進(jìn)入DT時(shí)代,數(shù)據(jù)成為企業(yè)的核心資產(chǎn)和安全防護(hù)的主要目標(biāo),數(shù)據(jù)的廣泛流動(dòng)是對(duì)數(shù)據(jù)面臨的安全風(fēng)險(xiǎn),場(chǎng)景呈倍數(shù)增加,為了保障數(shù)據(jù)的安全性,加密流量傳輸成了主流的方式。與此同時(shí),加密流量也使得大量網(wǎng)絡(luò)攻擊隱藏其中,給安全防護(hù)帶來極大的困擾。
“ DT時(shí)代,加密是數(shù)據(jù)傳輸?shù)闹匾Wo(hù)手段,但也成為黑客攻擊的最佳隱藏手段,是我們必須警惕的‘灰犀牛’。”在日前奇安信集團(tuán)舉辦的流量解密編排器新品發(fā)布會(huì)上,奇安信集團(tuán)董事長(zhǎng)齊向東表示。
此前在2021年北京網(wǎng)絡(luò)安全大會(huì)上,齊向東曾分享了一個(gè)觀點(diǎn):人類社會(huì)從IT時(shí)代進(jìn)入了DT時(shí)代。現(xiàn)在全球數(shù)據(jù)量正在呈爆炸式的增長(zhǎng),到2035年,全球數(shù)據(jù)總量要超過2萬億PB,與之同時(shí)大數(shù)據(jù)、5g云計(jì)算、互聯(lián)網(wǎng)新技術(shù)也廣泛應(yīng)用,打破了傳統(tǒng)的網(wǎng)絡(luò)邊界,安全暴露面不斷的增加,更加劇了數(shù)據(jù)安全的風(fēng)險(xiǎn)。數(shù)據(jù)顯示,僅去年一年數(shù)據(jù)泄露的記錄就超過前15年的總和。所以在DT時(shí)代,保護(hù)數(shù)據(jù)安全將成為網(wǎng)絡(luò)安全的首要任務(wù),加密成為數(shù)據(jù)保護(hù)的重要手段。
Google的報(bào)告顯示,當(dāng)前互聯(lián)網(wǎng)加密流量超過90%。據(jù)估計(jì),企業(yè)內(nèi)部80%也都是加密流量。工信部也在最近公布的《數(shù)據(jù)傳輸安全白皮書》中明確指出,傳輸?shù)臄?shù)據(jù)不能明文。所以,加密傳輸實(shí)際上已經(jīng)成為了傳輸安全最基本的要求。
但與之對(duì)應(yīng)的是,加密不僅用在防御側(cè),在攻擊側(cè),加密流量也已成為黑客最常用的攻擊手段。Gartner統(tǒng)計(jì),在2020年就有超過70%的網(wǎng)絡(luò)攻擊使用加密流量。國(guó)外機(jī)構(gòu)的最新調(diào)研報(bào)告顯示,超過95%的企業(yè)明確表示遭遇過加密流量攻擊。保守估計(jì),加密流量攻擊造成的全球損失達(dá)到上萬億美元。
在此前采訪中,有安全專家也告訴安全419,攻擊者為了竊取數(shù)據(jù)、控制目標(biāo)系統(tǒng),往往采取更加隱蔽的加密通信技術(shù),通過對(duì)內(nèi)容進(jìn)行協(xié)議加密,消除攻擊的明顯特征,使檢測(cè)難度呈指數(shù)上升。如滲透階段采用TLS加密掃描,攻擊階段采用RDP、SSH等加密的暴力破解,再通過webshell獲取權(quán)限,最后通過加密隧道外發(fā)數(shù)據(jù)等都是攻擊者的常用手法。
在齊向東看來,任何技術(shù)都是雙刃劍,加密技術(shù)在保護(hù)數(shù)據(jù)的同時(shí)也黑客攻擊的最佳隱藏手段。“換句話說加密技術(shù)保護(hù)了數(shù)據(jù),同時(shí)也保護(hù)了網(wǎng)絡(luò)攻擊者,對(duì)網(wǎng)絡(luò)保護(hù)措施是我們必須要警惕的‘灰犀牛’。我們經(jīng)常用灰犀牛黑天鵝來形容巨大的風(fēng)險(xiǎn),但是黑天鵝發(fā)生的概率很小,不可測(cè)灰犀牛發(fā)生的概率很大,甚至可以預(yù)測(cè)。加密技術(shù)給網(wǎng)絡(luò)安全帶來的風(fēng)險(xiǎn)就是灰犀牛,人們往往會(huì)掉以輕心,以至于錯(cuò)失最佳的處理時(shí)機(jī),最終醞釀成為嚴(yán)重后果。”
因此齊向東認(rèn)為,在加密流量“灰犀牛”面前,解密和編排已經(jīng)成為DT時(shí)代安全的基石。沒有解密和編排,數(shù)據(jù)保護(hù)就如同空中樓閣,部分安全設(shè)備也就形同虛設(shè),安全建設(shè)、升級(jí)、運(yùn)維的效果也會(huì)大打折扣,運(yùn)維成本極大地提升。為此,奇安信打造出的解密編排方案,填補(bǔ)了業(yè)內(nèi)解密和智能編排技術(shù)類產(chǎn)品的空白。
