2017年6月20日

加密是保護(hù)隱私的一個(gè)重要手段，能夠保護(hù)我們的數(shù)據(jù)不被窺探，能夠阻止犯罪分子竊取我們的信用卡信息、應(yīng)用的使用習(xí)慣或密碼。

加密的重要性不言而喻，據(jù)***報(bào)告顯示，截止今年2月，半數(shù)的在線流量均被加密。對于特定類型的流量，加密甚至已成為法律的強(qiáng)制性要求。

Gartner認(rèn)為，到2019年，超過80%的企業(yè)網(wǎng)絡(luò)流量將被加密。雖然這對于重視隱私的用戶來說是一個(gè)福音，但I(xiàn)T團(tuán)隊(duì)將面臨著嚴(yán)峻挑戰(zhàn)。面對大量涌入的流量，如果沒有解密技術(shù)，IT團(tuán)隊(duì)將無法查看流量內(nèi)包含的信息。

這意味著加密是一把雙刃劍，保護(hù)隱私的同時(shí)也讓不法分子有了可乘之機(jī)。加密能夠像隱藏其他信息一樣隱藏惡意軟件，從而帶來一系列蠕蟲(以及木馬和病毒)。

思科***工程師TK Keanini表示：“據(jù)Gartner預(yù)測，到2019年，半數(shù)的惡意軟件活動(dòng)將利用某種類型的加密來隱藏交付、命令、控制活動(dòng)以及數(shù)據(jù)泄露。”思科今日宣布推出的一款新產(chǎn)品正好可以用來應(yīng)對這一威脅。

惡意軟件制造者對于加密非常了解，并且懂得如何利用這一技術(shù)。Gartner認(rèn)為：“隨著HTTPS的使用量超過HTTP，通過加密網(wǎng)絡(luò)通道傳遞的惡意軟件將變得越來越多。”

《賽馬郵報(bào)》的安全經(jīng)理Alan Cain評論道：“Facebook、Twitter和LinkedIn等網(wǎng)站都在使用SSL，這些網(wǎng)站在過去都曾遭受過‘綁架贊(Likejacking)’、惡意軟件傳播、數(shù)據(jù)泄露和垃圾郵件等威脅的侵害。80%的安全系統(tǒng)不能識(shí)別或防范SSL流量中的威脅，這使得加密的惡意軟件成為當(dāng)前業(yè)界***的威脅。”

因此，Gartner認(rèn)為，到2020年，超過60%的企業(yè)將無法有效解密HTTPS流量，從而“無法有效檢測出具有針對性的網(wǎng)絡(luò)惡意軟件。”

Gartner認(rèn)為，屆時(shí)加密的流量中將隱藏超過70%的網(wǎng)絡(luò)惡意軟件，而對抗這些威脅的手段將會(huì)受制于反解密系統(tǒng)，即便是***的IT團(tuán)隊(duì)也無法忽視這一問題。

直到現(xiàn)在，處理此問題的常見方法是解密流量，并使用諸如新一代防火墻等設(shè)備查看流量。這種方法耗時(shí)較長，且需要在網(wǎng)絡(luò)中添加額外的設(shè)備。隨著威脅環(huán)境不斷變化，將安全功能集成到網(wǎng)絡(luò)中將有助于檢測所有威脅，甚至是藏匿在加密流量中的威脅。

那么我們應(yīng)該如何抵御看不見的威脅呢?思科的專家找到了相關(guān)線索。

使用加密流量分析進(jìn)行威脅檢測

盡管您無法查看加密流量，但思科技術(shù)負(fù)責(zé)人Blake Anderson和思科高級安全研究事業(yè)部院士(Fellow)David McGrew發(fā)現(xiàn)了一種特殊的方法，可以獲知內(nèi)部隱藏內(nèi)容的線索。

Anderson和McGrew在去年十月發(fā)表的一篇名為《利用環(huán)境流量數(shù)據(jù)識(shí)別加密惡意軟件流量》的文章中寫道：“識(shí)別加密網(wǎng)絡(luò)流量中的威脅，為我們帶來了一系列網(wǎng)絡(luò)安全挑戰(zhàn)。”監(jiān)控這***量對于發(fā)現(xiàn)威脅和識(shí)別惡意軟件來說非常重要，他們表示：“我們需要一種能夠保持加密完整性的方式，來幫助我們實(shí)現(xiàn)這一目標(biāo)。” 他們開發(fā)了監(jiān)督機(jī)器學(xué)習(xí)模型，能夠充分利用網(wǎng)絡(luò)流數(shù)據(jù)獨(dú)特且多樣化的特性。他們介紹道：“這些數(shù)據(jù)特性包括TLS握手元數(shù)據(jù)、鏈接到加密流的DNS環(huán)境流，以及五分鐘內(nèi)來自同一源IP地址的HTTP-環(huán)境流的HTTP標(biāo)頭。”

