超7成網(wǎng)絡攻擊用加密“隱身”，奇安信發(fā)布國內首款流量解密編排器

9月13日消息（董寒雪）“通過搭載硬件加速卡，并配合自研的異步調用技術，我們理論上可以將解密性能提升10倍以上，并通過智能編排實現(xiàn)‘一臺設備成功解密，多臺設備共享明文’?！?月13日，奇安信集團在京舉辦流量解密編排器新品發(fā)布會。在發(fā)布會上，奇安信集團董事長齊向東表示，奇安信基于鯤鵬平臺的高效研發(fā)能力，正式發(fā)布國內首款集高性能解密和智能編排技術于一體的邊界安全新品——流量解密編排器，解決DT時代客戶面臨的加密攻擊威脅，以及對彈性部署架構和動態(tài)擴容能力的需求。

圖：奇安信集團董事長齊向東

奇安信集團副總裁、首席架構師兼邊界安全BG負責人吳亞東，奇安信集團副總裁、北京冬奧組委技術部高級專家張翀斌，英特爾中國區(qū)網(wǎng)絡通信部技術專家王景佳，奇安信集團冬奧保障總架構師尹智清等嘉賓出席了本次新品發(fā)布會，分別從流量加解密和邊界安全的技術變遷，以及流量解密編排在國家實戰(zhàn)攻防演習、北京冬奧網(wǎng)絡安全保障中的實踐等角度，全面剖析了流量解密編排器的技術創(chuàng)新和客戶價值。

90%流量加密，70%攻擊利用加密“隱身”

齊向東表示，DT時代，加密成為數(shù)據(jù)保護的重要手段，為了避免數(shù)據(jù)在流轉過程中被中斷、被截獲、被篡改、被偽造，利用加密流量進行數(shù)據(jù)傳輸已經(jīng)成為主流。Google的報告顯示，當前互聯(lián)網(wǎng)加密流量超過90%。據(jù)估計，企業(yè)內部至少80%采用加密流量傳輸，這些數(shù)字仍會保持快速增長。

然而，成也加密，敗也加密。加密技術目前正在被惡意者廣泛利用，成為了黑客攻擊的重要手段，甚至成為當前網(wǎng)絡空間的最大威脅之一。Gartner統(tǒng)計,在2020年就有超過70%的網(wǎng)絡攻擊使用加密流量。根據(jù)ESG機構的調研報告顯示,超過95%的企業(yè)明確表示遭遇過由于加密流量引起的安全事件。從今年國家舉行的實戰(zhàn)攻防演習來看，有超過半數(shù)攻擊手段都利用加密流量。保守估計，因加密流量攻擊造成的全球損失或達萬億美元。

齊向東指出，國內現(xiàn)有加解密應對方案仍存在一些不足。首先是 “盲點”多，解密性能弱導致攻擊“漏網(wǎng)”，在SSL加解密極高消耗計算資源的情況下，很多加密流量來不及解密就通過了；其次是效率低，重復加解密造成了浪費，由于多個安全設備都在進行加解密，不僅會造成不必要的資源浪費，更導致性能下降和業(yè)務效率低下；最后是成本高，單點故障多擴展性差，類似“糖葫蘆串”的傳統(tǒng)安全架構，如果任何一個安全設備發(fā)生故障或升級擴容時，很容易出現(xiàn)斷網(wǎng)情況，業(yè)務中斷的損失很難承受。

“黑天鵝發(fā)生概率小、不可預測；灰犀牛發(fā)生概率大、可預測，加密技術給DT時代帶來的風險就是‘灰犀?！?，亟待我們警惕?！饼R向東談到。

解編合一、軟硬結合 解密能力提升10倍以上

“不做解密的安全分析，就如同盲人摸象！”吳亞東表示。善于“隱身”的加密攻擊給安全體系提出新的挑戰(zhàn)：不僅是“看得見”，更要“看得清”才能防得住威脅。對此，奇安信正式對外發(fā)布國內首款流量解密編排器，解決盲點多、效率低、成本高三大挑戰(zhàn)。

圖：奇安信集團副總裁、首席架構師兼邊界安全BG負責人吳亞東

首先是通過異步調用和硬件解密技術，實現(xiàn)解密能力提升10倍以上。吳亞東認為，純軟件形式的安全產(chǎn)品，SSL加解密能力普遍較低，極易出現(xiàn)性能不足、檢測不全的問題。奇安信通過搭載硬件加速卡，并配合自研的異步調用技術，理論上可以將SSL解密性能提升10倍以上，讓加密流量檢測更全面、更準確、更及時。

