ETI：最有前景的加密流量檢測方法

如今，加密流量的使用越來越多——攻擊者也不例外。鑒于攻擊者會利用加密流量隱藏攻擊、植入惡意軟件和勒索軟件，以及利用加密流量繞過邊界檢測系統傳輸惡意內容，企業無法忽視加密流量中隱藏的威脅。

但是，很多網絡安全從業人員發現，識別并阻止加密流量威脅需要對加密流量本身有一定的可視化能力——而這一般需要解密并檢查加密流量，這一過程往往很復雜。解密的設備即昂貴，又難以部署，同時還需要有一定能力的人去配置和管理。即使在理想狀態下，對遠程使用者和數據中心網絡安全堆棧之間的流量進行檢查也在越發不可靠。

因此，一般對于企業而言，發現入站加密流量中的威脅往往很復雜，而且成本較高；不過除了解密加密流量之外，還有一種新的方法可以檢測加密流量，而且能減少一定的困難。

近日，Omdia發布了一份新的研究《網絡流量解密和風險管理基礎》（Fundamentals of Network Traffic Decryption and Risk Management）中講解了一些關于入站加密流量風險相關的現有以及發展中的技術。其中，有三個關鍵發現：

• Omdia估算，至少有70%到80%的企業入站流量是加密的。

• 大部分企業并不解密入站流量，從而給攻擊者提供了大量的機會。

• 即使少部分進行解密的企業，他們的解密方式可能很快就不可行了。原因包括傳統基于代理的解密技術局限的擴展性，以及在新的TLS 1.3加密標準中的改變給現有的解密方式帶來的沖擊。

不過好消息是，也有新的技術出現來解決加密流量風險問題。有些解密方式通過云端IAP（identity-aware proxy）進行，還有一種被稱為“會話密鑰轉發”的方式從主機內存中獲取加密密鑰對，而不需要給處理器巨大的工作量進行代理會話、獲取密鑰以及重加密會話工作。這兩種方法對傳統的解密方式而言都是不錯的替代品。

但是，在所有的新方法中，加密流量推斷（encrypted traffic inference, ETI）可能是最有前景的方式。ETI解決方案通過分析加密流量的不同方面，在不解密的情況下判斷他們是否惡意。

ETI技術是基于2016年思科研究者首次提出的概念實現的，通過獲取加密流量中的數據屬性——比如DNS元數據、TLS握手元數據、HTTP包頭等，然后分析其中的模式發現是否存在惡意行為。

包括思科、Juniper、Barac、NTA廠商Corelight、NDR廠商IronNet在內的數個廠商都已經能提供一定的ETI能力。

盡管說ETI技術看上去很不錯，但依然很不成熟。企業才剛剛開始使用這項技術，因此，ETI究竟能否穩定、長久地識別加密的惡意流量，同時ROI是否穩定，還需要時間來證明。

即使如此，企業也不能忽略了ETI所存在的潛力。Omdia相信，未來加密流量風險管理的最佳實踐很可能是ETI與解密技術融合。舉例而言，企業可以使用ETI解決方案對入站流量做一個第一步檢測。大部分流量會被認為是安全的，但依然有一小部分流量會被判定為可疑流量——這部分流量就會被解密做深度包檢測。這樣的結合會減少對解密的需求，降低解密相關的成本，并且在日益混合的架構中實現更靈活的部署。

Omdia建議企業優化自身對于加密流量解密和管理的商業戰略和技術能力，尤其是關注ETI以及其他新興技術在減少成本以及運營繁瑣性方面的潛力，從而確保入站加密流量不再是一個網絡安全盲點。