安全政策 让连接更安全

发现藏匿在加密流量中的威胁

  作者:Jason Deign

  “用于保护在线数据的加密技术给恶意软件提供了藏身之地。如何检测出加密流量中的威胁一直是行业面临的一个难题……现在,这一难题终于被攻克了。”

  加密是保护隐私的一个重要手段,能够保护我们的数据不被窥探,能够阻止犯罪分子窃取我们的信用卡信息、应用的使用习惯或密码。

  加密的重要性不言而喻,据最新报告显示,截止今年 2 月,半数的在线流量均被加密。对于特定类型的流量,加密甚至已成为法律的强制性要求。

  Gartner 认为,到 2019 年,超过 80% 的企业网络流量将被加密。虽然这对于重视隐私的用户来说是一个福音,但 IT 团队将面临着严峻挑战。面对大量涌入的流量,如果没有解密技术,IT 团队将无法查看流量内包含的信息。

  这意味着加密是一把双刃剑,保护隐私的同时也让不法分子有了可乘之机。加密能够像隐藏其他信息一样隐藏恶意软件,从而带来一系列蠕虫(以及木马和病毒)。

  思科首席工程师 TK Keanini 表示:

  据 Gartner 预测,到 2019 年,半数的恶意软件活动将利用某种类型的加密来隐藏交付、命令、控制活动以及数据泄露。

  思科近日宣布推出的一款新产品正好可以用来应对这一威胁。

  恶意软件制造者对于加密非常了解,并且懂得如何利用这一技术。Gartner 认为:“随着 HTTPS 的使用量超过 HTTP,通过加密网络通道传递的恶意软件将变得越来越多。”

  《赛马邮报》的安全经理 Alan Cain 评论道:

  Facebook、Twitter 和 LinkedIn 等网站都在使用 SSL,这些网站在过去都曾遭受过 ‘绑架赞(Likejacking)’、恶意软件传播、数据泄露和垃圾邮件等威胁的侵害。80% 的安全系统不能识别或防范 SSL 流量中的威胁,这使得加密的恶意软件成为当前业界最大的威胁。

  因此,Gartner 认为,到 2020 年,超过 60% 的企业将无法有效解密 HTTPS 流量,从而 “无法有效检测出具有针对性的网络恶意软件。”

  Gartner 认为,届时加密的流量中将隐藏超过 70% 的网络恶意软件,而对抗这些威胁的手段将会受制于反解密系统,即便是最大的 IT 团队也无法忽视这一问题。

  直到现在,处理此问题的常见方法是解密流量,并使用诸如新一代防火墙等设备查看流量。这种方法耗时较长,且需要在网络中添加额外的设备。随着威胁环境不断变化,将安全功能集成到网络中将有助于检测所有威胁,甚至是藏匿在加密流量中的威胁。

  那么我们应该如何抵御看不见的威胁呢?思科的专家找到了相关线索。

  使用加密流量分析进行威胁检测

  尽管您无法查看加密流量,但思科技术负责人 Blake Anderson 和思科高级安全研究事业部院士(Fellow)David McGrew 发现了一种特殊的方法,可以获知内部隐藏内容的线索。

  Anderson 和 McGrew 在去年十月发表的一篇名为《利用环境流量数据识别加密恶意软件流量》的文章中写道:“识别加密网络流量中的威胁,为我们带来了一系列网络安全挑战。”监控这一流量对于发现威胁和识别恶意软件来说非常重要,他们表示:“我们需要一种能够保持加密完整性的方式,来帮助我们实现这一目标。” 他们开发了监督机器学习模型,能够充分利用网络流数据独特且多样化的特性。他们介绍道:“这些数据特性包括 TLS 握手元数据、链接到加密流的 DNS 环境流,以及五分钟内来自同一源 IP 地址的 HTTP- 环境流的 HTTP 标头。”

  研究人员研究了数百万不同流量上恶意流量和良性流量在使用 TLS、DNS 和 HTTP 方面的差异,提炼出了恶意软件最明显的一系列特性。

  这一过程经过了真实数据的测试,以确保不会产生误报。最终思科推出了加密流量分析(ETA)技术,能够在加密数据的三个特征中寻找恶意软件的痕迹。

  首先是联接的初始数据包。这一数据包可能包含有关其余内容的宝贵数据。

  然后是数据包长度和时间的顺序,可以针对自加密流量开始传输以后的流量内容提供重要线索。

  最后,加密流量分析能够检查被分析的数据流中数据包的有效载荷上的字节分布。由于这一基于网络的检测流程由机器学习技术支持,其功效会随着时间的推移而持续上升。

  近日,思科推出了加密流量分析功能(Encrypted Traffic Analytics),并且将来自全新Catalyst® 9000 交换机和 Cisco 4000 系列集成多业务路由器的增强型 NetFlow,与思科 Stealthwatch 的高级安全分析能力进行组合。

  思科企业网络、物联网和开发商平台市场营销副总裁 Prashanth Shenoy 表示:

  思科凭借一流的安全产品组合,持续为其网络设备构建安全特性。思科推出的全面威胁防御架构可将网络作为传感器和执行平台,来查看并处理所有威胁。

  简而言之,全球所有通过思科设备的流量现在都将向庞大的威胁检测系统提供情报,使该系统能随时随地检测并阻止威胁。

  Shenoy 表示:

  就如同我们看到有人在争执的时候,我们可能无法听到他们在说什么,但仍可以从他们的手势和表情中得知发生了什么。思科拥有显著的优势,为现有的和未来的客户提供加密流量分析。只有采用我们最新芯片组的全新硬件才能够高速实时地进行分析,同时不会导致流量传输速度减缓。

  同时,思科的产品安装量遥遥领先于全球其他网络厂商,这意味着思科威胁防御系统的学习速度也远远超过其他厂商的产品。

  采用 Stealthwatch 的思科网络不仅可以检测加密流量中的恶意软件,还可提升加密合规性,包括揭示 TLS 策略违规、发现加密套件漏洞以及持续监控网络的不透明性等。

  这意味着网络将能够检测威胁,从而一举解决了网络加密流量所面临的主要挑战。Keanini表示:

  借助我们的创新成果,企业将能更好地使用网络来打造极具竞争力的安全应用。通过使用机器学习技术来分析元数据流量模式,思科甚至能够在加密流量中发现已知威胁,并有效规避风险,而无需解密流量,这一技术手段是前所未有的。正是因为如此,思科新一代网络将成为唯一一个既能为企业带来强大安全性又能可靠保护隐私的系统。