0
“ DT時代,加密是數據傳輸的重要保護手段,但也成為黑客攻擊的最佳隱藏手段,是我們必須警惕的‘灰犀牛’。”在9月13日奇安信集團舉辦的流量解密編排器新品發布會上,奇安信集團董事長齊向東表示,在加密流量這只“灰犀牛”面前,解密編排成為DT時代的安全基石,能夠幫助政企客戶解決加密流量攻擊帶來的巨大威脅。
在2021年北京網絡安全大會上,齊向東曾分享了一個觀點:人類社會從IT時代進入了DT時代。在數據量爆發式增長的DT時代,數據安全成為網絡安全的首要任務,而加密成為數據傳輸的必選項。工信部最近發布的《數據傳輸安全白皮書》明確指出,傳輸的數據不能明文,這是數據傳輸安全最基本的要求。
Google的報告顯示,當前互聯網加密流量超過90%。據估計,企業內部80%是加密流量。與之對應的是,加密成為黑客最常用的攻擊手段。Gartner統計,在2020年就有超過70%的網絡攻擊使用加密流量。國外機構的最新調研報告顯示,超過95%的企業明確表示遭遇過加密流量攻擊。保守估計,加密流量攻擊造成的全球損失達到上萬億美元。
齊向東認為,相對于概率小、不可預測的黑天鵝,灰犀牛事件發生概率大、可預測。加密技術給網絡安全帶來的風險就是“灰犀牛”,人們往往會掉以輕心,以至于錯失最佳處理時機,最終釀成嚴重后果。在加密流量這只“灰犀牛”面前,解密和編排成了DT時代的安全基石。沒有解密和編排,數據保護就如同空中樓閣,部分安全設備形同虛設,安全建設、升級、運維的效果也會大打折扣,運營成本巨大。
齊向東表示,目前我國網絡安全建設在解密和部署方面,還存在三方面不足。第一是盲點多,SSL加解密過程會嚴重消耗CPU的計算性能,導致很多加密流量來不及解密就通過了,而旁路偵聽的流量威脅檢測設備無法對大部分加密流量進行旁路解密,導致流量盲點普遍存在;第二是效率低,目前安全設備的部署模式,當一個設備對SSL流量進行解密后,下個設備接收的依舊不是明文流量,還要繼續解密,造成不必要的資源浪費,業務效率低下。第三是成本高,傳統 “糖葫蘆串”的安全部署架構,任何一個設備發生故障,都會有可能引起全網故障,損失難以承受。擴展性差、升級維護難,增加了業務中斷成本。
為了解決這些問題,奇安信基于鯤鵬平臺的高效研發能力,結合北京冬奧網絡安全保障實踐,打造出了國內首創的解密編排方案,它具備三大亮點。
首先是軟硬結合的高性能解密,消除盲點檢測更全面。通過和英特爾等芯片硬件廠商的合作,新產品搭載硬件加速卡,并配合自研的異步調用技術,真正實現了軟硬合一,理論上可以將解密性能提升10倍以上,讓加密流量檢測更全面、更準確、更及時。
其次是高性能解密結合智能編排技術,顯著提高效率。奇安信首創了智能化服務鏈編排技術,可實現“一臺設備成功解密,多臺設備成果共享”,極大降低網絡負載和資源消耗,大幅提升加解密效率。
最后是通過安全能力資源池化和服務化,極大降低成本。奇安信重構安全設備的傳統部署架構,通過網元組、負載分擔、健康監測、流量編排等技術手段,實現了安全設備資源池化,讓整個安全設備的部署架構更有彈性,具備動態擴容的能力。安全資源池能兼容各個廠商的安全設備,支持多樣化專業的安全組件,實現安全能力快速擴展;還能依靠獨特的探測機制保障業務連續性,從而大大降低總體成本。
齊向東表示,奇安信推出的流量解密編排器新品,不僅能解決邊界安全問題,更能為整個DT時代夯實網絡安全防線,避免“灰犀牛”事件的發生。(雷峰網(公眾號:雷峰網))
雷峰網版權文章,未經授權禁止轉載。詳情見轉載須知。