齊向東進(jìn)一步指出,從我國(guó)當(dāng)前網(wǎng)絡(luò)安全建設(shè)的情況來看,現(xiàn)有的解密和部署方案大多采用的是負(fù)載均衡和SSL加解密的技術(shù)路徑,主要存在三大不足:
//第一,盲點(diǎn)多。實(shí)驗(yàn)數(shù)據(jù)表明,同樣的處理器計(jì)算資源的情況下,SSL加密、解密的過程會(huì)嚴(yán)重消耗CPU的計(jì)算性能。如果明文新建能夠達(dá)到100萬,SSL加解密新建能力僅為1萬,它的處理能力相差100倍。
“這就導(dǎo)致很多加密流量來不及解密、審查就通過,就好比安檢的通道少,但客流量大,為了紓解壓力,很多旅客沒有經(jīng)過安檢就通過了,其中的危險(xiǎn)是可想而知的。再比如,現(xiàn)在正值假期,高速車流量也會(huì)很大,收費(fèi)站附近通常是堵車的高發(fā)路段,因此在節(jié)假日只要免費(fèi)通行就能極大的緩解堵塞。目前,主要流量威脅監(jiān)測(cè)設(shè)備都基于旁路監(jiān)聽,無法對(duì)當(dāng)前絕大部分加密流量進(jìn)行旁路解密,導(dǎo)致流量盲點(diǎn)普遍存在,增加了安全隱患。”齊向東談到。
針對(duì)安全設(shè)備占用業(yè)務(wù)性能這一行業(yè)普遍的痛點(diǎn),奇安信的做法是從“芯”開始,聯(lián)合芯片解決方案廠商英特爾,將英特爾的QAT加速技術(shù)嵌入到CPU當(dāng)中,能夠提供高達(dá)100Gb/s的加解密性能,通過搭載硬件加速卡并通過自研的異步調(diào)用技術(shù),真正實(shí)現(xiàn)了軟硬合一,理論上可以將解密的性能大幅提升,解決了過去流量解密大量消耗CPU計(jì)算性能的問題。
//第二,效率低。目前業(yè)內(nèi)主流的安全設(shè)備沒有辦法根據(jù)流量業(yè)務(wù)的類型進(jìn)行靈活的分配,只有讓安全設(shè)備承擔(dān)所有流量,執(zhí)行所有加解密的過程。比如當(dāng)一個(gè)設(shè)備對(duì)SSL流量進(jìn)行解密以后,下個(gè)設(shè)備接收的依舊不是明文流量,還要繼續(xù)解密。這就為每個(gè)設(shè)備為了單一的安全工作需要把解密工作重復(fù)再做一遍,導(dǎo)致業(yè)務(wù)員延時(shí)高,這成為部署解密流量設(shè)備最大的壓力。
在這一點(diǎn)上,奇安信的做法是將不同類型的流量進(jìn)行分類引流,就是將明文的數(shù)據(jù)分發(fā)至服務(wù)鏈上各種安全設(shè)備上,從而實(shí)現(xiàn)一臺(tái)設(shè)備成功解密,多臺(tái)設(shè)備成果共享,極大地降低了負(fù)載和資源的消耗,大幅度地提升了解密的效率。
//第三,成本高。業(yè)內(nèi)傳統(tǒng)的部署方式往往都是安裝設(shè)備一次串接,最終形成“糖葫蘆串”的安全架構(gòu),任何設(shè)備發(fā)生故障都會(huì)引起全網(wǎng)的故障,損失是難以承受的。同時(shí),又因?yàn)榘踩O(shè)備擴(kuò)展性差,當(dāng)新增軟件新增設(shè)備進(jìn)行擴(kuò)容時(shí)都要做整體調(diào)整,升級(jí)維護(hù)成本也大。在這個(gè)過程當(dāng)中,極容易出現(xiàn)斷網(wǎng)的情況,又增加業(yè)務(wù)中斷的成本。
在成本層面,奇安信這一解密編排方案重構(gòu)了安全設(shè)備的系統(tǒng)部署架構(gòu),通過網(wǎng)元組負(fù)載分擔(dān)、健康監(jiān)測(cè)、流量編排等技術(shù)手段,實(shí)現(xiàn)安全設(shè)備資源池化,就是讓我們整個(gè)安全設(shè)備部署架構(gòu)更加具有彈性,具備動(dòng)態(tài)擴(kuò)容的能力,安全資源池也能容納多個(gè)廠商的安全設(shè)備,來支持多樣化的專業(yè)安全組件,從而實(shí)現(xiàn)安全能力的快速擴(kuò)展。
齊向東最后表示,DT時(shí)代的企業(yè)安全建設(shè)工作中,如何讓安全設(shè)備具備解密能力,看清加密流量?jī)?nèi)容中的威脅信息,已經(jīng)成為至關(guān)重要的一環(huán)。流量解密編排器是在大的歷史環(huán)境下,響應(yīng)DT時(shí)代的需求必然會(huì)出現(xiàn)的一種技術(shù)創(chuàng)新的成果或產(chǎn)品,流量解密編排器也是從邊界開始構(gòu)建縱深防御體系,看見威脅的最重要的一步。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
