思科的加密流量分析(ETA),一个监控网络数据包元数据以检测恶意流量的软件平台,现在普遍可用,即使它是加密的。
该公司于2017年6月在其基于意图的网络战略发布期间首次发布了ETA,此后一直在私下预览。今天,思科推出了ETA,而不仅仅是最初为企业交换机设计的,它还可以在当前和上一代数据中心网络硬件上使用。2020欧洲杯预赛
+更多在网络世界足球竞猜app软件:基于意图的网络是什么?|为什么基于网络的网络可能是一个很大的交易+
思科
思科的加密流量分析使用一款名为Stealthwatch的软件,将良性和恶意网络数据包的元数据与已识别的恶意流量进行比较,即使这些流量是加密的。
什么ETA是
加密流量分析是一种部署在客户场所的产品,用于监控他们的网络并收集流量信息。它使用一系列遍布网络的传感器来筛选所有通过网络的流量。ETA使用本地分析引擎和云平台的组合,云平台分析匿名的网络流量元数据,以搜索和阻止恶意流量,即使这些流量是加密的。
思科在其意图的网络(IBN)策略卷栏期间启动了ETA,因为它使用了公司为IBN开发的一些高级软件,包括演变以防止改变漏洞的机器学习组件。
eta如何工作
ETA使用修改版本的NetFlow收集有关流量流的元数据,并搜索表明流量可能是恶意的特征。它检查以明文(甚至在加密流量中)转换的初始数据包。它还会记录包的大小、形状和顺序,以及它们在网络中移动的时间,还会监控其他可疑特征,比如自签名证书,或者上面是否有命令和控制标识符。
所有这些数据都可以在流量上收集,即使它是加密的。思科在一篇宣布ETA的博客文章中解释道:“ETA利用网络可见性和多层机器学习来寻找良性和恶意通信之间的明显区别。”
如果在任何数据包中识别恶意流量的特征,则通过深度数据包检查和现有的安全设备如防火墙这样的潜在阻止,将它们标记为进一步的Ian分析。
埃塔的监控系统被命名为StealthWatch,基于云的数据存储被命名为Talos。同时,如果流量被认定为恶意,ETA可以将其报告给思科的DNA中心网络管理软件,以确保整个网络的流量都被阻塞。思科表示,它使用机器学习算法训练ETA寻找新的漏洞,并适应不断变化的漏洞。
思科高级副总裁兼企业网络总经理Scott Harrell解释说:“当你在做安全工作时,能见度越高越好。”“你需要大量的数据,不仅仅是实时发生的事情,还有历史上发生过的事情。很多时候,在安全部门,在你意识到有火之前就已经冒烟了。”
Harrell说,如果已经识别出潜在的恶意通信,那么诸如哪个主机发起了对话以及交换了什么信息等信息对于确定问题的范围非常重要。
为什么埃塔会成为一个大事件
越来越多的流量是加密的。思科表示,思科估计网络上的55%的流量是加密的,这是Gartner预测将增加到80%的人数将增加到80%。同时,高达41%的黑客使用加密来逃避检测。
组织使用一系列选项来确保其网络中加密流量的安全性。这些方法中的大多数使用下一代防火墙,深度数据包检查(DPI)或安全套接字层(SSL)检查。Harrell表示,这些工具需要某种权衡。例如,SSL检查,例如,拦截和解密流量,以确定它是否是恶意的,只有在确认是安全的情况下,才能完成连接。恶意软件可以感染SSL检查,让它变得脆弱。Harell认为,解密所有流量的低效,然后在允许用户访问它之前重新加密它。思科表示,它是第一批开发方法来监控加密流量的漏洞的公司。
物联网安全
哈勒尔说,埃塔在物联网领域也很重要。ETA能够监控加密流量的元数据,这意味着它可以分析所有的物联网流量,而不必在每个小尺寸物联网设备上安装防火墙等安全工具。
思科表示,ETA还有另一个好处:加密合规。出于监管原因,一些组织被要求使用特定级别的加密。ETA,通过其分析元数据的使用,可以提供被使用的某些级别和类型的加密的证明。
如何购买eta
ETA目前普遍可用,可在数据中心、校园和分支办公室硬件上使用,包括Catalyst 9000交换线、前一代和当前一代集成服务路2020欧洲杯预赛由器(ISR)、聚合服务路由器(ASR)和云服务路由器(CSR)。ETA包括购买这些硬件设备,以及订购思科ONE软件,其中包括Stealthwatch。