發現藏匿在加密流量中的威脅

加密是保護隐私的一個重要手段，能夠保護我們的資料不被窺探，能夠阻止犯罪分子竊取我們的信用卡資訊、應用的使用習慣或密碼。

加密的重要性不言而喻，據最新報告顯示，截止今年2月，半數的線上流量均被加密。對于特定類型的流量，加密甚至已成為法律的強制性要求。

Gartner認為，到2019年，超過80%的企業網絡流量将被加密。雖然這對于重視隐私的使用者來說是一個福音，但IT團隊将面臨着嚴峻挑戰。面對大量湧入的流量，如果沒有解密技術，IT團隊将無法檢視流量内包含的資訊。

這意味着加密是一把雙刃劍，保護隐私的同時也讓不法分子有了可乘之機。加密能夠像隐藏其他資訊一樣隐藏惡意軟體，進而帶來一系列蠕蟲（以及木馬和病毒）。

思科首席工程師TK Keanini表示：“據Gartner預測，到2019年，半數的惡意軟體活動将利用某種類型的加密來隐藏傳遞、指令、控制活動以及資料洩露。”思科今日宣布推出的一款新産品正好可以用來應對這一威脅。

惡意軟體制造者對于加密非常了解，并且懂得如何利用這一技術。Gartner認為：“随着HTTPS的使用量超過HTTP，通過加密網絡通道傳遞的惡意軟體将變得越來越多。”

《賽馬郵報》的安全經理Alan Cain評論道：“Facebook、Twitter和LinkedIn等網站都在使用SSL，這些網站在過去都曾遭受過‘綁架贊（Likejacking）’、惡意軟體傳播、資料洩露和垃圾郵件等威脅的侵害。80%的安全系統不能識别或防範SSL流量中的威脅，這使得加密的惡意軟體成為目前業界最大的威脅。”

是以，Gartner認為，到2020年，超過60%的企業将無法有效解密HTTPS流量，進而“無法有效檢測出具有針對性的網絡惡意軟體。”

Gartner認為，屆時加密的流量中将隐藏超過70%的網絡惡意軟體，而對抗這些威脅的手段将會受制于反解密系統，即便是最大的IT團隊也無法忽視這一問題。

直到現在，處理此問題的常見方法是解密流量，并使用諸如新一代防火牆等裝置檢視流量。這種方法耗時較長，且需要在網絡中添加額外的裝置。随着威脅環境不斷變化，将安全功能內建到網絡中将有助于檢測所有威脅，甚至是藏匿在加密流量中的威脅。

那麼我們應該如何抵禦看不見的威脅呢？思科的專家找到了相關線索。

使用加密流量分析進行威脅檢測

盡管您無法檢視加密流量，但思科技術負責人Blake Anderson和思科進階安全研究事業部院士（Fellow）David McGrew發現了一種特殊的方法，可以獲知内部隐藏内容的線索。

Anderson和McGrew在去年十月發表的一篇名為《利用環境流量資料識别加密惡意軟體流量》的文章中寫道：“識别加密網絡流量中的威脅，為我們帶來了一系列網絡安全挑戰。”監控這一流量對于發現威脅和識别惡意軟體來說非常重要，他們表示：“我們需要一種能夠保持加密完整性的方式，來幫助我們實作這一目标。” 他們開發了監督機器學習模型，能夠充分利用網絡流資料獨特且多樣化的特性。他們介紹道：“這些資料特性包括TLS握手中繼資料、連結到加密流的DNS環境流，以及五分鐘内來自同一源IP位址的HTTP-環境流的HTTP标頭。”

研究人員研究了數百萬不同流量上惡意流量和良性流量在使用TLS、DNS和HTTP方面的差異，提煉出了惡意軟體最明顯的一系列特性。

這一過程經過了真實資料的測試，以確定不會産生誤報。最終思科推出了加密流量分析（ETA）技術，能夠在加密資料的三個特征中尋找惡意軟體的痕迹。

首先是聯接的初始資料包。這一資料包可能包含有關其餘内容的寶貴資料。然後是資料包長度和時間的順序，可以針對自加密流量開始傳輸以後的流量内容提供重要線索。

最後，加密流量分析能夠檢查被分析的資料流中資料包的有效載荷上的位元組分布。由于這一基于網絡的檢測流程由機器學習技術支援，其功效會随着時間的推移而持續上升。

近日，思科推出了加密流量分析功能（Encrypted Traffic Analytics），并且将來自全新Catalyst® 9000交換機和Cisco 4000系列內建多業務路由器的增強型NetFlow，與思科Stealthwatch的進階安全分析能力進行組合。

思科企業網絡、物聯網和開發商平台市場營銷副總裁Prashanth Shenoy表示：“思科憑借一流的安全産品組合，持續為其網絡裝置建構安全特性。思科推出的全面威脅防禦架構可将網絡作為傳感器和執行平台，來檢視并處理所有威脅。”簡而言之，全球所有通過思科裝置的流量現在都将向龐大的威脅檢測系統提供情報，使該系統能随時随地檢測并阻止威脅。Shenoy表示：“就如同我們看到有人在争執的時候，我們可能無法聽到他們在說什麼，但仍可以從他們的手勢和表情中得知發生了什麼。思科擁有顯著的優勢，為現有的和未來的客戶提供加密流量分析。隻有采用我們最新晶片組的全新硬體才能夠高速實時地進行分析，同時不會導緻流量傳輸速度減緩。”

同時，思科的産品安裝量遙遙領先于全球其他網絡廠商，這意味着思科威脅防禦系統的學習速度也遠遠超過其他廠商的産品。

采用Stealthwatch的思科網絡不僅可以檢測加密流量中的惡意軟體，還可提升加密合規性，包括揭示TLS政策違規、發現加密套件漏洞以及持續監控網絡的不透明性等。

這意味着網絡将能夠檢測威脅，進而一舉解決了網絡加密流量所面臨的主要挑戰。Keanini表示：“借助我們的創新成果，企業将能更好地使用網絡來打造極具競争力的安全應用。通過使用機器學習技術來分析中繼資料流量模式，思科甚至能夠在加密流量中發現已知威脅，并有效規避風險，而無需解密流量，這一技術手段是前所未有的。正是因為如此，思科新一代網絡将成為唯一一個既能為企業帶來強大安全性又能可靠保護隐私的系統。”

原文釋出時間為：2017年6月26日

本文來自雲栖社群合作夥伴至頂網，了解相關資訊可以關注至頂網。