超7成网络攻击用加密隐身,奇安信发布国内首款流量解密编排器

admin 2022年9月15日10:34:48安全新闻评论2 views2614字阅读8分42秒阅读模式

 “ DT时代,加密是数据传输的重要保护手段,但也成为黑客攻击的最佳隐藏手段,是我们必须警惕的‘灰犀牛’。” 奇安信集团董事长齐向东表示,“在加密流量这只‘灰犀牛’面前,解密编排成为DT时代的安全基石,能够帮助政企客户解决加密流量攻击带来的巨大威胁。”

9月13日,奇安信集团在京举办流量解密编排器新品发布会。在发布会上,奇安信集团董事长齐向东表示,奇安信基于鲲鹏平台的高效研发能力,正式发布国内首款集高性能解密和智能编排技术于一体的边界安全新品——流量解密编排器,解决DT时代客户面临的加密攻击威胁,以及对弹性部署架构和动态扩容能力的需求。


超7成网络攻击用加密隐身,奇安信发布国内首款流量解密编排器

奇安信集团董事长 齐向东


“通过搭载硬件加速卡,并配合自研的异步调用技术,我们理论上可以将解密性能提升10倍以上,并通过智能编排实现‘一台设备成功解密,多台设备共享明文’。”


90%流量加密,70%攻击利用加密“隐身”

Google的报告显示,当前互联网加密流量超过90%。据估计,企业内部至少80%采用加密流量传输,这些数字仍会保持快速增长。


然而,成也加密,败也加密。加密技术目前正在被恶意者广泛利用,成为了黑客攻击的重要手段,甚至成为当前网络空间的最大威胁之一。Gartner统计,在2020年就有超过70%的网络攻击使用加密流量。根据ESG机构的调研报告显示,超过95%的企业明确表示遭遇过由于加密流量引起的安全事件。从今年国家举行的实战攻防演习来看,有超过半数攻击手段都利用加密流量。保守估计,因加密流量攻击造成的全球损失或达万亿美元。


齐向东指出,国内现有加解密应对方案仍存在一些不足。首先是 “盲点”多,解密性能弱导致攻击“漏网”,在SSL加解密极高消耗计算资源的情况下,很多加密流量来不及解密就通过了;其次是效率低,重复加解密造成了浪费,由于多个安全设备都在进行加解密,不仅会造成不必要的资源浪费,更导致性能下降和业务效率低下;最后是成本高,单点故障多扩展性差,类似“糖葫芦串”的传统安全架构,如果任何一个安全设备发生故障或升级扩容时,很容易出现断网情况,业务中断的损失很难承受。


“黑天鹅发生概率小、不可预测;灰犀牛发生概率大、可预测,加密技术给DT时代带来的风险就是‘灰犀牛’,亟待我们警惕。”齐向东谈到。


解编合一、软硬结合,流量解密编排器应对三大挑战

“不做解密的安全分析,就如同盲人摸象!”奇安信集团副总裁、首席架构师吴亚东表示。善于“隐身”的加密攻击给安全体系提出新的挑战:不仅是“看得见”,更要“看得清”才能防得住威胁。


对此,奇安信正式对外发布国内首款流量解密编排器,解决盲点多、效率低、成本高等三大挑战。


一是通过异步调用和硬件解密技术,实现解密能力提升10倍以上。吴亚东认为,纯软件形式的安全产品,SSL加解密能力普遍较低,极易出现性能不足、检测不全的问题。奇安信通过搭载硬件加速卡,并配合自研的异步调用技术,真正实现了软硬合一,理论上可以将SSL解密性能提升10倍以上,让加密流量检测更全面、更准确、更及时。


英特尔中国区网络通信部技术专家王景佳在发布会表示,从云到边缘,安全无处不在。作为全球领先的芯片厂商,英特尔针对网络安全和数据存储推出了QuickAssistTechnology(简称QAT)硬件加速技术,可很大程度地提升服务器处理网络安全及数据压缩的计算性能,并有效减少服务器CPU的负载。该技术配合奇安信独创的智能解密引擎,可真正实现“软硬合一”的高性能流量解密。未来,英特尔将奇安信作为最重要的合作伙伴之一,持续提供业内领先的硬件级高性能SSL解密技术。


二是摆脱效率缺陷,实现一次解密、多次检测。奇安信首创了智能化服务链编排技术,能把不同类型的数据流量进行分类和引流,让特定的流量,穿过不同的安全工具进行检查。同时,它在旁路链和串接链之间搭建了一条服务链,能够将明文报文分发至服务链上的各个安全设备,从而实现“一台设备成功解密,多台设备成果共享”,极大降低网络负载和资源消耗,大幅提升了加解密效率。


超7成网络攻击用加密“隐身”,奇安信发布国内首款流量解密编排器

流量解密编排器的核心优势


三是跳出成本困局,实现灵活部署、降本增效。奇安信通过重构安全设备的传统部署架构,实现了安全设备资源池化,让整个安全设备的部署架构更有弹性,同时具备动态扩容能力。安全资源池能兼容不同厂商、不同种类的安全组件,还能依靠独特的探测机制保障业务连续性,从而大大降低总体成本。


对于业界其他基于负载均衡的流量编排工具来说,吴亚东表示,解密有两个方向,一是入向的解密,二是出向的解密,基于负载均衡的流量编排基本是入向的反向代理,对出向解密无法支持,因此对负载均衡的模式是受限的,而反向代理基本是路由部署方式,对于全透明对业务感知的串联防护是做不到的。


奇安信流量解密编排器的实战能力

从国家级实战演习到北京冬奥,流量解密编排器屡立战功。“近年来,利用流量加密来进行‘隐身’的攻击不断出现,极大增加了防守队的威胁检测难度。” 作为每年数百场国家级实战攻防演习的组织者和参与者,奇安信集团副总裁、北京冬奥组委技术部高级技术专家张翀斌这样表示。


在2022年北京冬奥网络安全保障中,解编合一的优势体现得淋漓尽致。奇安信集团冬奥保障总架构师尹智清表示,冬奥业务组网中全部采用加密方式进行网络数据传输,而流量分析设备不能对关键业务的加密流量进行威胁分析。同时,骨干网互联网出口传统的网络部署为多设备依次串联方式,在升级软件、新增设备接入及设备扩容时易出现断网情况,在冬奥这样注重业务连续性的重大体育活动中是难以承受的。


为解决这些问题,奇安信在关键区域部署了高性能的流量解密编排器,通过SSL解密功能对密文流量进行解密,实现了解密与编排融合,网关产品和检测分析平台的联防联控、高效检测。针对冬奥网络环境串联部署的升级扩容难题,通过在骨干网互联网出口部署流量解密编排器进行服务链编排操作,利用安全资源池的方式进行弹性扩容,消除断网影响,保障业务连续性,实现真正的“零事故” “零故障”。

 

结语

权威机构统计,边界安全作为网络安全行业规模最大的赛道,整体规模在200亿以上,堪称头部厂商的“兵家必争之地”。而流量解密编排器的发布,标志着边界安全将进入新的一轮技术创新周期,更高效的解密技术,更智能化的编排,将会驱动这个“超级赛道”继续保持高速增长,进而带动网络安全行业的整体繁荣。


原文始发于微信公众号(网络安全和信息化):超7成网络攻击用加密“隐身”,奇安信发布国内首款流量解密编排器

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月15日10:34:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  超7成网络攻击用加密隐身,奇安信发布国内首款流量解密编排器 http://cn-sec.com/archives/1297308.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: