超7成網絡攻擊用加密“隱身”，奇安信發(fā)布國內首款流量解密編排器

9月13日消息（董寒雪）“通過搭載硬件加速卡，并配合自研的異步調用技術，我們理論上可以將解密性能提升10倍以上，并通過智能編排實現‘一臺設備成功解密，多臺設備共享明文’?！?月13日，奇安信集團在京舉辦流量解密編排器新品發(fā)布會。在發(fā)布會上，奇安信集團董事長齊向東表示，奇安信基于鯤鵬平臺的高效研發(fā)能力，正式發(fā)布國內首款集高性能解密和智能編排技術于一體的邊界安全新品——流量解密編排器，解決DT時代客戶面臨的加密攻擊威脅，以及對彈性部署架構和動態(tài)擴容能力的需求。

圖：奇安信集團董事長齊向東

奇安信集團副總裁、首席架構師兼邊界安全BG負責人吳亞東，奇安信集團副總裁、北京冬奧組委技術部高級專家張翀斌，英特爾中國區(qū)網絡通信部技術專家王景佳，奇安信集團冬奧保障總架構師尹智清等嘉賓出席了本次新品發(fā)布會，分別從流量加解密和邊界安全的技術變遷，以及流量解密編排在國家實戰(zhàn)攻防演習、北京冬奧網絡安全保障中的實踐等角度，全面剖析了流量解密編排器的技術創(chuàng)新和客戶價值。

90%流量加密，70%攻擊利用加密“隱身”

齊向東表示，DT時代，加密成為數據保護的重要手段，為了避免數據在流轉過程中被中斷、被截獲、被篡改、被偽造，利用加密流量進行數據傳輸已經成為主流。Google的報告顯示，當前互聯網加密流量超過90%。據估計，企業(yè)內部至少80%采用加密流量傳輸，這些數字仍會保持快速增長。

然而，成也加密，敗也加密。加密技術目前正在被惡意者廣泛利用，成為了黑客攻擊的重要手段，甚至成為當前網絡空間的最大威脅之一。Gartner統計,在2020年就有超過70%的網絡攻擊使用加密流量。根據ESG機構的調研報告顯示,超過95%的企業(yè)明確表示遭遇過由于加密流量引起的安全事件。從今年國家舉行的實戰(zhàn)攻防演習來看，有超過半數攻擊手段都利用加密流量。保守估計，因加密流量攻擊造成的全球損失或達萬億美元。

齊向東指出，國內現有加解密應對方案仍存在一些不足。首先是 “盲點”多，解密性能弱導致攻擊“漏網”，在SSL加解密極高消耗計算資源的情況下，很多加密流量來不及解密就通過了；其次是效率低，重復加解密造成了浪費，由于多個安全設備都在進行加解密，不僅會造成不必要的資源浪費，更導致性能下降和業(yè)務效率低下；最后是成本高，單點故障多擴展性差，類似“糖葫蘆串”的傳統安全架構，如果任何一個安全設備發(fā)生故障或升級擴容時，很容易出現斷網情況，業(yè)務中斷的損失很難承受。

“黑天鵝發(fā)生概率小、不可預測；灰犀牛發(fā)生概率大、可預測，加密技術給DT時代帶來的風險就是‘灰犀?！酱覀兙?。”齊向東談到。

解編合一、軟硬結合 解密能力提升10倍以上

“不做解密的安全分析，就如同盲人摸象！”吳亞東表示。善于“隱身”的加密攻擊給安全體系提出新的挑戰(zhàn)：不僅是“看得見”，更要“看得清”才能防得住威脅。對此，奇安信正式對外發(fā)布國內首款流量解密編排器，解決盲點多、效率低、成本高三大挑戰(zhàn)。

圖：奇安信集團副總裁、首席架構師兼邊界安全BG負責人吳亞東

首先是通過異步調用和硬件解密技術，實現解密能力提升10倍以上。吳亞東認為，純軟件形式的安全產品，SSL加解密能力普遍較低，極易出現性能不足、檢測不全的問題。奇安信通過搭載硬件加速卡，并配合自研的異步調用技術，理論上可以將SSL解密性能提升10倍以上，讓加密流量檢測更全面、更準確、更及時。

