“ DT時代，加密是數(shù)據(jù)傳輸?shù)闹匾Ｗo手段，但也成為黑客攻擊的最佳隱藏手段，是我們必須警惕的‘灰犀?！??！痹?月13日奇安信集團舉辦的流量解密編排器新品發(fā)布會上，奇安信集團董事長齊向東表示，在加密流量這只“灰犀?！泵媲?，解密編排成為DT時代的安全基石，能夠幫助政企客戶解決加密流量攻擊帶來的巨大威脅。 

 

在2021年北京網(wǎng)絡安全大會上，齊向東曾分享了一個觀點：人類社會從IT時代進入了DT時代。在數(shù)據(jù)量爆發(fā)式增長的DT時代，數(shù)據(jù)安全成為網(wǎng)絡安全的首要任務，而加密成為數(shù)據(jù)傳輸?shù)谋剡x項。工信部最近發(fā)布的《數(shù)據(jù)傳輸安全白皮書》明確指出，傳輸?shù)臄?shù)據(jù)不能明文，這是數(shù)據(jù)傳輸安全最基本的要求。

Google的報告顯示，當前互聯(lián)網(wǎng)加密流量超過90%。據(jù)估計，企業(yè)內(nèi)部80%是加密流量。與之對應的是，加密成為黑客最常用的攻擊手段。Gartner統(tǒng)計,在2020年就有超過70%的網(wǎng)絡攻擊使用加密流量。國外機構(gòu)的最新調(diào)研報告顯示，超過95%的企業(yè)明確表示遭遇過加密流量攻擊。保守估計，加密流量攻擊造成的全球損失達到上萬億美元。 

齊向東認為，相對于概率小、不可預測的黑天鵝，灰犀牛事件發(fā)生概率大、可預測。加密技術(shù)給網(wǎng)絡安全帶來的風險就是“灰犀?！?，人們往往會掉以輕心，以至于錯失最佳處理時機，最終釀成嚴重后果。在加密流量這只“灰犀?！泵媲埃饷芎途幣懦闪薉T時代的安全基石。沒有解密和編排，數(shù)據(jù)保護就如同空中樓閣，部分安全設備形同虛設，安全建設、升級、運維的效果也會大打折扣，運營成本巨大。

齊向東表示，目前我國網(wǎng)絡安全建設在解密和部署方面，還存在三方面不足。第一是盲點多，SSL加解密過程會嚴重消耗CPU的計算性能，導致很多加密流量來不及解密就通過了，而旁路偵聽的流量威脅檢測設備無法對大部分加密流量進行旁路解密，導致流量盲點普遍存在；第二是效率低，目前安全設備的部署模式，當一個設備對SSL流量進行解密后，下個設備接收的依舊不是明文流量，還要繼續(xù)解密，造成不必要的資源浪費，業(yè)務效率低下。第三是成本高，傳統(tǒng) “糖葫蘆串”的安全部署架構(gòu)，任何一個設備發(fā)生故障，都會有可能引起全網(wǎng)故障，損失難以承受。擴展性差、升級維護難，增加了業(yè)務中斷成本。

為了解決這些問題，奇安信基于鯤鵬平臺的高效研發(fā)能力，結(jié)合北京冬奧網(wǎng)絡安全保障實踐，打造出了國內(nèi)首創(chuàng)的解密編排方案，它具備三大亮點。

首先是軟硬結(jié)合的高性能解密，消除盲點檢測更全面。通過和英特爾等芯片硬件廠商的合作，新產(chǎn)品搭載硬件加速卡，并配合自研的異步調(diào)用技術(shù)，真正實現(xiàn)了軟硬合一，理論上可以將解密性能提升10倍以上，讓加密流量檢測更全面、更準確、更及時。

其次是高性能解密結(jié)合智能編排技術(shù)，顯著提高效率。奇安信首創(chuàng)了智能化服務鏈編排技術(shù)，可實現(xiàn)“一臺設備成功解密，多臺設備成果共享”，極大降低網(wǎng)絡負載和資源消耗，大幅提升加解密效率。

最后是通過安全能力資源池化和服務化，極大降低成本。奇安信重構(gòu)安全設備的傳統(tǒng)部署架構(gòu)，通過網(wǎng)元組、負載分擔、健康監(jiān)測、流量編排等技術(shù)手段，實現(xiàn)了安全設備資源池化，讓整個安全設備的部署架構(gòu)更有彈性，具備動態(tài)擴容的能力。安全資源池能兼容各個廠商的安全設備，支持多樣化專業(yè)的安全組件，實現(xiàn)安全能力快速擴展；還能依靠獨特的探測機制保障業(yè)務連續(xù)性，從而大大降低總體成本。

齊向東表示，奇安信推出的流量解密編排器新品，不僅能解決邊界安全問題，更能為整個DT時代夯實網(wǎng)絡安全防線，避免“灰犀牛”事件的發(fā)生。（雷峰網(wǎng)(公眾號：雷峰網(wǎng))）

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。