超7成网络攻击用加密“隐身” 奇安信发布国内首款流量解密编排器

安全
9月13日,奇安信集团在京举办流量解密编排器新品发布会。在发布会上,奇安信集团董事长齐向东表示,奇安信基于鲲鹏平台的高效研发能力,正式发布国内首款集高性能解密和智能编排技术于一体的边界安全新品——流量解密编排器,解决DT时代客户面临的加密攻击威胁,以及对弹性部署架构和动态扩容能力的需求。

“通过搭载硬件加速卡,并配合自研的异步调用技术,我们理论上可以将解密性能提升10倍以上,并通过智能编排实现‘一台设备成功解密,多台设备共享明文’。”9月13日,奇安信集团在京举办流量解密编排器新品发布会。在发布会上,奇安信集团董事长齐向东表示,奇安信基于鲲鹏平台的高效研发能力,正式发布国内首款集高性能解密和智能编排技术于一体的边界安全新品——流量解密编排器,解决DT时代客户面临的加密攻击威胁,以及对弹性部署架构和动态扩容能力的需求。

图:奇安信集团董事长齐向东

奇安信集团副总裁、首席架构师兼边界安全BG负责人吴亚东,奇安信集团副总裁、北京冬奥组委技术部高级专家张翀斌,英特尔中国区网络通信部技术专家王景佳,奇安信集团冬奥保障总架构师尹智清等嘉宾出席了本次新品发布会,分别从流量加解密和边界安全的技术变迁,以及流量解密编排在国家实战攻防演习、北京冬奥网络安全保障中的实践等角度,全面剖析了流量解密编排器的技术创新和客户价值。

90%流量加密,70%攻击利用加密“隐身”  

齐向东表示,DT时代,加密成为数据保护的重要手段,为了避免数据在流转过程中被中断、被截获、被篡改、被伪造,利用加密流量进行数据传输已经成为主流。Google的报告显示,当前互联网加密流量超过90%。据估计,企业内部至少80%采用加密流量传输,这些数字仍会保持快速增长。

然而,成也加密,败也加密。加密技术目前正在被恶意者广泛利用,成为了黑客攻击的重要手段,甚至成为当前网络空间的最大威胁之一。Gartner统计,在2020年就有超过70%的网络攻击使用加密流量。根据ESG机构的调研报告显示,超过95%的企业明确表示遭遇过由于加密流量引起的安全事件。从今年国家举行的实战攻防演习来看,有超过半数攻击手段都利用加密流量。保守估计,因加密流量攻击造成的全球损失或达万亿美元。

齐向东指出,国内现有加解密应对方案仍存在一些不足。首先是 “盲点”多,解密性能弱导致攻击“漏网”,在SSL加解密极高消耗计算资源的情况下,很多加密流量来不及解密就通过了;其次是效率低,重复加解密造成了浪费,由于多个安全设备都在进行加解密,不仅会造成不必要的资源浪费,更导致性能下降和业务效率低下;最后是成本高,单点故障多扩展性差,类似“糖葫芦串”的传统安全架构,如果任何一个安全设备发生故障或升级扩容时,很容易出现断网情况,业务中断的损失很难承受。  

“黑天鹅发生概率小、不可预测;灰犀牛发生概率大、可预测,加密技术给DT时代带来的风险就是‘灰犀牛’,亟待我们警惕。”齐向东谈到。  

解编合一、软硬结合 解密能力提升10倍以上

“不做解密的安全分析,就如同盲人摸象!”吴亚东表示。善于“隐身”的加密攻击给安全体系提出新的挑战:不仅是“看得见”,更要“看得清”才能防得住威胁。对此,奇安信正式对外发布国内首款流量解密编排器,解决盲点多、效率低、成本高等三大挑战。

图:奇安信集团副总裁、首席架构师兼边界安全BG负责人吴亚东

首先是通过异步调用和硬件解密技术,实现解密能力提升10倍以上。吴亚东认为,纯软件形式的安全产品,SSL加解密能力普遍较低,极易出现性能不足、检测不全的问题。奇安信通过搭载硬件加速卡,并配合自研的异步调用技术,真正实现了软硬合一,理论上可以将SSL解密性能提升10倍以上,让加密流量检测更全面、更准确、更及时。

图:英特尔中国区网络通信部技术专家王景佳

英特尔中国区网络通信部技术专家王景佳在发布会表示,从云到边缘,安全无处不在。作为全球领先的芯片厂商,英特尔针对网络安全和数据存储推出了QuickAssistTechnology(简称QAT)硬件加速技术,可很大程度地提升服务器处理网络安全及数据压缩的计算性能,并有效减少服务器CPU的负载。该技术配合奇安信独创的智能解密引擎,可真正实现“软硬合一”的高性能流量解密。未来,英特尔将奇安信作为最重要的合作伙伴之一,持续提供业内领先的硬件级高性能SSL解密技术。