研究人員研究了數(shù)百萬不同流量上惡意流量和良性流量在使用TLS、DNS和HTTP方面的差異，提煉出了惡意軟件最明顯的一系列特性。

這一過程經(jīng)過了真實(shí)數(shù)據(jù)的測試，以確保不會(huì)產(chǎn)生誤報(bào)。最終思科推出了加密流量分析(ETA)技術(shù)，能夠在加密數(shù)據(jù)的三個(gè)特征中尋找惡意軟件的痕跡。

首先是聯(lián)接的初始數(shù)據(jù)包。這一數(shù)據(jù)包可能包含有關(guān)其余內(nèi)容的寶貴數(shù)據(jù)。然后是數(shù)據(jù)包長度和時(shí)間的順序，可以針對自加密流量開始傳輸以后的流量內(nèi)容提供重要線索。

***，加密流量分析能夠檢查被分析的數(shù)據(jù)流中數(shù)據(jù)包的有效載荷上的字節(jié)分布。由于這一基于網(wǎng)絡(luò)的檢測流程由機(jī)器學(xué)習(xí)技術(shù)支持，其功效會(huì)隨著時(shí)間的推移而持續(xù)上升。

近日，思科推出了加密流量分析功能(Encrypted Traffic Analytics)，并且將來自全新Catalyst® 9000交換機(jī)和Cisco 4000系列集成多業(yè)務(wù)路由器的增強(qiáng)型NetFlow，與思科Stealthwatch的高級安全分析能力進(jìn)行組合。

思科企業(yè)網(wǎng)絡(luò)、物聯(lián)網(wǎng)和開發(fā)商平臺(tái)市場營銷副總裁Prashanth Shenoy表示：“思科憑借***的安全產(chǎn)品組合，持續(xù)為其網(wǎng)絡(luò)設(shè)備構(gòu)建安全特性。思科推出的全面威脅防御架構(gòu)可將網(wǎng)絡(luò)作為傳感器和執(zhí)行平臺(tái)，來查看并處理所有威脅。”簡而言之，全球所有通過思科設(shè)備的流量現(xiàn)在都將向龐大的威脅檢測系統(tǒng)提供情報(bào)，使該系統(tǒng)能隨時(shí)隨地檢測并阻止威脅。Shenoy表示：“就如同我們看到有人在爭執(zhí)的時(shí)候，我們可能無法聽到他們在說什么，但仍可以從他們的手勢和表情中得知發(fā)生了什么。思科擁有顯著的優(yōu)勢，為現(xiàn)有的和未來的客戶提供加密流量分析。只有采用我們***芯片組的全新硬件才能夠高速實(shí)時(shí)地進(jìn)行分析，同時(shí)不會(huì)導(dǎo)致流量傳輸速度減緩。”

同時(shí)，思科的產(chǎn)品安裝量***于全球其他網(wǎng)絡(luò)廠商，這意味著思科威脅防御系統(tǒng)的學(xué)習(xí)速度也遠(yuǎn)遠(yuǎn)超過其他廠商的產(chǎn)品。

采用Stealthwatch的思科網(wǎng)絡(luò)不僅可以檢測加密流量中的惡意軟件，還可提升加密合規(guī)性，包括揭示TLS策略違規(guī)、發(fā)現(xiàn)加密套件漏洞以及持續(xù)監(jiān)控網(wǎng)絡(luò)的不透明性等。

這意味著網(wǎng)絡(luò)將能夠檢測威脅，從而一舉解決了網(wǎng)絡(luò)加密流量所面臨的主要挑戰(zhàn)。Keanini表示：“借助我們的創(chuàng)新成果，企業(yè)將能更好地使用網(wǎng)絡(luò)來打造***競爭力的安全應(yīng)用。通過使用機(jī)器學(xué)習(xí)技術(shù)來分析元數(shù)據(jù)流量模式，思科甚至能夠在加密流量中發(fā)現(xiàn)已知威脅，并有效規(guī)避風(fēng)險(xiǎn)，而無需解密流量，這一技術(shù)手段是***的。正是因?yàn)槿绱?，思科新一代網(wǎng)絡(luò)將成為唯一一個(gè)既能為企業(yè)帶來強(qiáng)大安全性又能可靠保護(hù)隱私的系統(tǒng)。”