“加密” 洶涌而來!
伴隨著逐漸實現(xiàn)數(shù)字化轉(zhuǎn)型的腳步,企業(yè)為了保護數(shù)據(jù)和應用服務的安全,開始大量采用加密技術(shù)。例如,使用 HTTPS 服務代替?zhèn)鹘y(tǒng)的 HTTP。

數(shù)據(jù)顯示:到 2016 年,超過 40% 的網(wǎng)站流量實現(xiàn)了加密,同比 2015 年增長 90% 以上。Gartner 預測,到 2019 年,80% 的 Web 流量將實現(xiàn)加密!
“加密” 是把雙刃劍!
眾所周知,網(wǎng)絡可見性是實現(xiàn)網(wǎng)絡安全和業(yè)務保障的基礎(chǔ)。但現(xiàn)在,隨著加密技術(shù)的使用,可見性變得越來越難于實現(xiàn)。企業(yè)在依賴這一技術(shù)獲得隱私性與安全性的同時,不法分子也有了可乘之機!
加密是把雙刃劍!黑客們同樣可以利用加密技術(shù)將其推送的惡意軟件、欲傳達的有害命令都藏匿于加密流量當中,規(guī)避檢測,確保惡意活動能夠正常實施。
這就需要 IT 部門去評估數(shù)字業(yè)務是否通過加密保護、何種強度的保護;同時也需要評估流量是否存在惡意。目前來看,針對加密流量進行檢測的解決方案主要是利用中間人的技術(shù)對流量解密,分析其中的行為和內(nèi)容,再次加密發(fā)送。但這樣的解決方案存在以下局限:
加密技術(shù)旨在解決數(shù)據(jù)的隱私性,利用中間人解密則破壞了了這個初衷,同時在通道完整性等方面也存在風險;
如果加密流量持續(xù)增加,解密會消耗大量資源,同時也會造成現(xiàn)有網(wǎng)絡性能的下降。
如何識別加密威脅?
說起如何識別加密網(wǎng)絡流量中的威脅,還得先請出今天的主講 “思享家”——思科大中華區(qū)網(wǎng)絡安全業(yè)務技術(shù)總監(jiān)徐洪濤。

大家好,在 “思享家” 本期微話題 “思科全數(shù)字化網(wǎng)絡架構(gòu)(DNA)——自我學習、自我調(diào)整、自我保護的全智慧的網(wǎng)絡” 中,我將與大家一同探討思科推出的 ETA 技術(shù)(Encrypted Traffic Analytics,加密流量分析功能),大家在學習過程中遇到的問題或思考,可以直接在文章底部留言區(qū)留言,我都會一一作出答復。
思科一直致力于加密網(wǎng)絡流量中威脅識別的研究,安全研究人員研究了數(shù)百萬不同流量上惡意流量和良性流量使用 TLS、DNS 和 HTTP 方面的差異,提煉出惡意軟件最明顯的一系列流量特性,并最終形成了思科針對惡意軟件流量傳輸模型的 Security Map。
在 DNA 的設計當中,思科推出加密流量分析功能,通過收集來自全新 Catalyst? 9000 交換機和 Cisco 4000 系列集成多業(yè)務路由器的增強型 NetFlow 信息,再與思科 Stealthwatch 的高級安全分析能力進行組合,ETA 能夠幫助 IT 人員在無需解密的情況下找出加密流量中的惡意威脅。
ETA 技術(shù)充分利用了網(wǎng)絡基礎(chǔ)架構(gòu)(網(wǎng)絡交換機)的能力,結(jié)合機器學習,在加密數(shù)據(jù)中提取多個特征,關(guān)聯(lián)思科安全大數(shù)據(jù)中的 Security Map,尋找惡意軟件的痕跡。提取內(nèi)容包括:
- 加密連接的初始數(shù)據(jù)包。這一明文數(shù)據(jù)包可能包含加密相關(guān)的寶貴數(shù)據(jù),如加密采用的 HTTP URL、DNS主機名、TLS版本、算法、證書、TLS擴展選項等;
- 數(shù)據(jù)包長度和報文的時間間隔和順序。根據(jù)這些發(fā)現(xiàn),獲得加密數(shù)據(jù)的流量模型, 也可以為加密流量傳輸?shù)牧髁績?nèi)容提供重要線索;
- 被分析的數(shù)據(jù)流中數(shù)據(jù)包的有效載荷上的字節(jié)分布。由于這一基于網(wǎng)絡的檢測流程采用了機器學習技術(shù),其功效會隨著時間的推移而持續(xù)上升。

- 最后談談創(chuàng)新性。ETA 是 Cisco 在 DNA 安全技術(shù)當中的一個巨大創(chuàng)新, 有了ETA ,我們在加密的環(huán)境中,依然有能力實現(xiàn)全面的網(wǎng)絡可見性和威脅可見性。
- 全面的內(nèi)網(wǎng)流量加密和規(guī)檢測——如發(fā)現(xiàn)內(nèi)網(wǎng)當中多少應用采用了強加密的防護,TLS 是否和規(guī),加密算法漏洞分析等;
- 發(fā)現(xiàn)加密流量中的惡意威脅——在保證加密通道的隱私性和完整性以及整個網(wǎng)絡性能的基礎(chǔ)上,快速發(fā)現(xiàn)加密流量中的惡意軟件;
- 發(fā)現(xiàn)威脅,快速緩解——一旦發(fā)現(xiàn)威脅,可與 DNA 架構(gòu)中的 SD-Access 技術(shù)結(jié)合,實現(xiàn)快速自動地安全控制,將威脅控制在最小的范圍內(nèi)。