正文共:3843字 6图,预估阅读时间:11 分钟
随着网络安全要求的不断提升,越来越多地企业和浏览器开始支持TLS 1.3,相比于之前版本,协商机制进行了优化,算法和组件也更加安全,但随之而来的是更加复杂。思科从不解密加密流量、直接分析加密流量触发,推出了ETA解决方案,今天把技术相关特性和大家做一下分享。
介绍
加密流量的迅速增加正在改变威胁的面貌。随着越来越多的企业数字化,大量服务和应用程序都在使用加密作为保护信息安全的主要方法。Gartner估计,2019年有超过80%的企业Web流量是经过加密的。实际上,截至2019年5月,所有Google Web流量中的94%是经过加密的Firefox加载的网页中有近80%使用HTTPS。
加密技术为使用Internet进行在线通信和事务处理的企业提供了更大的隐私和安全性。移动,云和Web应用程序依赖于完善的加密机制,使用密钥和证书来确保安全性和信任。但是,企业并不是唯一受益于加密的企业。威胁参与者已利用这些相同的好处来逃避检测并保护其恶意活动。
跨网络的可见性变得越来越困难,并且我们的传统检测手段无法假设数据可用于检查。我们需要能够同时评估加密保护和不保护数字业务的数量,同时还要评估恶意流量和良性流量。
到2020年,超过70%的恶意软件活动将使用某种类型的加密来隐藏恶意软件的传递,命令和控制活动或数据泄露。并且60%的组织将无法有效解密HTTPS,从而丢失关键的加密威胁。
恶意攻击的经济影响
加密流量安全的挑战
如今,大多数组织都没有解决方案来检测加密流量中的恶意内容。他们缺乏安全性工具和资源来实现可在不降低网络速度的情况下在整个网络基础架构中部署的解决方案。
出于性能和资源的原因,具有批量解密,分析和重新加密的传统威胁检查并不总是可行或可行的。而且,它损害了隐私和数据完整性。
在任何一天,没有人知道他们的数字业务是明文还是加密的。如果对通信进行了加密,则通常会进行加密以满足符合特定安全策略的合规性要求。
思科加密流量分析概述
传统的流监控通过报告流的地址,端口以及字节和数据包计数来提供网络通信的高级视图。此外,可以在流监视框架内收集,存储和分析流内元数据或有关流内部发生的事件的信息。当对流量进行加密时,此数据特别有价值,因为深度数据包检查不再可行。通过使用独立于协议详细信息(例如流中消息的长度和到达时间)的新型数据元素或遥测,可以得出增强的流内元数据。这些数据元素具有吸引人的特性,即可以很好地将其应用于加密流和未加密流。
使用这些数据元素或增强的流内遥测技术可以识别加密流量中的恶意软件通信,这意味着Cisco®加密流量分析可以保持加密流的完整性,而无需进行批量解密。
加密流量分析–技术解决方案概述
使用加密流量分析的好处
•安全可见性:使用网络分析深入了解加密流量中的威胁。通过与用户和设备信息相关联的实时分析获得上下文威胁情报。
•加密评估:确保企业遵守加密协议,并了解网络上正在加密的内容和未加密的内容,并了解这些内容。
•更快的响应时间:快速包含受感染的设备和用户。
•节省时间和成本:利用网络作为安全状况的基础,并利用网络中的安全投资。
加密流量分析-加密流量的新数据元素
加密流量分析专注于通过被动监视,提取相关数据元素以及行为建模和机器学习与基于云的全局可见性的组合来识别加密流量中的恶意软件通信。
传输层安全性(TLS)是一种加密协议,可为应用程序提供保密性。TLS通常在常见协议之上实现,例如用于Web浏览的HTTP或用于电子邮件的简单邮件传输协议(SMTP)。HTTPS是通过HTTP使用TLS的方法。这是保护网络之间通信的最流行方法。
Web服务器和客户端,并且受大多数主要Web服务器支持。
加密的流量分析提取四个主要数据元素:初始数据包,数据包长度和时间序列,字节分布以及TLS特定功能。思科独特的专用集成电路(ASIC)体系结构能够提取这些数据元素,而不会减慢数据网络的速度。
•初始数据包(IDP):IDP用于从流的第一个包中获取包数据。它允许提取有趣的数据,例如HTTP URL,DNS主机名/地址和其他数据元素。TLS握手由几条消息组成,其中包含有趣的未加密元数据,这些元数据用于提取数据元素,例如密码套件,TLS版本和客户端的公钥长度。
•数据包长度和时间序列(SPLT):SPLT传达流的前几个数据包的每个数据包应用程序有效负载的长度(字节数),以及这些数据包的到达时间。
SPLT可以表示为数据包大小的数组(以字节为单位),以及表示从观察到前一个数据包以来的时间的时间(以毫秒为单位)的数组。
•字节分布:字节分布表示特定字节值出现在流中的数据包有效载荷中的概率。可以使用计数器数组来计算流的字节分布。与字节分配相关的主要数据类型是完整字节分配netflow流量分析工具,字节熵和字节的平均/标准偏差。例如,使用每个字节值一个计数器,可以通过以下方式来计算HTTP GET请求“HTTP / 1.1.”:对“H”增加一次相应的计数器,然后为两个连续的“T”对另一个计数器增加两次。以此类推。尽管字节分配是作为一个计数器数组维护的,但是通过按字节总数进行归一化,可以很容易地将其转换为适当的分配。
新数据元素名称描述表
加密的流量分析-组件
增强型NetFlow
