影响是微乎其微的，但在客户端，企业必须即时更新来防止中间人攻击。幸运的是，这种攻击可能无法破解使用SSL/TLS用于传输层加密（例如SSL-SMTP或者IMAPS）的其他协议。

企业可以用来降低攻击风险的步骤

我们有很多资源可以用于缓解BREACH攻击。Qualys公司应用安全研究主管Ivan Ristic写了一篇博客探讨潜在的抵御措施。Carnegie Mellon CERT在其漏洞报告中列出了潜在的缓解方案。一份互联网工程任务组（IETF）草案中也建议改善TLS来抵御这种攻击。

然而，这些战略都不能完全消除这个问题；正如Ristic所提到的，抵御这个攻击需要浏览器端的改进。虽然BREACH对企业的影响很小，但全面的分析客户帮助确定网站是否容易受到BREACH攻击或者对SSL/TLS的其他攻击。

企业可以采取不同的措施来缓解BREACH攻击，不过，需要注意的是，虽然这些战略很有效，但这些战略可能对业务带来负面影响。例如，禁用表头压缩将极大地降低BREACH攻击的风险，但这会对高流量企业网站有着显著的带宽影响。

幸运的是，我们还可以利用其他措施，包括以下：

• 为了保护内部客户端的安全性，使用IPsec虚拟专用网络（VPN）来阻止中间人攻击，（IPsec还可以帮助保护易受攻击的SSL VPN）
• 利用入侵防御或入侵检测系统（IPS/IDS）来识别试图利用漏洞的恶意客户端，并发出警报或阻止攻击系统。
• 另外，web应用防火墙或者具有web检测功能的防火墙可以识别恶意客户端并阻止它们。
• 漏洞扫描仪或者web应用安全工具可以找出潜在的易受攻击的需要更新的web应用。
• Web代理服务器或者web服务器中的配置更改可以阻止客户端系统试图在30秒内发起超过设定的连接数。由于BREACH攻击需要大量连接数，控制这一点可以防止漏洞被利用。

结论

SSL/TLS协议已经经受了严格的审查，仍然被认为是保护公共网络数据传输的最有效的机制之一。

虽然有些使用这些协议的方法很不安全，但只有正确部署SSL/TLS，它都能够提供高水平的传输安全。

企业可以而且应该依赖于使用SSL/TLS的HTTPS来保护web流量的传输。虽然HTTPS仍容易受到中间人攻击，但信息安全方面和加密协议的改进正在帮助企业抵御这些攻击。

BREACH攻击可能需要迅速采取行动来尽量减少风险，但从长远来看，这不应该阻止企业对数据传输使用加密。加密具有诸多好处，即使加密面临这个特定攻击的风险，但仍然是利大于弊