“ DT時(shí)代，加密是數(shù)據(jù)傳輸?shù)闹匾Ｗo(hù)手段，但也成為黑客攻擊的最佳隱藏手段，是我們必須警惕的‘灰犀牛’?！痹?月13日奇安信集團(tuán)舉辦的流量解密編排器新品發(fā)布會(huì)上，奇安信集團(tuán)董事長(zhǎng)齊向東表示，在加密流量這只“灰犀?！泵媲埃饷芫幣懦蔀镈T時(shí)代的安全基石，能夠幫助政企客戶(hù)解決加密流量攻擊帶來(lái)的巨大威脅。 

 

在2021年北京網(wǎng)絡(luò)安全大會(huì)上，齊向東曾分享了一個(gè)觀點(diǎn)：人類(lèi)社會(huì)從IT時(shí)代進(jìn)入了DT時(shí)代。在數(shù)據(jù)量爆發(fā)式增長(zhǎng)的DT時(shí)代，數(shù)據(jù)安全成為網(wǎng)絡(luò)安全的首要任務(wù)，而加密成為數(shù)據(jù)傳輸?shù)谋剡x項(xiàng)。工信部最近發(fā)布的《數(shù)據(jù)傳輸安全白皮書(shū)》明確指出，傳輸?shù)臄?shù)據(jù)不能明文，這是數(shù)據(jù)傳輸安全最基本的要求。

Google的報(bào)告顯示，當(dāng)前互聯(lián)網(wǎng)加密流量超過(guò)90%。據(jù)估計(jì)，企業(yè)內(nèi)部80%是加密流量。與之對(duì)應(yīng)的是，加密成為黑客最常用的攻擊手段。Gartner統(tǒng)計(jì),在2020年就有超過(guò)70%的網(wǎng)絡(luò)攻擊使用加密流量。國(guó)外機(jī)構(gòu)的最新調(diào)研報(bào)告顯示，超過(guò)95%的企業(yè)明確表示遭遇過(guò)加密流量攻擊。保守估計(jì)，加密流量攻擊造成的全球損失達(dá)到上萬(wàn)億美元。 

齊向東認(rèn)為，相對(duì)于概率小、不可預(yù)測(cè)的黑天鵝，灰犀牛事件發(fā)生概率大、可預(yù)測(cè)。加密技術(shù)給網(wǎng)絡(luò)安全帶來(lái)的風(fēng)險(xiǎn)就是“灰犀?！保藗兺鶗?huì)掉以輕心，以至于錯(cuò)失最佳處理時(shí)機(jī)，最終釀成嚴(yán)重后果。在加密流量這只“灰犀?！泵媲?，解密和編排成了DT時(shí)代的安全基石。沒(méi)有解密和編排，數(shù)據(jù)保護(hù)就如同空中樓閣，部分安全設(shè)備形同虛設(shè)，安全建設(shè)、升級(jí)、運(yùn)維的效果也會(huì)大打折扣，運(yùn)營(yíng)成本巨大。

齊向東表示，目前我國(guó)網(wǎng)絡(luò)安全建設(shè)在解密和部署方面，還存在三方面不足。第一是盲點(diǎn)多，SSL加解密過(guò)程會(huì)嚴(yán)重消耗CPU的計(jì)算性能，導(dǎo)致很多加密流量來(lái)不及解密就通過(guò)了，而旁路偵聽(tīng)的流量威脅檢測(cè)設(shè)備無(wú)法對(duì)大部分加密流量進(jìn)行旁路解密，導(dǎo)致流量盲點(diǎn)普遍存在；第二是效率低，目前安全設(shè)備的部署模式，當(dāng)一個(gè)設(shè)備對(duì)SSL流量進(jìn)行解密后，下個(gè)設(shè)備接收的依舊不是明文流量，還要繼續(xù)解密，造成不必要的資源浪費(fèi)，業(yè)務(wù)效率低下。第三是成本高，傳統(tǒng) “糖葫蘆串”的安全部署架構(gòu)，任何一個(gè)設(shè)備發(fā)生故障，都會(huì)有可能引起全網(wǎng)故障，損失難以承受。擴(kuò)展性差、升級(jí)維護(hù)難，增加了業(yè)務(wù)中斷成本。

為了解決這些問(wèn)題，奇安信基于鯤鵬平臺(tái)的高效研發(fā)能力，結(jié)合北京冬奧網(wǎng)絡(luò)安全保障實(shí)踐，打造出了國(guó)內(nèi)首創(chuàng)的解密編排方案，它具備三大亮點(diǎn)。

首先是軟硬結(jié)合的高性能解密，消除盲點(diǎn)檢測(cè)更全面。通過(guò)和英特爾等芯片硬件廠商的合作，新產(chǎn)品搭載硬件加速卡，并配合自研的異步調(diào)用技術(shù)，真正實(shí)現(xiàn)了軟硬合一，理論上可以將解密性能提升10倍以上，讓加密流量檢測(cè)更全面、更準(zhǔn)確、更及時(shí)。

其次是高性能解密結(jié)合智能編排技術(shù)，顯著提高效率。奇安信首創(chuàng)了智能化服務(wù)鏈編排技術(shù)，可實(shí)現(xiàn)“一臺(tái)設(shè)備成功解密，多臺(tái)設(shè)備成果共享”，極大降低網(wǎng)絡(luò)負(fù)載和資源消耗，大幅提升加解密效率。

最后是通過(guò)安全能力資源池化和服務(wù)化，極大降低成本。奇安信重構(gòu)安全設(shè)備的傳統(tǒng)部署架構(gòu)，通過(guò)網(wǎng)元組、負(fù)載分擔(dān)、健康監(jiān)測(cè)、流量編排等技術(shù)手段，實(shí)現(xiàn)了安全設(shè)備資源池化，讓整個(gè)安全設(shè)備的部署架構(gòu)更有彈性，具備動(dòng)態(tài)擴(kuò)容的能力。安全資源池能兼容各個(gè)廠商的安全設(shè)備，支持多樣化專(zhuān)業(yè)的安全組件，實(shí)現(xiàn)安全能力快速擴(kuò)展；還能依靠獨(dú)特的探測(cè)機(jī)制保障業(yè)務(wù)連續(xù)性，從而大大降低總體成本。

齊向東表示，奇安信推出的流量解密編排器新品，不僅能解決邊界安全問(wèn)題，更能為整個(gè)DT時(shí)代夯實(shí)網(wǎng)絡(luò)安全防線，避免“灰犀?！笔录陌l(fā)生。（雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))）

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。