在NetFlow体系结构中,数据以记录集的形式从导出器传输到收集器。数据集中的每个记录具有相同的格式,该格式由其模板指定。数据记录由一系列NetFlow信息元素或“字段”组成,并且为每个字段分配了特定的ID值。信息元素的ID值可以由Internet号码分配机构(IANA)全局定义和存档,或者可以是企业特定的并由各个组织定义。
NetFlow模板使用由IANA管理的几个全局定义的元素。IP地址和第4层端口号等一些全局元素形成了一个熟悉的5元组,用作唯一的流标识符(流密钥)。其他元素用于报告基本的数据包/八位位组统计信息和时间戳。
这些全局定义的元素通过前面所述的特定于供应商的(Cisco供应商ID)数据元素得到了增强。特定于供应商的数据元素提供了使用CiscoStealthwatch®加密流量中的威胁和漏洞的见解。
思科Stealthwatch
思科Stealthwatch使用NetFlow,代理服务器,端点遥测,策略和访问引擎,流量分段以及行为建模和机器学习来为整个企业中的主机和用户建立基准“正常”行为。Stealthwatch可以将流量与全球威胁行为相关联,以自动识别受感染的主机,命令和控制通信以及可疑流量。
Stealthwatch维护着一个全球风险图-有关Internet上服务器的非常广泛的行为概况,以识别与攻击相关的服务器,将来可能会对其加以利用,或者将其用作攻击的一部分。
Stealthwatch多层机器学习
这不是黑名单,而是从安全角度来看的整体情况。Stealthwatch通过应用机器学习和统计建模来分析增强型NetFlow中新的加密流量数据元素。全局风险图和“加密的流量分析”数据元素使用高级安全分析来加强。Stealthwatch不会解密流量,而是使用机器学习算法来查明加密流量中的恶意模式,以帮助识别威胁并改善事件响应。
Stealthwatch管理控制台(SMC)上的安全洞察仪表板提供了按风险类型标识的受影响用户的视图。扩展的仪表盘提供了有关最高风险升级和相对威胁暴露的详细信息。
Stealthwatch安全洞察仪表盘
发现后,Stealthwatch可以阻止或隔离恶意加密流。使用带有CiscoTrustSec®和软件定义访问(SD-Access)的Cisco身份服务引擎(ISE)通过pxGrid通过策略驱动的补救措施可以简化并加速网络安全操作。
加密评估
加密流量分析还可以从每个网络对话中立即识别出加密质量,从而提供可见性,以确保企业遵守加密协议。例如,使用SSL或早期TLS违反PCI DSS(支付卡行业数据安全标准)合规性。它提供了有关网络上正在加密和未加密的信息,因此您可以放心地声称自己的数字业务受到了保护。该加密评估显示在Stealthwatch中,可以通过API导出到第三方工具netflow流量分析工具,以监控和审核加密合规性。
加密评估
功能支持
从CiscoIOS®XE 16.6开始,思科最新的网络设备将支持具有加密流量分析功能的增强型NetFlow。
1.兼容的思科设备,通过加密的流量分析支持增强的NetFlow遥测:
•交换机、路由器、无线控制器;
•Stealthwatch流量传感器:安装在镜像端口或网络分接头上,可根据观察到的流量生成遥测。可作为硬件或虚拟设备使用。
2.具有机器学习和行为建模功能的Cisco Stealthwatch网络流量分析解决方案,可以分析用于加密流量分析的增强型NetFlow。
功效结果和实际部署
思科聘请了技术测试和认证公司Miercom来评估加密流量分析的功效和性能。结果非常出色,获得了加密流量分析的Miercom性能验证认证。以下是一些要点:
思科加密流量分析显示出高达36%的检测速度,在三个小时内发现Miercom沿两个网络路径测试了各种加密和未加密的恶意软件。两条路径都使用了思科网络设备和Stealthwatch,但是一条路径启用了加密流量分析,而另一条则没有。被测试的恶意软件包括特洛伊木马,僵尸网络,勒索软件和键盘记录程序等漏洞,其中超过三分之二的威胁使用加密通信。如果没有加密的流量分析,该恶意活动将一直持续存在,无法检测到。
在使用“加密流量分析”的路径上,检测到威胁的速度比不使用“加密流量分析”的路径快36%。此外,在三小时内发现了所有威胁。而攻击者不希望您实现更快、更完整的检测。
加密的Traffic Analytics在三个小时内检测到了100%的恶意流量,即时检测(不到五分钟即可发现)和超过三个小时的学习能力显示出了惊人的性能。在不到五分钟的时间内,“加密流量分析”检测到所有恶意流量的近三分之二,几乎是未加密流量分析路径的两倍。即使流量从0到20很少,加密流量分析也显示出更高的检测结果,而2000+的流量允许100%的检测。
领域威胁发现
该技术在客户环境中继续取得巨大成功,我们可以分享监控Cisco Live USA 2018、2018年移动世界大会和2019年移动世界大会会议的结果。
该技术在这些和其他环境中检测到的威胁类别包括但不限于:
•非法加密
•Android OS木马
•广告注入器
•SALITY恶意软件
•使用SMB(服务器消息块)服务发现的恶意软件
•潜在的有害应用程序,例如Tor和BitTorrent
结论
总而言之,网络现在是一个更高级的安全传感器,能够检测加密流量中的威胁。具备思科数字网络体系结构的基础架构将网络变成了端到端的传感器和执行器,可检测,包含并防止出现的复杂安全威胁。
后台回复“ETA”获取英文原文报告
长按二维码
