思科ETA、讓躲藏在加密流量中的威脅無處隱身！

2017-07-19 10:35:53 作者：來源：CTI論壇評論：0 　點擊：

　　“加密” 洶涌而來！

　　伴隨著逐漸實現數字化轉型的腳步，企業(yè)為了保護數據和應用服務的安全，開始大量采用加密技術。例如，使用 HTTPS 服務代替?zhèn)鹘y(tǒng)的 HTTP。

　　數據顯示：到 2016 年，超過 40％的網站流量實現了加密，同比 2015 年增長 90％以上。Gartner 預測，到 2019 年，80％的 Web 流量將實現加密！

　　“加密” 是把雙刃劍！

　　眾所周知，網絡可見性是實現網絡安全和業(yè)務保障的基礎。但現在，隨著加密技術的使用，可見性變得越來越難于實現。企業(yè)在依賴這一技術獲得隱私性與安全性的同時，不法分子也有了可乘之機！

　　加密是把雙刃劍！黑客們同樣可以利用加密技術將其推送的惡意軟件、欲傳達的有害命令都藏匿于加密流量當中，規(guī)避檢測，確保惡意活動能夠正常實施。

　　這就需要 IT 部門去評估數字業(yè)務是否通過加密保護、何種強度的保護；同時也需要評估流量是否存在惡意。目前來看，針對加密流量進行檢測的解決方案主要是利用中間人的技術對流量解密，分析其中的行為和內容，再次加密發(fā)送。但這樣的解決方案存在以下局限：

　　加密技術旨在解決數據的隱私性，利用中間人解密則破壞了了這個初衷，同時在通道完整性等方面也存在風險；

　　如果加密流量持續(xù)增加，解密會消耗大量資源，同時也會造成現有網絡性能的下降。

　　如何識別加密威脅？

　　說起如何識別加密網絡流量中的威脅，還得先請出今天的主講 “思享家”——思科大中華區(qū)網絡安全業(yè)務技術總監(jiān)徐洪濤。

　　大家好，在 “思享家” 本期微話題 “思科全數字化網絡架構（DNA）——自我學習、自我調整、自我保護的全智慧的網絡” 中，我將與大家一同探討思科推出的 ETA 技術（Encrypted Traffic Analytics，加密流量分析功能），大家在學習過程中遇到的問題或思考，可以直接在文章底部留言區(qū)留言，我都會一一作出答復。

　　思科一直致力于加密網絡流量中威脅識別的研究，安全研究人員研究了數百萬不同流量上惡意流量和良性流量使用 TLS、DNS 和 HTTP 方面的差異，提煉出惡意軟件最明顯的一系列流量特性，并最終形成了思科針對惡意軟件流量傳輸模型的 Security Map。

　　在 DNA 的設計當中，思科推出加密流量分析功能，通過收集來自全新 Catalyst? 9000 交換機和 Cisco 4000 系列集成多業(yè)務路由器的增強型 NetFlow 信息，再與思科 Stealthwatch 的高級安全分析能力進行組合，ETA 能夠幫助 IT 人員在無需解密的情況下找出加密流量中的惡意威脅。

　　ETA 技術充分利用了網絡基礎架構（網絡交換機）的能力，結合機器學習，在加密數據中提取多個特征，關聯(lián)思科安全大數據中的 Security Map，尋找惡意軟件的痕跡。提取內容包括：

加密連接的初始數據包。這一明文數據包可能包含加密相關的寶貴數據，如加密采用的 HTTP URL、DNS主機名、TLS版本、算法、證書、TLS擴展選項等；
數據包長度和報文的時間間隔和順序。根據這些發(fā)現，獲得加密數據的流量模型，也可以為加密流量傳輸的流量內容提供重要線索；
被分析的數據流中數據包的有效載荷上的字節(jié)分布。由于這一基于網絡的檢測流程采用了機器學習技術，其功效會隨著時間的推移而持續(xù)上升。

最后談談創(chuàng)新性。ETA 是 Cisco 在 DNA 安全技術當中的一個巨大創(chuàng)新，有了ETA ，我們在加密的環(huán)境中，依然有能力實現全面的網絡可見性和威脅可見性。
全面的內網流量加密和規(guī)檢測——如發(fā)現內網當中多少應用采用了強加密的防護，TLS 是否和規(guī)，加密算法漏洞分析等；
發(fā)現加密流量中的惡意威脅——在保證加密通道的隱私性和完整性以及整個網絡性能的基礎上，快速發(fā)現加密流量中的惡意軟件；
發(fā)現威脅，快速緩解——一旦發(fā)現威脅，可與 DNA 架構中的 SD-Access 技術結合，實現快速自動地安全控制，將威脅控制在最小的范圍內。