思科全球副總裁、大中華區(qū)首席技術(shù)官 曹圖強(qiáng)

據(jù)Gartner調(diào)查，到2019年，超過80%的企業(yè)流量將被加密，這意味著加密是一把雙刃劍，保護(hù)隱私的同時，也會隱藏惡意軟件，對網(wǎng)絡(luò)安全帶來隱患。通常處理加密流量的手段是解密流量，并使用防火墻等設(shè)備查看流量。但這種方法存在弊端，例如耗時較長，需要在網(wǎng)絡(luò)中添加額外設(shè)備。思科發(fā)布了新一代的網(wǎng)絡(luò)，其中最大的亮點(diǎn)是Catalyst 9000交換機(jī)組合，內(nèi)置了加密流量分析技術(shù)，可以在不用解密流量或破壞數(shù)據(jù)隱私的情況下，發(fā)現(xiàn)加密流量中的威脅。

曹圖強(qiáng)談道，業(yè)界都認(rèn)為加密流量分析是不可實(shí)現(xiàn)的，因?yàn)樵诩用芰髁恐心憧床坏饺魏螖?shù)據(jù)。在看不到數(shù)據(jù)的情況下，你如何進(jìn)行分析？這也是近50%勒索軟件的流量都是加密的原因，目的就是不讓你知道它是一個勒索軟件。所以為了研發(fā)加密流量分析技術(shù)，思科確實(shí)進(jìn)行了很大投資。

思科Talos團(tuán)隊(duì)研究了數(shù)百萬不同流量上的惡意流量和良性流量在使用TLS、DNS和HTTP方面的差異，運(yùn)用大數(shù)據(jù)分析提煉出惡意軟件的特征，最終取得了這項(xiàng)技術(shù)成果，這在安全領(lǐng)域是顛覆性的成功。這項(xiàng)技術(shù)可從加密數(shù)據(jù)包的3個特征發(fā)現(xiàn)異常。第一是初始數(shù)據(jù)包，第二是數(shù)據(jù)包長度和時間的順序，第三是數(shù)據(jù)包的有效載荷上的字節(jié)分布。

曹圖強(qiáng)表示，目前思科的技術(shù)能夠?qū)崿F(xiàn)對加密流量進(jìn)行準(zhǔn)確性高達(dá)99%的威脅檢測，同時實(shí)現(xiàn)低于0.01%的誤報率，這在安全領(lǐng)域里是一個顛覆性的突破。

Catalyst 9000交換機(jī)組合除了加密流量分析技術(shù)外，在硬件和軟件層也進(jìn)行了革新。思科把交換機(jī)將作為一個新的IT平臺，這個新IT平臺可以支持物聯(lián)網(wǎng)、云計算，支持智能的網(wǎng)絡(luò)。

曹圖強(qiáng)具體談到了Catalyst 9000交換機(jī)組合的優(yōu)勢：第一，可編程的ASIC能夠適應(yīng)未來創(chuàng)新的要求，這是芯片技術(shù)的重大創(chuàng)新；第二，可以幫助網(wǎng)絡(luò)發(fā)現(xiàn)并阻斷最復(fù)雜的網(wǎng)絡(luò)攻擊；第三，能夠?qū)⑽锫?lián)網(wǎng)設(shè)備與其他流量隔離；第四，能夠托管無線控制器，并支持諸如802.11ax等全新無線標(biāo)準(zhǔn)；第五，能夠在內(nèi)置的x86計算綜合設(shè)施上托管第三方應(yīng)用，使客戶能在容器或虛擬機(jī)中運(yùn)行其應(yīng)用。