今天小編分享的互聯網經驗:首創旁路解密,微步發布加密流量檢測技術創新解決方案,歡迎閱讀。
在面對越來越多的加密流量攻擊時,對所有流量進行統一解密是最直接的辦法。但如果采用串聯部署,會因為解密過程消耗大量計算資源,導致多個網絡出現性能明顯下降;如果采用旁路部署,由于技術機制問題,絕大多數加密流量根本無法解密。
10 月 24 日,微步在線發布加密流量檢測技術創新解決方案,打破旁路無法解密的困境,并且同時支持旁路與串聯兩種部署方式,資源占用少,延遲低,無需對現有網絡進行改造,即可精準檢測各類加密流量攻擊,整體誤報率低于 0.003%。目前,微步威脅感知平台 TDP、威脅防御系統 OneSIG 已同時支持 SSL/TLS 加密流量的高性能解密和精準檢測。
加密流量檢測的四大挑戰
整體而言,當前加密流量攻擊檢測存在四大挑戰。
第一是檢測精準度低。為了減少解密過程的資源占用,不解密檢測是目前相對主流的做法。不過,該技術主要通過對會話特征、時空特征等進行分析,不能對核心加密内容進行深度拆包,在復雜網絡環境中誤報率甚至高達到 10% 以上。此外,不解密檢測很難提供有效證據解釋告警產生的根因,這對告警研判和進一步的關聯分析都極為不利。
第二是解密覆蓋不全。由于流量加密技術設計之初就是為了防止旁路監聽竊取流量數據,因此傳統旁路解密存在很大的局限性,只能解密 TLS1.2 以下 RSA 加密算法,對于橢圓曲線等加密算法無能為力。而且随着 TLS1.3 的大規模普及,RSA 加密算法逐漸被抛棄,傳統旁路解密變得更加不可用。
第三是計算性能瓶頸。在防火牆、WAF 等網關設備上對所有流量進行中間人解密,是目前唯一能夠實現完全解密的手段。但解密過程涉及到復雜的數學運算,需要消耗大量的時間和計算資源,容易出現網絡波動、延遲甚至是拒絕服務,直接影響到業務的實時性和連續性。
第四是網絡改動較大。部署獨立的流量解密設備将所有資源僅用于解密計算,并将解密後的明文流量交給其他安全設備,是解決單一設備性能不足的重要手段。但獨立的解密設備需要另行串接至所有網絡出口,對網絡結構改動較大,大幅提升了部署和運維成本,故障率也随之增加。
輕量化 + 一體化解決加密流量攻擊難題
對此,微步 TDP 首次創新了旁路輕量化解密技術,通過在主機上部署輕量化解密 Agent,可對 99% 以上的加密算法進行解密,打破了 TLS1.3 以上旁路解密幾乎不可用的尴尬局面。解密後的明文流量則引流至 TDP 進行檢測。
經過嚴格的實戰環境測試,Agent 資源占用極少,并且完美兼容各類作業系統和復雜的網絡環境,不會影響業務運行。
在檢測能力方面,TDP 利用規則引擎、AI 引擎、威脅情報等多項技術,可将整體誤報率控制在 0.003% 以内,同時提供豐富的上下文幫助運營人員确定威脅跟進并進一步研判分析。
另一方面,微步 OneSIG 還提供了解密、檢測一體化的模式,基于中間人技術實現所有入站 HTTPS 流量解密,有效彌補了旁路解密少量證書無法覆蓋的空白,無需另行串接其他解密設備。
在性能方面,OneSIG 基于高性能底層架構,采用硬體解密,大幅提升了解密效率,幾乎不會造成業務延遲;在防護能力方面,OneSIG 可将 90% 以上網絡攻擊攔截于網絡邊界之外,其中 0day 檢出率達到 81%;在易用性方面,OneSIG 支持透明網橋模式,能夠即插即用,迅速部署上線。
值得注意的是,TDP 與 OneSIG 既支持獨立部署,也支持聯動部署。經過 OneSIG 的自動攔截,可大幅度降低後續其他串行網關以及内網 TDP 等設備的告警數量,減少人工參與;當 TDP 發現繞過網絡邊界的網絡攻擊時,可聯動 OneSIG 或者其他網關設備進行阻斷。
微步技術合夥人趙林林表示,在近些年攻防演練中,幾乎所有 Web 滲透、惡意軟體投遞都是通過加密流量發起的。此次微步 TDP、OneSIG 同時支持高性能解密,将為用戶在未來的實戰過程中,提供針對加密流量攻擊的檢測與響應的閉環。