二是摆脱效率缺陷,实现一次解密、多次检测。奇安信首创了智能化服务链编排技术,能把不同类型的数据流量进行分类和引流,让特定的流量,穿过不同的安全工具进行检查。同时,它在旁路链和串接链之间搭建了一条服务链,能够将明文报文分发至服务链上的各个安全设备,从而实现“一台设备成功解密,多台设备成果共享”,极大降低网络负载和资源消耗,大幅提升了加解密效率。

图:流量解密编排器的核心优势

三是跳出成本困局,实现灵活部署、降本增效。奇安信通过重构安全设备的传统部署架构,实现了安全设备资源池化,让整个安全设备的部署架构更有弹性,同时具备动态扩容能力。安全资源池能兼容不同厂商、不同种类的安全组件,还能依靠独特的探测机制保障业务连续性,从而大大降低总体成本。

从国家级实战演习到北京冬奥 流量解密编排器屡立战功

“近年来,利用流量加密来进行‘隐身’的攻击不断出现,极大增加了防守队的威胁检测难度。” 作为每年数百场国家级实战攻防演习的组织者和参与者,张翀斌这样表示。

图:奇安信集团副总裁、北京冬奥组委技术部高级专家张翀斌

张翀斌以今年某大型央企举行的国家级攻防演习为例,阐述了流量解密编排器在实战中发挥的关键作用。“该大型央企内网的加密流量接近60%左右;同时在加密环境下,安全设备检测能力下降高达80%,多种安全检测和分析设备都需要解密后的明文流量,这迫切要求该央企必须全面无死角的覆盖所有加密流量,对集团下属企业实现统一的安全监测与防护。”

该央企部署了12套流量解密编排器对加密流量进行解密,通过透明模式部署,使得整体过程对用户透明无感知,并借助自身强大的服务链编排能力,实现一次解密、多次编排使用,大大提高流量解密处理效率,助力该央企在实战攻防演习中取得优异成绩。

图:奇安信集团冬奥保障总架构师尹智清

而在2022年北京冬奥网络安全保障中,解编合一的优势体现得淋漓尽致。尹智清表示,冬奥业务组网中全部采用加密方式进行网络数据传输,而流量分析设备不能对关键业务的加密流量进行威胁分析。同时,骨干网互联网出口传统的网络部署为多设备依次串联方式,在升级软件、新增设备接入及设备扩容时易出现断网情况,在冬奥这样注重业务连续性的重大体育活动中是难以承受的。

为解决这些问题,奇安信在关键区域部署了高性能的流量解密编排器,通过SSL解密功能对密文流量进行解密,实现了解密与编排融合,网关产品和检测分析平台的联防联控、高效检测。针对冬奥网络环境串联部署的升级扩容难题,通过在骨干网互联网出口部署流量解密编排器进行服务链编排操作,利用安全资源池的方式进行弹性扩容,消除断网影响,保障业务连续性,实现真正的“零事故”、“零故障”。

结束语:

权威机构统计,边界安全作为网络安全行业规模最大的赛道,整体规模在200亿以上,堪称头部厂商的“兵家必争之地”。而流量解密编排器的发布,标志着边界安全将进入新的一轮技术创新周期,更高效的解密技术,更智能化的编排,将会驱动这个“超级赛道”继续保持高速增长,进而带动网络安全行业的整体繁荣。 

责任编辑:鸢玮 来源: 奇安信
相关推荐

2010-11-26 15:46:34

虹安浏览器数据防护系统

2020-04-02 20:36:57

浏览器奇安信

2022-03-25 14:21:04

APT漏洞安全

2016-10-17 09:20:20

2009-03-18 18:18:48

Nehalem服务器思科

2018-05-04 13:31:00

人工智能芯片云端

2022-01-20 17:14:24

网络安全应急响应

2018-09-07 17:42:32

华为云

2024-06-07 11:16:27

2020-12-11 11:00:21

安全网关

2012-07-23 16:04:00

华硕

2014-12-08 09:07:42

2016-03-05 20:47:36

2020-07-22 11:33:25

网络安全奇安信

2012-02-09 16:29:29

奥哲H3BPM

2023-07-10 15:50:51

2014-12-19 09:46:44

透视宝

2009-06-08 10:25:54

微软Windows 7操作系统
点赞
收藏

51CTO技术栈公众号