用于保護(hù)在線(xiàn)數(shù)據(jù)的加密技術(shù)給惡意軟件提供了藏身之地。如何檢測(cè)出加密流量中的威脅一直是行業(yè)面臨的一個(gè)難題……現(xiàn)在，這一難題終于被攻克了。

[[194974]]

加密是保護(hù)隱私的一個(gè)重要手段，能夠保護(hù)我們的數(shù)據(jù)不被窺探，能夠阻止犯罪分子竊取我們的信用卡信息、應(yīng)用的使用習(xí)慣或密碼。

加密的重要性不言而喻，據(jù)***報(bào)告顯示，截止今年2月，半數(shù)的在線(xiàn)流量均被加密。對(duì)于特定類(lèi)型的流量，加密甚至已成為法律的強(qiáng)制性要求。

Gartner認(rèn)為，到2019年，超過(guò)80%的企業(yè)網(wǎng)絡(luò)流量將被加密。雖然這對(duì)于重視隱私的用戶(hù)來(lái)說(shuō)是一個(gè)福音，但I(xiàn)T團(tuán)隊(duì)將面臨著嚴(yán)峻挑戰(zhàn)。面對(duì)大量涌入的流量，如果沒(méi)有解密技術(shù)，IT團(tuán)隊(duì)將無(wú)法查看流量?jī)?nèi)包含的信息。

這意味著加密是一把雙刃劍，保護(hù)隱私的同時(shí)也讓不法分子有了可乘之機(jī)。加密能夠像隱藏其他信息一樣隱藏惡意軟件，從而帶來(lái)一系列蠕蟲(chóng)(以及木馬和病毒)。

思科***工程師TK Keanini表示：“據(jù)Gartner預(yù)測(cè)，到2019年，半數(shù)的惡意軟件活動(dòng)將利用某種類(lèi)型的加密來(lái)隱藏交付、命令、控制活動(dòng)以及數(shù)據(jù)泄露。”思科今日宣布推出的一款新產(chǎn)品正好可以用來(lái)應(yīng)對(duì)這一威脅。

惡意軟件制造者對(duì)于加密非常了解，并且懂得如何利用這一技術(shù)。Gartner認(rèn)為：“隨著HTTPS的使用量超過(guò)HTTP，通過(guò)加密網(wǎng)絡(luò)通道傳遞的惡意軟件將變得越來(lái)越多。”

《賽馬郵報(bào)》的安全經(jīng)理Alan Cain評(píng)論道：“Facebook、Twitter和LinkedIn等網(wǎng)站都在使用SSL，這些網(wǎng)站在過(guò)去都曾遭受過(guò)‘綁架贊(Likejacking)’、惡意軟件傳播、數(shù)據(jù)泄露和垃圾郵件等威脅的侵害。80%的安全系統(tǒng)不能識(shí)別或防范SSL流量中的威脅，這使得加密的惡意軟件成為當(dāng)前業(yè)界***的威脅。”

因此，Gartner認(rèn)為，到2020年，超過(guò)60%的企業(yè)將無(wú)法有效解密HTTPS流量，從而“無(wú)法有效檢測(cè)出具有針對(duì)性的網(wǎng)絡(luò)惡意軟件。”

Gartner認(rèn)為，屆時(shí)加密的流量中將隱藏超過(guò)70%的網(wǎng)絡(luò)惡意軟件，而對(duì)抗這些威脅的手段將會(huì)受制于反解密系統(tǒng)，即便是***的IT團(tuán)隊(duì)也無(wú)法忽視這一問(wèn)題。

直到現(xiàn)在，處理此問(wèn)題的常見(jiàn)方法是解密流量，并使用諸如新一代防火墻等設(shè)備查看流量。這種方法耗時(shí)較長(zhǎng)，且需要在網(wǎng)絡(luò)中添加額外的設(shè)備。隨著威脅環(huán)境不斷變化，將安全功能集成到網(wǎng)絡(luò)中將有助于檢測(cè)所有威脅，甚至是藏匿在加密流量中的威脅。

那么我們應(yīng)該如何抵御看不見(jiàn)的威脅呢?思科的專(zhuān)家找到了相關(guān)線(xiàn)索。

使用加密流量分析進(jìn)行威脅檢測(cè)

盡管您無(wú)法查看加密流量，但思科技術(shù)負(fù)責(zé)人Blake Anderson和思科高級(jí)安全研究事業(yè)部院士(Fellow)David McGrew發(fā)現(xiàn)了一種特殊的方法，可以獲知內(nèi)部隱藏內(nèi)容的線(xiàn)索。

Anderson和McGrew在去年十月發(fā)表的一篇名為《利用環(huán)境流量數(shù)據(jù)識(shí)別加密惡意軟件流量》的文章中寫(xiě)道：“識(shí)別加密網(wǎng)絡(luò)流量中的威脅，為我們帶來(lái)了一系列網(wǎng)絡(luò)安全挑戰(zhàn)。”監(jiān)控這***量對(duì)于發(fā)現(xiàn)威脅和識(shí)別惡意軟件來(lái)說(shuō)非常重要，他們表示：“我們需要一種能夠保持加密完整性的方式，來(lái)幫助我們實(shí)現(xiàn)這一目標(biāo)。” 他們開(kāi)發(fā)了監(jiān)督機(jī)器學(xué)習(xí)模型，能夠充分利用網(wǎng)絡(luò)流數(shù)據(jù)獨(dú)特且多樣化的特性。他們介紹道：“這些數(shù)據(jù)特性包括TLS握手元數(shù)據(jù)、鏈接到加密流的DNS環(huán)境流，以及五分鐘內(nèi)來(lái)自同一源IP地址的HTTP-環(huán)境流的HTTP標(biāo)頭。”

