發現藏匿在加密流量中的威脅
2017年6月20日
加密是保護隱私的一個重要手段,能夠保護我們的數據不被窺探,能夠阻止犯罪分子竊取我們的信用卡信息、應用的使用習慣或密碼。
加密的重要性不言而喻,據***報告顯示,截止今年2月,半數的在線流量均被加密。對于特定類型的流量,加密甚至已成為法律的強制性要求。
Gartner認為,到2019年,超過80%的企業網絡流量將被加密。雖然這對于重視隱私的用戶來說是一個福音,但IT團隊將面臨著嚴峻挑戰。面對大量涌入的流量,如果沒有解密技術,IT團隊將無法查看流量內包含的信息。
這意味著加密是一把雙刃劍,保護隱私的同時也讓不法分子有了可乘之機。加密能夠像隱藏其他信息一樣隱藏惡意軟件,從而帶來一系列蠕蟲(以及木馬和病毒)。
思科***工程師TK Keanini表示:“據Gartner預測,到2019年,半數的惡意軟件活動將利用某種類型的加密來隱藏交付、命令、控制活動以及數據泄露。”思科今日宣布推出的一款新產品正好可以用來應對這一威脅。
惡意軟件制造者對于加密非常了解,并且懂得如何利用這一技術。Gartner認為:“隨著HTTPS的使用量超過HTTP,通過加密網絡通道傳遞的惡意軟件將變得越來越多。”
《賽馬郵報》的安全經理Alan Cain評論道:“Facebook、Twitter和LinkedIn等網站都在使用SSL,這些網站在過去都曾遭受過‘綁架贊(Likejacking)’、惡意軟件傳播、數據泄露和垃圾郵件等威脅的侵害。80%的安全系統不能識別或防范SSL流量中的威脅,這使得加密的惡意軟件成為當前業界***的威脅。”
因此,Gartner認為,到2020年,超過60%的企業將無法有效解密HTTPS流量,從而“無法有效檢測出具有針對性的網絡惡意軟件。”
Gartner認為,屆時加密的流量中將隱藏超過70%的網絡惡意軟件,而對抗這些威脅的手段將會受制于反解密系統,即便是***的IT團隊也無法忽視這一問題。
直到現在,處理此問題的常見方法是解密流量,并使用諸如新一代防火墻等設備查看流量。這種方法耗時較長,且需要在網絡中添加額外的設備。隨著威脅環境不斷變化,將安全功能集成到網絡中將有助于檢測所有威脅,甚至是藏匿在加密流量中的威脅。
那么我們應該如何抵御看不見的威脅呢?思科的專家找到了相關線索。
使用加密流量分析進行威脅檢測
盡管您無法查看加密流量,但思科技術負責人Blake Anderson和思科高級安全研究事業部院士(Fellow)David McGrew發現了一種特殊的方法,可以獲知內部隱藏內容的線索。
Anderson和McGrew在去年十月發表的一篇名為《利用環境流量數據識別加密惡意軟件流量》的文章中寫道:“識別加密網絡流量中的威脅,為我們帶來了一系列網絡安全挑戰。”監控這***量對于發現威脅和識別惡意軟件來說非常重要,他們表示:“我們需要一種能夠保持加密完整性的方式,來幫助我們實現這一目標。” 他們開發了監督機器學習模型,能夠充分利用網絡流數據獨特且多樣化的特性。他們介紹道:“這些數據特性包括TLS握手元數據、鏈接到加密流的DNS環境流,以及五分鐘內來自同一源IP地址的HTTP-環境流的HTTP標頭。”
研究人員研究了數百萬不同流量上惡意流量和良性流量在使用TLS、DNS和HTTP方面的差異,提煉出了惡意軟件最明顯的一系列特性。
這一過程經過了真實數據的測試,以確保不會產生誤報。最終思科推出了加密流量分析(ETA)技術,能夠在加密數據的三個特征中尋找惡意軟件的痕跡。
首先是聯接的初始數據包。這一數據包可能包含有關其余內容的寶貴數據。然后是數據包長度和時間的順序,可以針對自加密流量開始傳輸以后的流量內容提供重要線索。
***,加密流量分析能夠檢查被分析的數據流中數據包的有效載荷上的字節分布。由于這一基于網絡的檢測流程由機器學習技術支持,其功效會隨著時間的推移而持續上升。
近日,思科推出了加密流量分析功能(Encrypted Traffic Analytics),并且將來自全新Catalyst® 9000交換機和Cisco 4000系列集成多業務路由器的增強型NetFlow,與思科Stealthwatch的高級安全分析能力進行組合。
思科企業網絡、物聯網和開發商平臺市場營銷副總裁Prashanth Shenoy表示:“思科憑借***的安全產品組合,持續為其網絡設備構建安全特性。思科推出的全面威脅防御架構可將網絡作為傳感器和執行平臺,來查看并處理所有威脅。”簡而言之,全球所有通過思科設備的流量現在都將向龐大的威脅檢測系統提供情報,使該系統能隨時隨地檢測并阻止威脅。Shenoy表示:“就如同我們看到有人在爭執的時候,我們可能無法聽到他們在說什么,但仍可以從他們的手勢和表情中得知發生了什么。思科擁有顯著的優勢,為現有的和未來的客戶提供加密流量分析。只有采用我們***芯片組的全新硬件才能夠高速實時地進行分析,同時不會導致流量傳輸速度減緩。”
同時,思科的產品安裝量***于全球其他網絡廠商,這意味著思科威脅防御系統的學習速度也遠遠超過其他廠商的產品。
采用Stealthwatch的思科網絡不僅可以檢測加密流量中的惡意軟件,還可提升加密合規性,包括揭示TLS策略違規、發現加密套件漏洞以及持續監控網絡的不透明性等。
這意味著網絡將能夠檢測威脅,從而一舉解決了網絡加密流量所面臨的主要挑戰。Keanini表示:“借助我們的創新成果,企業將能更好地使用網絡來打造***競爭力的安全應用。通過使用機器學習技術來分析元數據流量模式,思科甚至能夠在加密流量中發現已知威脅,并有效規避風險,而無需解密流量,這一技術手段是***的。正是因為如此,思科新一代網絡將成為唯一一個既能為企業帶來強大安全性又能可靠保護隱私的系統。”
