技術丨豐富可視性,讓威脅從此無處遁形
思科聯天下
作者:趙帆 思科大中華區安全事業部安全架構師
古代有這樣一對男女,他們像羅密歐與朱麗葉一樣鍾情於對方,卻又分屬於兩個有血海深仇的家族。男孩向女孩發出私奔邀請,女孩第二天傳來答复,上面寫著:K FQ 。男孩拿著這三個字母苦思不得其解,最終以為女孩不願放棄優渥的生活和他私奔。直到十年後,男孩忽然靈光一閃,發現如果把每個字母都替換成字母表上提前兩個字母的話,這三個字符就變成了:I DO 。
這種加密方法就是通過 SSL/TLS 協議進行的,也是現在加密流量使用的主流方式, HTTPS 會話建立之前必須要通過 SSL/TLS 協議握手,在這個握手過程當中,客戶端(即瀏覽器)和網站端(即服務器),會相互交換各自的證書來達成身份驗證,並隨之建立一條可信的加密通道。但現代網絡攻擊者將惡意流量隱藏於整個加密傳輸流中。這就相當於負責安保的隊伍中混入了間諜,使得作案更加隱蔽、且防不勝防!
找出加密傳輸中的 “間諜”
為了讓威脅入侵系統和網絡,惡意攻擊者們一定會煞費苦心。在成功滲透到組織內部之後,他們將用盡一切手段來規避被網絡監控工具捕獲的可能。
企業迫切想找出加密傳輸中的 “間諜”,但昂貴的安全防護設備將有限的計算資源都消耗在解密安全數據包上,而整個加密節點直到解密後才能知道具體加密的內容,這就導致傳統的流量檢測方式失去效力,急需一套更加可靠的流量可視化防禦方式才行。
EVE 實現加密可視性功能
作為深耕網絡安全近 40 年的知名 IT 解決方案提供商,思科帶來了下一代防火牆,能夠成功實現加密的可視性:
Step 1 : 分析客戶端的 Hello 報文,並進行指紋識別;
Step 2 : 分類相關的客戶端進程和應用;
Step 3 : 管理人員識別信息並製定安全管控策略。
思科防火牆正在持續更新和強化 EVE 識別能力,且無需額外的部署成本,即可立即提升網絡內對於加密流量的可視性和管控能力。