研究人員研究了數(shù)百萬(wàn)不同流量上惡意流量和良性流量在使用TLS、DNS和HTTP方面的差異，提煉出了惡意軟件最明顯的一系列特性。

這一過(guò)程經(jīng)過(guò)了真實(shí)數(shù)據(jù)的測(cè)試，以確保不會(huì)產(chǎn)生誤報(bào)。最終思科推出了加密流量分析(ETA)技術(shù)，能夠在加密數(shù)據(jù)的三個(gè)特征中尋找惡意軟件的痕跡。

首先是聯(lián)接的初始數(shù)據(jù)包。這一數(shù)據(jù)包可能包含有關(guān)其余內(nèi)容的寶貴數(shù)據(jù)。然后是數(shù)據(jù)包長(zhǎng)度和時(shí)間的順序，可以針對(duì)自加密流量開(kāi)始傳輸以后的流量?jī)?nèi)容提供重要線(xiàn)索。

***，加密流量分析能夠檢查被分析的數(shù)據(jù)流中數(shù)據(jù)包的有效載荷上的字節(jié)分布。由于這一基于網(wǎng)絡(luò)的檢測(cè)流程由機(jī)器學(xué)習(xí)技術(shù)支持，其功效會(huì)隨著時(shí)間的推移而持續(xù)上升。

近日，思科推出了加密流量分析功能（Encrypted Traffic Analytics），并且將來(lái)自全新Catalyst® 9000交換機(jī)和Cisco 4000系列集成多業(yè)務(wù)路由器的增強(qiáng)型NetFlow，與思科Stealthwatch的高級(jí)安全分析能力進(jìn)行組合。

思科企業(yè)網(wǎng)絡(luò)、物聯(lián)網(wǎng)和開(kāi)發(fā)商平臺(tái)市場(chǎng)營(yíng)銷(xiāo)副總裁Prashanth Shenoy表示：“思科憑借***的安全產(chǎn)品組合，持續(xù)為其網(wǎng)絡(luò)設(shè)備構(gòu)建安全特性。思科推出的全面威脅防御架構(gòu)可將網(wǎng)絡(luò)作為傳感器和執(zhí)行平臺(tái)，來(lái)查看并處理所有威脅。”簡(jiǎn)而言之，全球所有通過(guò)思科設(shè)備的流量現(xiàn)在都將向龐大的威脅檢測(cè)系統(tǒng)提供情報(bào)，使該系統(tǒng)能隨時(shí)隨地檢測(cè)并阻止威脅。Shenoy表示：“就如同我們看到有人在爭(zhēng)執(zhí)的時(shí)候，我們可能無(wú)法聽(tīng)到他們?cè)谡f(shuō)什么，但仍可以從他們的手勢(shì)和表情中得知發(fā)生了什么。思科擁有顯著的優(yōu)勢(shì)，為現(xiàn)有的和未來(lái)的客戶(hù)提供加密流量分析。只有采用我們***芯片組的全新硬件才能夠高速實(shí)時(shí)地進(jìn)行分析，同時(shí)不會(huì)導(dǎo)致流量傳輸速度減緩。”

同時(shí)，思科的產(chǎn)品安裝量***于全球其他網(wǎng)絡(luò)廠(chǎng)商，這意味著思科威脅防御系統(tǒng)的學(xué)習(xí)速度也遠(yuǎn)遠(yuǎn)超過(guò)其他廠(chǎng)商的產(chǎn)品。

采用Stealthwatch的思科網(wǎng)絡(luò)不僅可以檢測(cè)加密流量中的惡意軟件，還可提升加密合規(guī)性，包括揭示TLS策略違規(guī)、發(fā)現(xiàn)加密套件漏洞以及持續(xù)監(jiān)控網(wǎng)絡(luò)的不透明性等。

這意味著網(wǎng)絡(luò)將能夠檢測(cè)威脅，從而一舉解決了網(wǎng)絡(luò)加密流量所面臨的主要挑戰(zhàn)。Keanini表示：“借助我們的創(chuàng)新成果，企業(yè)將能更好地使用網(wǎng)絡(luò)來(lái)打造***競(jìng)爭(zhēng)力的安全應(yīng)用。通過(guò)使用機(jī)器學(xué)習(xí)技術(shù)來(lái)分析元數(shù)據(jù)流量模式，思科甚至能夠在加密流量中發(fā)現(xiàn)已知威脅，并有效規(guī)避風(fēng)險(xiǎn)，而無(wú)需解密流量，這一技術(shù)手段是***的。正是因?yàn)槿绱?，思科新一代網(wǎng)絡(luò)將成為唯一一個(gè)既能為企業(yè)帶來(lái)強(qiáng)大安全性又能可靠保護(hù)隱私的系統(tǒng)。”