信息來源:51cto
惡意行為者越來越多地使用加密流量來掩蓋網(wǎng)絡(luò)威脅。Gartner指出,2019年進行的網(wǎng)絡(luò)攻擊中有60%利用加密,而到2020年,這一數(shù)字將上升到70%。了解安全解決方案如何識別或阻止SSL流量中的威脅非常重要,因為許多工具無法做到這一點。我們總結(jié)了安全解決方案如何與加密的網(wǎng)絡(luò)流量一起使用。
加密網(wǎng)絡(luò)流量的挑戰(zhàn)
加密保護運動中的敏感數(shù)據(jù)的機密性和隱私性。但是,加密也對網(wǎng)絡(luò)安全產(chǎn)品構(gòu)成了挑戰(zhàn)。如果這些產(chǎn)品無法檢查連接的有效負(fù)載,則它們將失去檢測和響應(yīng)威脅的能力。
加密數(shù)據(jù)的興起
Internet上加密的使用已急劇增加。例如,《 Google透明度報告》顯示,互聯(lián)網(wǎng)上加密的網(wǎng)絡(luò)流量的比例一直在穩(wěn)定增長,從五年前的大約50%增長到如今的80%至90%。
盡管“內(nèi)部”(組織的網(wǎng)絡(luò)和數(shù)據(jù)中心內(nèi))的加密流量百分比較低,但是諸如零信任網(wǎng)絡(luò)體系結(jié)構(gòu)之類的計劃可能會增加采用加密來保護內(nèi)部數(shù)據(jù)安全的組織數(shù)量。因此,重要的是要了解在存在無處不在的加密流量的情況下,網(wǎng)絡(luò)安全產(chǎn)品如何能夠提供可見性和保護。
對流量進行加密可防止網(wǎng)絡(luò)安全產(chǎn)品檢查有效負(fù)載。這意味著他們既無法利用簽名來檢測已知威脅,也無法提取對象(例如文件或文檔),然后再將其提交到沙箱進行更深入的分析。盡管這會影響基于網(wǎng)絡(luò)的產(chǎn)品的有效性,但這并不意味著網(wǎng)絡(luò)安全性已過時。用戶仍然需要只有網(wǎng)絡(luò)才能提供的完整覆蓋范圍,上下文和確定性。但是,用戶需要適當(dāng)?shù)慕鉀Q方案來獲取這些資源。
克服挑戰(zhàn):最后防線
我們是一個網(wǎng)絡(luò)檢測和響應(yīng)平臺,可以檢測并包含復(fù)雜的威脅。它通過將無監(jiān)督機器學(xué)習(xí)(ML)應(yīng)用于網(wǎng)絡(luò)流量以檢測異常,使用監(jiān)督的ML創(chuàng)建惡意網(wǎng)絡(luò)活動的分類器,并利用其全球威脅情報網(wǎng)絡(luò)掃描流量中的已知惡意軟件有效載荷,來做到這一點。
使用兩種方法來成功處理加密通信:解密網(wǎng)絡(luò)流量和分析加密流量。
分析加密流量
即使Sensor無法訪問解密的流量和有效負(fù)載,我們?nèi)钥商峁┯行У姆雷o以防止惡意活動。為此,我們的解決方案檢查并使用流量(連接)元數(shù)據(jù),并利用以下三種檢測技術(shù):異常檢測,威脅情報以及威脅和加密流量分析指標(biāo)。
解密網(wǎng)絡(luò)流量
組織有許多原因來檢查網(wǎng)絡(luò)流量內(nèi)容,從合規(guī)性到策略實施和安全性。例如,組織可以監(jiān)視傳出的數(shù)據(jù)以檢測敏感信息的存在,確保員工僅從其工作計算機訪問可接受的網(wǎng)站,并了解受損主機是否連接到命令與控制(C&C)站點。為了實現(xiàn)這些目標(biāo),許多組織已部署了檢測點,這些檢測點破壞了打開的加密連接并允許安全產(chǎn)品分析有效負(fù)載。我們支持這些檢測點,包括Web代理,TLS終止代理,郵件傳輸代理和活動TLS攔截。