信息來源:51cto
惡意行為者越來越多地使用加密流量來掩蓋網絡威脅。Gartner指出�,2019年進行的網絡攻擊中有60%利用加密,而到2020年�,這一數字將上升到70%。了解安全解決方案如何識別或阻止SSL流量中的威脅非常重要�,因為許多工具無法做到這一點。我們總結了安全解決方案如何與加密的網絡流量一起使用����。
加密網絡流量的挑戰(zhàn)
加密保護運動中的敏感數據的機密性和隱私性。但是����,加密也對網絡安全產品構成了挑戰(zhàn)。如果這些產品無法檢查連接的有效負載�����,則它們將失去檢測和響應威脅的能力。
加密數據的興起
Internet上加密的使用已急劇增加�����。例如��,《 Google透明度報告》顯示�����,互聯網上加密的網絡流量的比例一直在穩(wěn)定增長�,從五年前的大約50%增長到如今的80%至90%。
盡管“內部”(組織的網絡和數據中心內)的加密流量百分比較低��,但是諸如零信任網絡體系結構之類的計劃可能會增加采用加密來保護內部數據安全的組織數量����。因此,重要的是要了解在存在無處不在的加密流量的情況下�,網絡安全產品如何能夠提供可見性和保護。
對流量進行加密可防止網絡安全產品檢查有效負載�。這意味著他們既無法利用簽名來檢測已知威脅,也無法提取對象(例如文件或文檔)���,然后再將其提交到沙箱進行更深入的分析���。盡管這會影響基于網絡的產品的有效性,但這并不意味著網絡安全性已過時����。用戶仍然需要只有網絡才能提供的完整覆蓋范圍,上下文和確定性��。但是�,用戶需要適當的解決方案來獲取這些資源。
克服挑戰(zhàn):最后防線
我們是一個網絡檢測和響應平臺��,可以檢測并包含復雜的威脅�。它通過將無監(jiān)督機器學習(ML)應用于網絡流量以檢測異常,使用監(jiān)督的ML創(chuàng)建惡意網絡活動的分類器���,并利用其全球威脅情報網絡掃描流量中的已知惡意軟件有效載荷��,來做到這一點�����。
使用兩種方法來成功處理加密通信:解密網絡流量和分析加密流量�。
分析加密流量
即使Sensor無法訪問解密的流量和有效負載���,我們仍可提供有效的防護以防止惡意活動����。為此,我們的解決方案檢查并使用流量(連接)元數據�����,并利用以下三種檢測技術:異常檢測����,威脅情報以及威脅和加密流量分析指標。
解密網絡流量
組織有許多原因來檢查網絡流量內容��,從合規(guī)性到策略實施和安全性��。例如����,組織可以監(jiān)視傳出的數據以檢測敏感信息的存在,確保員工僅從其工作計算機訪問可接受的網站��,并了解受損主機是否連接到命令與控制(C&C)站點����。為了實現這些目標�,許多組織已部署了檢測點���,這些檢測點破壞了打開的加密連接并允許安全產品分析有效負載。我們支持這些檢測點�,包括Web代理,TLS終止代理��,郵件傳輸代理和活動TLS攔截�。
