思科ETA、讓躲藏在加密流量中的威脅無處隱身！

　　伴隨著逐漸實現(xiàn)數(shù)字化轉(zhuǎn)型的腳步，企業(yè)為了保護數(shù)據(jù)和應(yīng)用服務(wù)的安全，開始大量采用加密技術(shù)。例如，使用 HTTPS 服務(wù)代替?zhèn)鹘y(tǒng)的 HTTP。

　　數(shù)據(jù)顯示：到 2016 年，超過 40％ 的網(wǎng)站流量實現(xiàn)了加密，同比 2015 年增長 90％ 以上。Gartner 預(yù)測，到 2019 年，80％ 的 Web 流量將實現(xiàn)加密！

　　眾所周知，網(wǎng)絡(luò)可見性是實現(xiàn)網(wǎng)絡(luò)安全和業(yè)務(wù)保障的基礎(chǔ)。但現(xiàn)在，隨著加密技術(shù)的使用，可見性變得越來越難于實現(xiàn)。企業(yè)在依賴這一技術(shù)獲得隱私性與安全性的同時，不法分子也有了可乘之機！

　　加密是把雙刃劍！黑客們同樣可以利用加密技術(shù)將其推送的惡意軟件、欲傳達的有害命令都藏匿于加密流量當(dāng)中，規(guī)避檢測，確保惡意活動能夠正常實施。

　　這就需要 IT 部門去評估數(shù)字業(yè)務(wù)是否通過加密保護、何種強度的保護；同時也需要評估流量是否存在惡意。目前來看，針對加密流量進行檢測的解決方案主要是利用中間人的技術(shù)對流量解密，分析其中的行為和內(nèi)容，再次加密發(fā)送。但這樣的解決方案存在以下局限：

　　加密技術(shù)旨在解決數(shù)據(jù)的隱私性，利用中間人解密則破壞了了這個初衷，同時在通道完整性等方面也存在風(fēng)險；

　　如果加密流量持續(xù)增加，解密會消耗大量資源，同時也會造成現(xiàn)有網(wǎng)絡(luò)性能的下降。

　　說起如何識別加密網(wǎng)絡(luò)流量中的威脅，還得先請出今天的主講 “思享家”——思科大中華區(qū)網(wǎng)絡(luò)安全業(yè)務(wù)技術(shù)總監(jiān)徐洪濤。

　　大家好，在 “思享家” 本期微話題 “思科全數(shù)字化網(wǎng)絡(luò)架構(gòu)（DNA）——自我學(xué)習(xí)、自我調(diào)整、自我保護的全智慧的網(wǎng)絡(luò)” 中，我將與大家一同探討思科推出的 ETA 技術(shù)（Encrypted Traffic Analytics，加密流量分析功能），大家在學(xué)習(xí)過程中遇到的問題或思考，可以直接在文章底部留言區(qū)留言，我都會一一作出答復(fù)。

　　思科一直致力于加密網(wǎng)絡(luò)流量中威脅識別的研究，安全研究人員研究了數(shù)百萬不同流量上惡意流量和良性流量使用 TLS、DNS 和 HTTP 方面的差異，提煉出惡意軟件最明顯的一系列流量特性，并最終形成了思科針對惡意軟件流量傳輸模型的 Security Map。

　　在 DNA 的設(shè)計當(dāng)中，思科推出加密流量分析功能，通過收集來自全新 Catalyst? 9000 交換機和 Cisco 4000 系列集成多業(yè)務(wù)路由器的增強型  NetFlow 信息，再與思科 Stealthwatch 的高級安全分析能力進行組合，ETA 能夠幫助 IT 人員在無需解密的情況下找出加密流量中的惡意威脅。

　　ETA 技術(shù)充分利用了網(wǎng)絡(luò)基礎(chǔ)架構(gòu)（網(wǎng)絡(luò)交換機）的能力，結(jié)合機器學(xué)習(xí)，在加密數(shù)據(jù)中提取多個特征，關(guān)聯(lián)思科安全大數(shù)據(jù)中的 Security Map，尋找惡意軟件的痕跡。提取內(nèi)容包括：