恶意行为者越来越多地使用加密流量来掩盖网络威胁。Gartner指出,2019年进行的网络攻击中有60%利用加密,而到2020年,这一数字将上升到70%。了解安全解决方案如何识别或阻止SSL流量中的威胁非常重要,因为许多工具无法做到这一点。我们总结了安全解决方案如何与加密的网络流量一起使用。
加密网络流量的挑战
加密保护运动中的敏感数据的机密性和隐私性。但是,加密也对网络安全产品构成了挑战。如果这些产品无法检查连接的有效负载,则它们将失去检测和响应威胁的能力。
加密数据的兴起
Internet上加密的使用已急剧增加。例如,《 Google透明度报告》显示,互联网上加密的网络流量的比例一直在稳定增长,从五年前的大约50%增长到如今的80%至90%。
尽管“内部”(组织的网络和数据中心内)的加密流量百分比较低,但是诸如零信任网络体系结构之类的计划可能会增加采用加密来保护内部数据安全的组织数量。因此,重要的是要了解在存在无处不在的加密流量的情况下,网络安全产品如何能够提供可见性和保护。
对流量进行加密可防止网络安全产品检查有效负载。这意味着他们既无法利用签名来检测已知威胁,也无法提取对象(例如文件或文档),然后再将其提交到沙箱进行更深入的分析。尽管这会影响基于网络的产品的有效性,但这并不意味着网络安全性已过时。用户仍然需要只有网络才能提供的完整覆盖范围,上下文和确定性。但是,用户需要适当的解决方案来获取这些资源。
克服挑战:最后防线
我们是一个网络检测和响应平台,可以检测并包含复杂的威胁。它通过将无监督机器学习(ML)应用于网络流量以检测异常,使用监督的ML创建恶意网络活动的分类器,并利用其全球威胁情报网络扫描流量中的已知恶意软件有效载荷,来做到这一点。
使用两种方法来成功处理加密通信:解密网络流量和分析加密流量。
分析加密流量
即使Sensor无法访问解密的流量和有效负载,我们仍可提供有效的防护以防止恶意活动。为此,我们的解决方案检查并使用流量(连接)元数据,并利用以下三种检测技术:异常检测,威胁情报以及威胁和加密流量分析指标。
解密网络流量
组织有许多原因来检查网络流量内容,从合规性到策略实施和安全性。例如,组织可以监视传出的数据以检测敏感信息的存在,确保员工仅从其工作计算机访问可接受的网站,并了解受损主机是否连接到命令与控制(C&C)站点。为了实现这些目标,许多组织已部署了检测点,这些检测点破坏了打开的加密连接并允许安全产品分析有效负载。我们支持这些检测点,包括Web代理,TLS终止代理,邮件传输代理和活动TLS拦截。