思科ETA、讓躲藏在加密流量中的威脅無(wú)處隱身！

　　伴隨著(zhù)逐漸實(shí)現數字化轉型的腳步，企業(yè)為了保護數據和應用服務(wù)的安全，開(kāi)始大量采用加密技術(shù)。例如，使用 HTTPS 服務(wù)代替傳統的 HTTP。

　　數據顯示：到 2016 年，超過(guò) 40％ 的網(wǎng)站流量實(shí)現了加密，同比 2015 年增長(cháng) 90％ 以上。Gartner 預測，到 2019 年，80％ 的 Web 流量將實(shí)現加密！

　　眾所周知，網(wǎng)絡(luò )可見(jiàn)性是實(shí)現網(wǎng)絡(luò )安全和業(yè)務(wù)保障的基礎。但現在，隨著(zhù)加密技術(shù)的使用，可見(jiàn)性變得越來(lái)越難于實(shí)現。企業(yè)在依賴(lài)這一技術(shù)獲得隱私性與安全性的同時(shí)，不法分子也有了可乘之機！

　　加密是把雙刃劍！黑客們同樣可以利用加密技術(shù)將其推送的惡意軟件、欲傳達的有害命令都藏匿于加密流量當中，規避檢測，確保惡意活動(dòng)能夠正常實(shí)施。

　　這就需要 IT 部門(mén)去評估數字業(yè)務(wù)是否通過(guò)加密保護、何種強度的保護；同時(shí)也需要評估流量是否存在惡意。目前來(lái)看，針對加密流量進(jìn)行檢測的解決方案主要是利用中間人的技術(shù)對流量解密，分析其中的行為和內容，再次加密發(fā)送。但這樣的解決方案存在以下局限：

　　加密技術(shù)旨在解決數據的隱私性，利用中間人解密則破壞了了這個(gè)初衷，同時(shí)在通道完整性等方面也存在風(fēng)險；

　　如果加密流量持續增加，解密會(huì )消耗大量資源，同時(shí)也會(huì )造成現有網(wǎng)絡(luò )性能的下降。

　　說(shuō)起如何識別加密網(wǎng)絡(luò )流量中的威脅，還得先請出今天的主講 “思享家”——思科大中華區網(wǎng)絡(luò )安全業(yè)務(wù)技術(shù)總監徐洪濤。

　　大家好，在 “思享家” 本期微話(huà)題 “思科全數字化網(wǎng)絡(luò )架構（DNA）——自我學(xué)習、自我調整、自我保護的全智慧的網(wǎng)絡(luò )” 中，我將與大家一同探討思科推出的 ETA 技術(shù)（Encrypted Traffic Analytics，加密流量分析功能），大家在學(xué)習過(guò)程中遇到的問(wèn)題或思考，可以直接在文章底部留言區留言，我都會(huì )一一作出答復。

　　思科一直致力于加密網(wǎng)絡(luò )流量中威脅識別的研究，安全研究人員研究了數百萬(wàn)不同流量上惡意流量和良性流量使用 TLS、DNS 和 HTTP 方面的差異，提煉出惡意軟件最明顯的一系列流量特性，并最終形成了思科針對惡意軟件流量傳輸模型的 Security Map。

　　在 DNA 的設計當中，思科推出加密流量分析功能，通過(guò)收集來(lái)自全新 Catalyst? 9000 交換機和 Cisco 4000 系列集成多業(yè)務(wù)路由器的增強型  NetFlow 信息，再與思科 Stealthwatch 的高級安全分析能力進(jìn)行組合，ETA 能夠幫助 IT 人員在無(wú)需解密的情況下找出加密流量中的惡意威脅。

　　ETA 技術(shù)充分利用了網(wǎng)絡(luò )基礎架構（網(wǎng)絡(luò )交換機）的能力，結合機器學(xué)習，在加密數據中提取多個(gè)特征，關(guān)聯(lián)思科安全大數據中的 Security Map，尋找惡意軟件的痕跡。提取內容包括：