進(jìn)入DT時(shí)代,,數(shù)據(jù)成為企業(yè)的核心資產(chǎn)和安全防護(hù)的主要目標(biāo),,數(shù)據(jù)的廣泛流動(dòng)是對(duì)數(shù)據(jù)面臨的安全風(fēng)險(xiǎn),,場(chǎng)景呈倍數(shù)增加,為了保障數(shù)據(jù)的安全性,,加密流量傳輸成了主流的方式,。與此同時(shí),加密流量也使得大量網(wǎng)絡(luò)攻擊隱藏其中,,給安全防護(hù)帶來(lái)極大的困擾,。
“ DT時(shí)代,加密是數(shù)據(jù)傳輸?shù)闹匾Wo(hù)手段,,但也成為黑客攻擊的最佳隱藏手段,,是我們必須警惕的‘灰犀牛’?!痹谌涨捌姘残偶瘓F(tuán)舉辦的流量解密編排器新品發(fā)布會(huì)上,,奇安信集團(tuán)董事長(zhǎng)齊向東表示。
此前在2021年北京網(wǎng)絡(luò)安全大會(huì)上,齊向東曾分享了一個(gè)觀點(diǎn):人類(lèi)社會(huì)從IT時(shí)代進(jìn)入了DT時(shí)代?,F(xiàn)在全球數(shù)據(jù)量正在呈爆炸式的增長(zhǎng),,到2035年,全球數(shù)據(jù)總量要超過(guò)2萬(wàn)億PB,,與之同時(shí)大數(shù)據(jù),、5g云計(jì)算、互聯(lián)網(wǎng)新技術(shù)也廣泛應(yīng)用,,打破了傳統(tǒng)的網(wǎng)絡(luò)邊界,,安全暴露面不斷的增加,更加劇了數(shù)據(jù)安全的風(fēng)險(xiǎn),。數(shù)據(jù)顯示,,僅去年一年數(shù)據(jù)泄露的記錄就超過(guò)前15年的總和。所以在DT時(shí)代,,保護(hù)數(shù)據(jù)安全將成為網(wǎng)絡(luò)安全的首要任務(wù),,加密成為數(shù)據(jù)保護(hù)的重要手段。
Google的報(bào)告顯示,,當(dāng)前互聯(lián)網(wǎng)加密流量超過(guò)90%,。據(jù)估計(jì),企業(yè)內(nèi)部80%也都是加密流量,。工信部也在最近公布的《數(shù)據(jù)傳輸安全白皮書(shū)》中明確指出,,傳輸?shù)臄?shù)據(jù)不能明文。所以,,加密傳輸實(shí)際上已經(jīng)成為了傳輸安全最基本的要求,。
但與之對(duì)應(yīng)的是,加密不僅用在防御側(cè),,在攻擊側(cè),,加密流量也已成為黑客最常用的攻擊手段。Gartner統(tǒng)計(jì),,在2020年就有超過(guò)70%的網(wǎng)絡(luò)攻擊使用加密流量,。國(guó)外機(jī)構(gòu)的最新調(diào)研報(bào)告顯示,超過(guò)95%的企業(yè)明確表示遭遇過(guò)加密流量攻擊,。保守估計(jì),,加密流量攻擊造成的全球損失達(dá)到上萬(wàn)億美元。
在此前采訪中,,有安全專(zhuān)家也告訴安全419,,攻擊者為了竊取數(shù)據(jù)、控制目標(biāo)系統(tǒng),,往往采取更加隱蔽的加密通信技術(shù),,通過(guò)對(duì)內(nèi)容進(jìn)行協(xié)議加密,,消除攻擊的明顯特征,使檢測(cè)難度呈指數(shù)上升,。如滲透階段采用TLS加密掃描,,攻擊階段采用RDP、SSH等加密的暴力破解,,再通過(guò)webshell獲取權(quán)限,,最后通過(guò)加密隧道外發(fā)數(shù)據(jù)等都是攻擊者的常用手法。
在齊向東看來(lái),,任何技術(shù)都是雙刃劍,,加密技術(shù)在保護(hù)數(shù)據(jù)的同時(shí)也黑客攻擊的最佳隱藏手段?!皳Q句話(huà)說(shuō)加密技術(shù)保護(hù)了數(shù)據(jù),,同時(shí)也保護(hù)了網(wǎng)絡(luò)攻擊者,對(duì)網(wǎng)絡(luò)保護(hù)措施是我們必須要警惕的‘灰犀?!?。我們經(jīng)常用灰犀牛黑天鵝來(lái)形容巨大的風(fēng)險(xiǎn),但是黑天鵝發(fā)生的概率很小,,不可測(cè)灰犀牛發(fā)生的概率很大,,甚至可以預(yù)測(cè)。加密技術(shù)給網(wǎng)絡(luò)安全帶來(lái)的風(fēng)險(xiǎn)就是灰犀牛,,人們往往會(huì)掉以輕心,,以至于錯(cuò)失最佳的處理時(shí)機(jī),最終醞釀成為嚴(yán)重后果,?!?/p>
因此齊向東認(rèn)為,,在加密流量“灰犀?!泵媲埃饷芎途幣乓呀?jīng)成為DT時(shí)代安全的基石,。沒(méi)有解密和編排,,數(shù)據(jù)保護(hù)就如同空中樓閣,部分安全設(shè)備也就形同虛設(shè),,安全建設(shè),、升級(jí)、運(yùn)維的效果也會(huì)大打折扣,,運(yùn)維成本極大地提升,。為此,奇安信打造出的解密編排方案,,填補(bǔ)了業(yè)內(nèi)解密和智能編排技術(shù)類(lèi)產(chǎn)品的空白,。
