思科的加密流量分析(ETA),一个监控网络数据包元数据以检测恶意流量的软件平台,即使它是加密的,现在已经普遍可用。
该公司最初于2017年6月在其基于意图的网络战略发布期间推出了ETA,此后一直在私下预览。今天,思科推出的ETA已经超出了它最初设计用于企业交换机的范围,并且在当前和上一代数据中心网络硬件上也可以使用。雷竞技电脑网站
+更多信息请访问网有个足球雷竞技app络世界:什么是基于意图的网络?|为什么基于意图的网络会是一个大问题+
思科
思科的加密流量分析使用一个名为Stealthwatch的软件来比较良性和恶意网络数据包的元数据来识别恶意流量,即使是加密的。
什么是埃塔
Encrypted Traffic Analytics是一种部署在客户场所的产品,用于监控他们的网络并收集有关流量的信息。它使用一系列遍布整个网络的传感器来筛选通过它的所有流量。ETA使用本地分析引擎与基于云的平台的组合,该平台分析关于网络流量的匿名元数据,以搜索并阻止恶意流量,即使它是加密的。
思科在其基于意图的网络(IBN)战略推出期间推出了ETA,因为它使用了该公司为IBN开发的一些先进软件,包括机器学习组件,这些组件可以进化来抵御不断变化的漏洞。
埃塔是如何工作的
ETA使用NetFlow的修改版本收集有关流量的元数据,并搜索表明流量可能是恶意的特征。它检查最初的数据包,这些数据包被转换成清晰的,甚至是加密的流量。它还记录数据包的大小、形状和序列,它们在网络上花费的时间,并监视其他可疑特征,如自签名证书,或它是否具有命令和控制标识符。
所有这些数据都可以通过流量收集,即使是加密的。“ETA使用网络可见性和多层机器学习来寻找良性和恶意流量之间的明显差异,”思科在一篇宣布ETA的博客文章中解释道。
如果在任何数据包中识别出恶意流量的特征,它们将被标记,以便通过深度数据包检查和现有安全设备(如防火墙)的潜在阻塞进行进一步分析。
ETA的监控系统被命名为StealthWatch,基于云的数据存储被命名为Talos。同时,如果流量被识别为恶意流量,ETA可以将其报告给Cisco的DNA中心网络管理软件,确保整个网络的流量被阻断。思科表示,他们使用机器学习算法来训练ETA搜索新的漏洞,并适应不断变化的漏洞。
思科高级副总裁兼企业网络总经理斯科特•哈勒尔解释说:“当你在做安全工作时,能见度越高越好。”“你想要拥有大量数据,不仅仅是实时发生的事情,还有历史上发生过的事情。很多时候,在安全领域,在你意识到发生火灾之前就已经有了烟雾。”
Harrell说,如果识别出了潜在的恶意流量,诸如哪个主机发起了对话、交换了什么信息等信息对于确定问题的范围是很重要的。
为什么ETA会很重要
越来越多的通信被加密。思科估计现在有55%的网络流量是加密的,而高德纳预测到2019年这一数字将增长到80%。思科说,与此同时,多达41%的黑客使用加密技术来逃避检测。
组织使用一系列的选项来确保其网络中加密流量的安全性。这些方法大多使用下一代防火墙、深度包检查(DPI)或安全套接字层(SSL)检查。Harrell说这些工具需要一些权衡。例如,SSL检查可以拦截和解密流量,以确定它是否是恶意的,只有在确认它是安全的之后,才会完成连接。恶意软件可以感染SSL检测,使其易受攻击。Harell认为,在允许用户访问之前,先对所有流量进行解密,然后再对其重新加密是低效的。思科表示,它是第一家开发出监控加密通信漏洞方法的公司。
物联网安全
哈雷尔表示,ETA在物联网领域也可能很重要。ETA监控加密流量元数据的能力意味着它可以分析所有物联网流量,而不必在每个小型物联网设备上安装防火墙等安全工具。
思科说ETA还有另一个好处:符合加密要求。出于监管的原因,一些组织被要求使用特定级别的加密。通过使用分析元数据,ETA可以提供正在使用的特定级别和加密类型的证明。
如何购买ETA
ETA目前通常可以在数据中心、园区和分支机构硬件上使用,包括Catalyst 9000交换线,以及上一代和当前一代的集成服务路雷竞技电脑网站由器(ISR)、聚合服务路由器(ASR)和云服务路由器(CSR)。预计到达时间包括在购买这些硬件设备和订阅思科ONE软件,其中包括Stealthwatch。