您当前的位置是:  首页 > 新闻 > 国内 >
 首页 > 新闻 > 国内 >

思科ETA、让躲藏在加密流量中的威胁无处隐身!

2017-07-19 10:35:53   作者:   来源:CTI论坛   评论:0  点击:


  “加密” 汹涌而来!
  伴随着逐渐实现数字化转型的脚步,企业为了保护数据和应用服务的安全,开始大量采用加密技术。例如,使用 HTTPS 服务代替传统的 HTTP。
  数据显示:到 2016 年,超过 40% 的网站流量实现了加密,同比 2015 年增长 90% 以上。Gartner 预测,到 2019 年,80% 的 Web 流量将实现加密!
  “加密” 是把双刃剑!
  众所周知,网络可见性是实现网络安全和业务保障的基础。但现在,随着加密技术的使用,可见性变得越来越难于实现。企业在依赖这一技术获得隐私性与安全性的同时,不法分子也有了可乘之机!
  加密是把双刃剑!黑客们同样可以利用加密技术将其推送的恶意软件、欲传达的有害命令都藏匿于加密流量当中,规避检测,确保恶意活动能够正常实施。
  这就需要 IT 部门去评估数字业务是否通过加密保护、何种强度的保护;同时也需要评估流量是否存在恶意。目前来看,针对加密流量进行检测的解决方案主要是利用中间人的技术对流量解密,分析其中的行为和内容,再次加密发送。但这样的解决方案存在以下局限:
  加密技术旨在解决数据的隐私性,利用中间人解密则破坏了了这个初衷,同时在通道完整性等方面也存在风险;
  如果加密流量持续增加,解密会消耗大量资源,同时也会造成现有网络性能的下降。
  如何识别加密威胁?
  说起如何识别加密网络流量中的威胁,还得先请出今天的主讲 “思享家”——思科大中华区网络安全业务技术总监徐洪涛。
  大家好,在 “思享家” 本期微话题 “思科全数字化网络架构(DNA)——自我学习、自我调整、自我保护的全智慧的网络” 中,我将与大家一同探讨思科推出的 ETA 技术(Encrypted Traffic Analytics,加密流量分析功能),大家在学习过程中遇到的问题或思考,可以直接在文章底部留言区留言,我都会一一作出答复。
  思科一直致力于加密网络流量中威胁识别的研究,安全研究人员研究了数百万不同流量上恶意流量和良性流量使用 TLS、DNS 和 HTTP 方面的差异,提炼出恶意软件最明显的一系列流量特性,并最终形成了思科针对恶意软件流量传输模型的 Security Map。
  在 DNA 的设计当中,思科推出加密流量分析功能,通过收集来自全新 Catalyst? 9000 交换机和 Cisco 4000 系列集成多业务路由器的增强型  NetFlow 信息,再与思科 Stealthwatch 的高级安全分析能力进行组合,ETA 能够帮助 IT 人员在无需解密的情况下找出加密流量中的恶意威胁。
  ETA 技术充分利用了网络基础架构(网络交换机)的能力,结合机器学习,在加密数据中提取多个特征,关联思科安全大数据中的 Security Map,寻找恶意软件的痕迹。提取内容包括:
  • 加密连接的初始数据包。这一明文数据包可能包含加密相关的宝贵数据,如加密采用的 HTTP URL、DNS主机名、TLS版本、算法、证书、TLS扩展选项等;
  • 数据包长度和报文的时间间隔和顺序。根据这些发现,获得加密数据的流量模型, 也可以为加密流量传输的流量内容提供重要线索;
  • 被分析的数据流中数据包的有效载荷上的字节分布。由于这一基于网络的检测流程采用了机器学习技术,其功效会随着时间的推移而持续上升。

  • 最后谈谈创新性。ETA 是 Cisco 在 DNA 安全技术当中的一个巨大创新, 有了ETA ,我们在加密的环境中,依然有能力实现全面的网络可见性和威胁可见性。
  • 全面的内网流量加密和规检测——如发现内网当中多少应用采用了强加密的防护,TLS 是否和规,加密算法漏洞分析等;
  • 发现加密流量中的恶意威胁——在保证加密通道的隐私性和完整性以及整个网络性能的基础上,快速发现加密流量中的恶意软件;
  • 发现威胁,快速缓解——一旦发现威胁,可与 DNA 架构中的 SD-Access 技术结合,实现快速自动地安全控制,将威胁控制在最小的范围内。
  

相关热词搜索: 思科 ETA

上一篇:Issabel-4.0 正式发布

下一篇:最后一页

专题