信息來(lái)源：51cto

惡意行為者越來(lái)越多地使用加密流量來(lái)掩蓋網(wǎng)絡(luò)威脅。Gartner指出，2019年進(jìn)行的網(wǎng)絡(luò)攻擊中有60%利用加密，而到2020年，這一數(shù)字將上升到70%。了解安全解決方案如何識(shí)別或阻止SSL流量中的威脅非常重要，因?yàn)樵S多工具無(wú)法做到這一點(diǎn)。我們總結(jié)了安全解決方案如何與加密的網(wǎng)絡(luò)流量一起使用。

加密網(wǎng)絡(luò)流量的挑戰(zhàn)

加密保護(hù)運(yùn)動(dòng)中的敏感數(shù)據(jù)的機(jī)密性和隱私性。但是，加密也對(duì)網(wǎng)絡(luò)安全產(chǎn)品構(gòu)成了挑戰(zhàn)。如果這些產(chǎn)品無(wú)法檢查連接的有效負(fù)載，則它們將失去檢測(cè)和響應(yīng)威脅的能力。

加密數(shù)據(jù)的興起

Internet上加密的使用已急劇增加。例如，《 Google透明度報(bào)告》顯示，互聯(lián)網(wǎng)上加密的網(wǎng)絡(luò)流量的比例一直在穩(wěn)定增長(zhǎng)，從五年前的大約50%增長(zhǎng)到如今的80%至90%。

盡管“內(nèi)部”(組織的網(wǎng)絡(luò)和數(shù)據(jù)中心內(nèi))的加密流量百分比較低，但是諸如零信任網(wǎng)絡(luò)體系結(jié)構(gòu)之類(lèi)的計(jì)劃可能會(huì)增加采用加密來(lái)保護(hù)內(nèi)部數(shù)據(jù)安全的組織數(shù)量。因此，重要的是要了解在存在無(wú)處不在的加密流量的情況下，網(wǎng)絡(luò)安全產(chǎn)品如何能夠提供可見(jiàn)性和保護(hù)。

對(duì)流量進(jìn)行加密可防止網(wǎng)絡(luò)安全產(chǎn)品檢查有效負(fù)載。這意味著他們既無(wú)法利用簽名來(lái)檢測(cè)已知威脅，也無(wú)法提取對(duì)象(例如文件或文檔)，然后再將其提交到沙箱進(jìn)行更深入的分析。盡管這會(huì)影響基于網(wǎng)絡(luò)的產(chǎn)品的有效性，但這并不意味著網(wǎng)絡(luò)安全性已過(guò)時(shí)。用戶(hù)仍然需要只有網(wǎng)絡(luò)才能提供的完整覆蓋范圍，上下文和確定性。但是，用戶(hù)需要適當(dāng)?shù)慕鉀Q方案來(lái)獲取這些資源。

克服挑戰(zhàn)：最后防線(xiàn)

我們是一個(gè)網(wǎng)絡(luò)檢測(cè)和響應(yīng)平臺(tái)，可以檢測(cè)并包含復(fù)雜的威脅。它通過(guò)將無(wú)監(jiān)督機(jī)器學(xué)習(xí)(ML)應(yīng)用于網(wǎng)絡(luò)流量以檢測(cè)異常，使用監(jiān)督的ML創(chuàng)建惡意網(wǎng)絡(luò)活動(dòng)的分類(lèi)器，并利用其全球威脅情報(bào)網(wǎng)絡(luò)掃描流量中的已知惡意軟件有效載荷，來(lái)做到這一點(diǎn)。

使用兩種方法來(lái)成功處理加密通信：解密網(wǎng)絡(luò)流量和分析加密流量。

分析加密流量

即使Sensor無(wú)法訪(fǎng)問(wèn)解密的流量和有效負(fù)載，我們?nèi)钥商峁┯行У姆雷o(hù)以防止惡意活動(dòng)。為此，我們的解決方案檢查并使用流量(連接)元數(shù)據(jù)，并利用以下三種檢測(cè)技術(shù)：異常檢測(cè)，威脅情報(bào)以及威脅和加密流量分析指標(biāo)。

解密網(wǎng)絡(luò)流量

組織有許多原因來(lái)檢查網(wǎng)絡(luò)流量?jī)?nèi)容，從合規(guī)性到策略實(shí)施和安全性。例如，組織可以監(jiān)視傳出的數(shù)據(jù)以檢測(cè)敏感信息的存在，確保員工僅從其工作計(jì)算機(jī)訪(fǎng)問(wèn)可接受的網(wǎng)站，并了解受損主機(jī)是否連接到命令與控制(C&C)站點(diǎn)。為了實(shí)現(xiàn)這些目標(biāo)，許多組織已部署了檢測(cè)點(diǎn)，這些檢測(cè)點(diǎn)破壞了打開(kāi)的加密連接并允許安全產(chǎn)品分析有效負(fù)載。我們支持這些檢測(cè)點(diǎn)，包括Web代理，TLS終止代理，郵件傳輸代理和活動(dòng)TLS攔截。