圖：英特爾中國區(qū)網絡通信部技術專家王景佳

英特爾中國區(qū)網絡通信部技術專家王景佳在發(fā)布會表示，從云到邊緣，安全無處不在。作為全球領先的芯片廠商，英特爾針對網絡安全和數據存儲推出了QuickAssistTechnology（簡稱QAT）硬件加速技術,可很大程度地提升服務器處理網絡安全及數據壓縮的計算性能，并有效減少服務器CPU的負載。未來，英特爾將奇安信作為最重要的合作伙伴之一，持續(xù)提供業(yè)內領先的硬件級高性能SSL解密技術。

二是擺脫效率缺陷，實現一次解密、多次檢測。奇安信首創(chuàng)了智能化服務鏈編排技術，能把不同類型的數據流量進行分類和引流，讓特定的流量，穿過不同的安全工具進行檢查。同時，它在旁路鏈和串接鏈之間搭建了一條服務鏈，能夠將明文報文分發(fā)至服務鏈上的各個安全設備，從而實現“一臺設備成功解密，多臺設備成果共享”，極大降低網絡負載和資源消耗，大幅提升了加解密效率。

圖：流量解密編排器的核心優(yōu)勢

三是跳出成本困局，實現靈活部署、降本增效。奇安信通過重構安全設備的傳統部署架構，實現了安全設備資源池化，能兼容不同廠商、不同種類的安全組件，還能依靠獨特的探測機制保障業(yè)務連續(xù)性，從而大大降低總體成本。

從國家級實戰(zhàn)演習到北京冬奧 流量解密編排器屢立戰(zhàn)功

“近年來，利用流量加密來進行‘隱身’的攻擊不斷出現，極大增加了防守隊的威脅檢測難度。” 作為每年數百場國家級實戰(zhàn)攻防演習的組織者和參與者，張翀斌這樣表示。

圖：奇安信集團副總裁、北京冬奧組委技術部高級專家張翀斌

張翀斌以今年某大型央企舉行的國家級攻防演習為例，闡述了流量解密編排器在實戰(zhàn)中發(fā)揮的關鍵作用?！霸摯笮脱肫髢染W的加密流量接近60%左右；同時在加密環(huán)境下，安全設備檢測能力下降高達80%，多種安全檢測和分析設備都需要解密后的明文流量，這迫切要求該央企必須全面無死角的覆蓋所有加密流量，對集團下屬企業(yè)實現統一的安全監(jiān)測與防護?！?/p>

該央企部署了12套流量解密編排器對加密流量進行解密，通過透明模式部署，使得整體過程對用戶透明無感知，并借助自身強大的服務鏈編排能力，實現一次解密、多次編排使用，大大提高流量解密處理效率，助力該央企在實戰(zhàn)攻防演習中取得優(yōu)異成績。

圖：奇安信集團冬奧保障總架構師尹智清

而在2022年北京冬奧網絡安全保障中，解編合一的優(yōu)勢體現得淋漓盡致。尹智清表示，冬奧業(yè)務組網中全部采用加密方式進行網絡數據傳輸，而流量分析設備不能對關鍵業(yè)務的加密流量進行威脅分析。同時，骨干網互聯網出口傳統的網絡部署為多設備依次串聯方式，在升級軟件、新增設備接入及設備擴容時易出現斷網情況，在冬奧這樣注重業(yè)務連續(xù)性的重大體育活動中是難以承受的。

為解決這些問題，奇安信在關鍵區(qū)域部署了高性能的流量解密編排器，通過SSL解密功能對密文流量進行解密，實現了解密與編排融合，網關產品和檢測分析平臺的聯防聯控、高效檢測。

權威機構統計，邊界安全作為網絡安全行業(yè)規(guī)模最大的賽道，整體規(guī)模在200億以上,堪稱頭部廠商的“兵家必爭之地”。而流量解密編排器的發(fā)布，標志著邊界安全將進入新的一輪技術創(chuàng)新周期，更高效的解密技術，更智能化的編排，將會驅動這個“超級賽道”繼續(xù)保持高速增長，進而帶動網絡安全行業(yè)的整體繁榮。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。