齊向東進(jìn)一步指出,,從我國(guó)當(dāng)前網(wǎng)絡(luò)安全建設(shè)的情況來(lái)看,現(xiàn)有的解密和部署方案大多采用的是負(fù)載均衡和SSL加解密的技術(shù)路徑,,主要存在三大不足:
//第一,,盲點(diǎn)多。實(shí)驗(yàn)數(shù)據(jù)表明,,同樣的處理器計(jì)算資源的情況下,,SSL加密、解密的過(guò)程會(huì)嚴(yán)重消耗CPU的計(jì)算性能,。如果明文新建能夠達(dá)到100萬(wàn),,SSL加解密新建能力僅為1萬(wàn),它的處理能力相差100倍,。
“這就導(dǎo)致很多加密流量來(lái)不及解密,、審查就通過(guò),就好比安檢的通道少,,但客流量大,,為了紓解壓力,很多旅客沒(méi)有經(jīng)過(guò)安檢就通過(guò)了,,其中的危險(xiǎn)是可想而知的,。再比如,現(xiàn)在正值假期,,高速車(chē)流量也會(huì)很大,,收費(fèi)站附近通常是堵車(chē)的高發(fā)路段,因此在節(jié)假日只要免費(fèi)通行就能極大的緩解堵塞,。目前,,主要流量威脅監(jiān)測(cè)設(shè)備都基于旁路監(jiān)聽(tīng),無(wú)法對(duì)當(dāng)前絕大部分加密流量進(jìn)行旁路解密,,導(dǎo)致流量盲點(diǎn)普遍存在,,增加了安全隱患?!饼R向東談到,。
針對(duì)安全設(shè)備占用業(yè)務(wù)性能這一行業(yè)普遍的痛點(diǎn),奇安信的做法是從“芯”開(kāi)始,,聯(lián)合芯片解決方案廠商英特爾,,將英特爾的QAT加速技術(shù)嵌入到CPU當(dāng)中,能夠提供高達(dá)100Gb/s的加解密性能,,通過(guò)搭載硬件加速卡并通過(guò)自研的異步調(diào)用技術(shù),,真正實(shí)現(xiàn)了軟硬合一,理論上可以將解密的性能大幅提升,,解決了過(guò)去流量解密大量消耗CPU計(jì)算性能的問(wèn)題,。
//第二,,效率低。目前業(yè)內(nèi)主流的安全設(shè)備沒(méi)有辦法根據(jù)流量業(yè)務(wù)的類(lèi)型進(jìn)行靈活的分配,,只有讓安全設(shè)備承擔(dān)所有流量,,執(zhí)行所有加解密的過(guò)程。比如當(dāng)一個(gè)設(shè)備對(duì)SSL流量進(jìn)行解密以后,,下個(gè)設(shè)備接收的依舊不是明文流量,,還要繼續(xù)解密。這就為每個(gè)設(shè)備為了單一的安全工作需要把解密工作重復(fù)再做一遍,,導(dǎo)致業(yè)務(wù)員延時(shí)高,,這成為部署解密流量設(shè)備最大的壓力。
在這一點(diǎn)上,,奇安信的做法是將不同類(lèi)型的流量進(jìn)行分類(lèi)引流,,就是將明文的數(shù)據(jù)分發(fā)至服務(wù)鏈上各種安全設(shè)備上,從而實(shí)現(xiàn)一臺(tái)設(shè)備成功解密,,多臺(tái)設(shè)備成果共享,,極大地降低了負(fù)載和資源的消耗,大幅度地提升了解密的效率,。
//第三,,成本高。業(yè)內(nèi)傳統(tǒng)的部署方式往往都是安裝設(shè)備一次串接,,最終形成“糖葫蘆串”的安全架構(gòu),,任何設(shè)備發(fā)生故障都會(huì)引起全網(wǎng)的故障,損失是難以承受的,。同時(shí),,又因?yàn)榘踩O(shè)備擴(kuò)展性差,當(dāng)新增軟件新增設(shè)備進(jìn)行擴(kuò)容時(shí)都要做整體調(diào)整,,升級(jí)維護(hù)成本也大,。在這個(gè)過(guò)程當(dāng)中,極容易出現(xiàn)斷網(wǎng)的情況,,又增加業(yè)務(wù)中斷的成本,。
在成本層面,,奇安信這一解密編排方案重構(gòu)了安全設(shè)備的系統(tǒng)部署架構(gòu),,通過(guò)網(wǎng)元組負(fù)載分擔(dān)、健康監(jiān)測(cè),、流量編排等技術(shù)手段,,實(shí)現(xiàn)安全設(shè)備資源池化,就是讓我們整個(gè)安全設(shè)備部署架構(gòu)更加具有彈性,,具備動(dòng)態(tài)擴(kuò)容的能力,,安全資源池也能容納多個(gè)廠商的安全設(shè)備,,來(lái)支持多樣化的專(zhuān)業(yè)安全組件,從而實(shí)現(xiàn)安全能力的快速擴(kuò)展,。
齊向東最后表示,,DT時(shí)代的企業(yè)安全建設(shè)工作中,如何讓安全設(shè)備具備解密能力,,看清加密流量?jī)?nèi)容中的威脅信息,,已經(jīng)成為至關(guān)重要的一環(huán)。流量解密編排器是在大的歷史環(huán)境下,,響應(yīng)DT時(shí)代的需求必然會(huì)出現(xiàn)的一種技術(shù)創(chuàng)新的成果或產(chǎn)品,,流量解密編排器也是從邊界開(kāi)始構(gòu)建縱深防御體系,看見(jiàn)威脅的最重要的一步,。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<