圖：英特爾中國區(qū)網(wǎng)絡通信部技術專家王景佳

英特爾中國區(qū)網(wǎng)絡通信部技術專家王景佳在發(fā)布會表示，從云到邊緣，安全無處不在。作為全球領先的芯片廠商，英特爾針對網(wǎng)絡安全和數(shù)據(jù)存儲推出了QuickAssistTechnology（簡稱QAT）硬件加速技術,可很大程度地提升服務器處理網(wǎng)絡安全及數(shù)據(jù)壓縮的計算性能，并有效減少服務器CPU的負載。未來，英特爾將奇安信作為最重要的合作伙伴之一，持續(xù)提供業(yè)內領先的硬件級高性能SSL解密技術。

二是擺脫效率缺陷，實現(xiàn)一次解密、多次檢測。奇安信首創(chuàng)了智能化服務鏈編排技術，能把不同類型的數(shù)據(jù)流量進行分類和引流，讓特定的流量，穿過不同的安全工具進行檢查。同時，它在旁路鏈和串接鏈之間搭建了一條服務鏈，能夠將明文報文分發(fā)至服務鏈上的各個安全設備，從而實現(xiàn)“一臺設備成功解密，多臺設備成果共享”，極大降低網(wǎng)絡負載和資源消耗，大幅提升了加解密效率。

圖：流量解密編排器的核心優(yōu)勢

三是跳出成本困局，實現(xiàn)靈活部署、降本增效。奇安信通過重構安全設備的傳統(tǒng)部署架構，實現(xiàn)了安全設備資源池化，能兼容不同廠商、不同種類的安全組件，還能依靠獨特的探測機制保障業(yè)務連續(xù)性，從而大大降低總體成本。

從國家級實戰(zhàn)演習到北京冬奧 流量解密編排器屢立戰(zhàn)功

“近年來，利用流量加密來進行‘隱身’的攻擊不斷出現(xiàn)，極大增加了防守隊的威脅檢測難度?！?作為每年數(shù)百場國家級實戰(zhàn)攻防演習的組織者和參與者，張翀斌這樣表示。

圖：奇安信集團副總裁、北京冬奧組委技術部高級專家張翀斌

張翀斌以今年某大型央企舉行的國家級攻防演習為例，闡述了流量解密編排器在實戰(zhàn)中發(fā)揮的關鍵作用。“該大型央企內網(wǎng)的加密流量接近60%左右；同時在加密環(huán)境下，安全設備檢測能力下降高達80%，多種安全檢測和分析設備都需要解密后的明文流量，這迫切要求該央企必須全面無死角的覆蓋所有加密流量，對集團下屬企業(yè)實現(xiàn)統(tǒng)一的安全監(jiān)測與防護?！?/p>

該央企部署了12套流量解密編排器對加密流量進行解密，通過透明模式部署，使得整體過程對用戶透明無感知，并借助自身強大的服務鏈編排能力，實現(xiàn)一次解密、多次編排使用，大大提高流量解密處理效率，助力該央企在實戰(zhàn)攻防演習中取得優(yōu)異成績。

圖：奇安信集團冬奧保障總架構師尹智清

而在2022年北京冬奧網(wǎng)絡安全保障中，解編合一的優(yōu)勢體現(xiàn)得淋漓盡致。尹智清表示，冬奧業(yè)務組網(wǎng)中全部采用加密方式進行網(wǎng)絡數(shù)據(jù)傳輸，而流量分析設備不能對關鍵業(yè)務的加密流量進行威脅分析。同時，骨干網(wǎng)互聯(lián)網(wǎng)出口傳統(tǒng)的網(wǎng)絡部署為多設備依次串聯(lián)方式，在升級軟件、新增設備接入及設備擴容時易出現(xiàn)斷網(wǎng)情況，在冬奧這樣注重業(yè)務連續(xù)性的重大體育活動中是難以承受的。

為解決這些問題，奇安信在關鍵區(qū)域部署了高性能的流量解密編排器，通過SSL解密功能對密文流量進行解密，實現(xiàn)了解密與編排融合，網(wǎng)關產(chǎn)品和檢測分析平臺的聯(lián)防聯(lián)控、高效檢測。

權威機構統(tǒng)計，邊界安全作為網(wǎng)絡安全行業(yè)規(guī)模最大的賽道，整體規(guī)模在200億以上,堪稱頭部廠商的“兵家必爭之地”。而流量解密編排器的發(fā)布，標志著邊界安全將進入新的一輪技術創(chuàng)新周期，更高效的解密技術，更智能化的編排，將會驅動這個“超級賽道”繼續(xù)保持高速增長，進而帶動網(wǎng)絡安全行業(yè)的整體繁榮。

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。