音频解说

尽管在排名前100万的网站中，有将近52%的网站的URL中使用的是“https”而不是传统的“http”，但Menlo Security周二发布的一份报告显示，那些没有进行足够的SSL检查的企业现在面临着更高的被攻破或攻击的风险。

最近的研究表明，网络分子建立的钓鱼网站现在也使用SSL，这使得企业保护员工安全的努力变得更加困难。门罗安全的调查结果显示,96.7%的用户发起的网络访问服务/ https,只有57.7%的邮件是https URL链接,这意味着web代理或防火墙将明显的威胁,除非企业打开SSL检查。

报告称:“如果你认为https的小绿锁等同于安全，那你就错了。”“坏消息是，坏人也使用加密。许多人错误地认为只要有SSL证书，就不会受到攻击，但事实并非如此。从Reductor到Godlua和许多其他变种，很明显，新类型的恶意软件被隐藏在一个曾经被认为是安全的符号后面。”

根据这份报告，企业长期以来一直依赖于本地代理和下一代防火墙来实现对web访问的可见性和控制。但是，当涉及到解密和检查SSL会话时，报告说，“许多企业都有所保留，部分原因是出于隐私问题，部分原因是由于启用了SSL解密后这些代理的性能。”当开启SSL解密时，这些设备的总吞吐量下降五倍或更多，这并不罕见。”

参见:根据需要选择最佳VPN的提示(免费PDF) (TechRepublic)

从http到https的转变在很大程度上归功于谷歌，2014年谷歌将https网站提升到更高的排名，作为推广更安全网站的一种方式。现在有几十个浏览器在推广https链接方面做了类似的事情，但近年来这种做法被滥用了，这要归功于网站建设者广泛使用的加密工具。

报告指出，在https网站的威胁中，47.1%的网站在运行易受攻击的服务器软件，41.5%的网站被列为未分类网站，66.8%的非浏览器流量来自SSL，在已知的威胁中，90.6%的机器生成的https会话来自未分类网站。

在一次采访中，Menlo Security的首席技术官Kowsik Guruswamy解释说，SSL解密通常是由本地设备完成的，他的公司发现，许多企业不启用SSL解密有两个主要原因。

首先是隐私问题，因为大多数公司都对查看员工点击的链接持谨慎态度。但对于身处受监管行业的企业来说，解密并查看所有信息已成为一种要求。缺点是，当这些企业在硬件设备上打开SSL解密时，它们的性能下降了五倍，甚至更多。

“他们被困在这个岩石和艰难的地方。一方面，法规规定他们必须有这种能力，特别是在发生事故时。他们需要证据。另一方面，他们需要从这些供应商那里获得更多的设备。在我们自己的云中，我们看到95%以上的流量通过SSL提供服务。有好有坏，”古鲁斯瓦米说。

“对于用户发起的云流量，97%的网站是通过https提供服务的。对企业来说，重要的是，如果他们不进行SSL检查，用户就根本得不到保护。”

但现在，古鲁斯瓦米说，门罗的客户，包括许多世界上最大的银行和信用卡公司，告诉他们，他们的VPN基础设施正在紧张，因为他们只计划让1%-5%的员工远程工作。

“但现在完全颠倒过来了。由于VPN变得不堪重负，越来越多的公司基本上都在说，‘看，当你通过VPN连接时，你不能看YouTube或看新闻，你必须直接连接。因此，一旦人们开始直接访问，他们就得不到任何保护，公司也就失去了在SSL或非SSL方面的流量可视性，”古鲁斯瓦米补充说。

“我们发现，大约47%的https网站实际上运行的是非常旧的、易受攻击的软件。当我们将其与CVE编号和堆栈上所有已知的漏洞进行交叉比较时，所有这些运行的旧版本的Wordpress都是易受攻击的，但它们是通过SSL出售的。这是一个问题。”

在门罗的报告中，该公司发现，大多数电子邮件包含30-40个链接，许多人通常只点击一个链接。超过90%的人们点击的链接都是https，这意味着对于网络钓鱼链接几乎没有保护措施。

这些天，Guruswamy注意到，大部分的流量，无论好坏，都是通过https传输的，包括钓鱼网站、恶意软件网站、公园域，以及命令和控制网站，这些网站本质上是受感染的端点呼叫到互联网上。

古鲁斯瓦米说:“在某种程度上，你必须审视它，因为所有的事情，无论是好是坏，都要经过党卫军。”“如果你不解密，你就有烦了。你基本上无法知道什么进入或离开你的网络。你是瞎开车。”