思科：發(fā)現藏匿在加密流量中的威脅

　　這意味著(zhù)加密是一把雙刃劍，保護隱私的同時(shí)也讓不法分子有了可乘之機。加密能夠像隱藏其他信息一樣隱藏惡意軟件，從而帶來(lái)一系列蠕蟲(chóng)（以及木馬和病毒）。

　　思科首席工程師TK Keanini表示：“據Gartner預測，到2019年，半數的惡意軟件活動(dòng)將利用某種類(lèi)型的加密來(lái)隱藏交付、命令、控制活動(dòng)以及數據泄露。”思科今日宣布推出的一款新產(chǎn)品正好可以用來(lái)應對這一威脅。

　　惡意軟件制造者對于加密非常了解，并且懂得如何利用這一技術(shù)。Gartner認為：“隨著(zhù)HTTPS的使用量超過(guò)HTTP，通過(guò)加密網(wǎng)絡(luò )通道傳遞的惡意軟件將變得越來(lái)越多。”

　　《賽馬郵報》的安全經(jīng)理Alan Cain評論道：“Facebook、Twitter和LinkedIn等網(wǎng)站都在使用SSL，這些網(wǎng)站在過(guò)去都曾遭受過(guò)‘綁架贊（Likejacking）’、惡意軟件傳播、數據泄露和垃圾郵件等威脅的侵害。80%的安全系統不能識別或防范SSL流量中的威脅，這使得加密的惡意軟件成為當前業(yè)界最大的威脅。”

　　因此，Gartner認為，到2020年，超過(guò)60%的企業(yè)將無(wú)法有效解密HTTPS流量，從而“無(wú)法有效檢測出具有針對性的網(wǎng)絡(luò )惡意軟件。”

　　Gartner認為，屆時(shí)加密的流量中將隱藏超過(guò)70%的網(wǎng)絡(luò )惡意軟件，而對抗這些威脅的手段將會(huì )受制于反解密系統，即便是最大的IT團隊也無(wú)法忽視這一問(wèn)題。

　　直到現在，處理此問(wèn)題的常見(jiàn)方法是解密流量，并使用諸如新一代防火墻等設備查看流量。這種方法耗時(shí)較長(cháng)，且需要在網(wǎng)絡(luò )中添加額外的設備。隨著(zhù)威脅環(huán)境不斷變化，將安全功能集成到網(wǎng)絡(luò )中將有助于檢測所有威脅，甚至是藏匿在加密流量中的威脅。

　　那么我們應該如何抵御看不見(jiàn)的威脅呢？思科的專(zhuān)家找到了相關(guān)線(xiàn)索。

　　盡管您無(wú)法查看加密流量，但思科技術(shù)負責人Blake Anderson和思科高級安全研究事業(yè)部院士（Fellow）David McGrew發(fā)現了一種特殊的方法，可以獲知內部隱藏內容的線(xiàn)索。

　　Anderson和McGrew在去年十月發(fā)表的一篇名為《利用環(huán)境流量數據識別加密惡意軟件流量》的文章中寫(xiě)道：“識別加密網(wǎng)絡(luò )流量中的威脅，為我們帶來(lái)了一系列網(wǎng)絡(luò )安全挑戰。”監控這一流量對于發(fā)現威脅和識別惡意軟件來(lái)說(shuō)非常重要，他們表示：“我們需要一種能夠保持加密完整性的方式，來(lái)幫助我們實(shí)現這一目標。” 他們開(kāi)發(fā)了監督機器學(xué)習模型，能夠充分利用網(wǎng)絡(luò )流數據獨特且多樣化的特性。他們介紹道：“這些數據特性包括TLS握手元數據、鏈接到加密流的DNS環(huán)境流，以及五分鐘內來(lái)自同一源IP地址的HTTP-環(huán)境流的HTTP標頭。”

　　研究人員研究了數百萬(wàn)不同流量上惡意流量和良性流量在使用TLS、DNS和HTTP方面的差異，提煉出了惡意軟件最明顯的一系列特性。

　　這一過(guò)程經(jīng)過(guò)了真實(shí)數據的測試，以確保不會(huì )產(chǎn)生誤報。最終思科推出了加密流量分析（ETA）技術(shù)，能夠在加密數據的三個(gè)特征中尋找惡意軟件的痕跡。

　　首先是聯(lián)接的初始數據包。這一數據包可能包含有關(guān)其余內容的寶貴數據。然后是數據包長(cháng)度和時(shí)間的順序，可以針對自加密流量開(kāi)始傳輸以后的流量?jì)热萏峁┲匾�線(xiàn)索。

　　最后，加密流量分析能夠檢查被分析的數據流中數據包的有效載荷上的字節分布。由于這一基于網(wǎng)絡(luò )的檢測流程由機器學(xué)習技術(shù)支持，其功效會(huì )隨著(zhù)時(shí)間的推移而持續上升。

　　近日，思科推出了加密流量分析功能（Encrypted Traffic Analytics），并且將來(lái)自全新Catalyst? 9000交換機和Cisco 4000系列集成多業(yè)務(wù)路由器的增強型NetFlow，與思科Stealthwatch的高級安全分析能力進(jìn)行組合。

　　思科企業(yè)網(wǎng)絡(luò )、物聯(lián)網(wǎng)和開(kāi)發(fā)商平臺市場(chǎng)營(yíng)銷(xiāo)副總裁Prashanth Shenoy表示：“思科憑借一流的安全產(chǎn)品組合，持續為其網(wǎng)絡(luò )設備構建安全特性。思科推出的全面威脅防御架構可將網(wǎng)絡(luò )作為傳感器和執行平臺，來(lái)查看并處理所有威脅。”簡(jiǎn)而言之，全球所有通過(guò)思科設備的流量現在都將向龐大的威脅檢測系統提供情報，使該系統能隨時(shí)隨地檢測并阻止威脅。Shenoy表示：“就如同我們看到有人在爭執的時(shí)候，我們可能無(wú)法聽(tīng)到他們在說(shuō)什么，但仍可以從他們的手勢和表情中得知發(fā)生了什么。思科擁有顯著(zhù)的優(yōu)勢，為現有的和未來(lái)的客戶(hù)提供加密流量分析。只有采用我們最新芯片組的全新硬件才能夠高速實(shí)時(shí)地進(jìn)行分析，同時(shí)不會(huì )導致流量傳輸速度減緩。”

　　同時(shí)，思科的產(chǎn)品安裝量遙遙領(lǐng)先于全球其他網(wǎng)絡(luò )廠(chǎng)商，這意味著(zhù)思科威脅防御系統的學(xué)習速度也遠遠超過(guò)其他廠(chǎng)商的產(chǎn)品。

　　采用Stealthwatch的思科網(wǎng)絡(luò )不僅可以檢測加密流量中的惡意軟件，還可提升加密合規性，包括揭示TLS策略違規、發(fā)現加密套件漏洞以及持續監控網(wǎng)絡(luò )的不透明性等。

　　這意味著(zhù)網(wǎng)絡(luò )將能夠檢測威脅，從而一舉解決了網(wǎng)絡(luò )加密流量所面臨的主要挑戰。Keanini表示：“借助我們的創(chuàng )新成果，企業(yè)將能更好地使用網(wǎng)絡(luò )來(lái)打造極具競爭力的安全應用。通過(guò)使用機器學(xué)習技術(shù)來(lái)分析元數據流量模式，思科甚至能夠在加密流量中發(fā)現已知威脅，并有效規避風(fēng)險，而無(wú)需解密流量，這一技術(shù)手段是前所未有的。正是因為如此，思科新一代網(wǎng)絡(luò )將成為唯一一個(gè)既能為企業(yè)帶來(lái)強大安全性又能可靠保護隱私的系統。”