恶意行为者越来越多地使用加密流量来掩饰网络威胁。据Gartner称,2019年进行的网络攻击中有60%使用了加密,到2020年,这一数字将上升到70%。了解安全解决方案如何识别或阻止SSL流量中的威胁非常重要,因为许多工具无法做到这一点。我们总结了安全解决方案如何处理加密的Web流量。加密网络流量的挑战加密保护动态敏感数据的机密性和隐私。然而,加密也对网络安全产品提出了挑战。如果这些产品无法检查连接的有效负载,它们将失去检测和响应威胁的能力。加密数据的兴起互联网上加密的使用急剧增加。例如,《 Google透明度报告》表明互联网上加密的网络流量比例一直在稳步增长,从五年前的大约50%到今天的80%到90%。虽然“本地”(在组织的网络和数据中心内)加密流量的百分比很低,但零信任网络架构等举措可能会增加采用加密来保护内部数据的组织的数量。因此,了解网络安全产品如何在无处不在的加密流量中提供可见性和保护非常重要。加密流量可防止网络安全产品检查有效负载。这意味着他们既不能利用签名来检测已知威胁,也不能在将文件或文档等对象提交到沙箱进行更深入分析之前提取它们。虽然这会影响基于网络的产品的有效性,但这并不意味着网络安全已经过时。用户仍然需要只有网络才能提供的全面覆盖、上下文和确定性。但是,用户需要一个合适的解决方案来获取这些资源。克服挑战:最后一道防线我们是一个网络检测和响应平台,可以检测并包含复杂的威胁。它通过将无监督机器学习(ML)应用于网络流量以检测异常、使用受监督的ML创建恶意网络活动的分类器并利用其全球威胁情报网络扫描流量以查找已知恶意软件负载来实现这一点。至此。有两种方法可用于成功处理加密通信:解密网络流量和分析加密流量。分析加密流量即使传感器无权访问解密流量和有效负载,我们仍会提供有效保护以防止恶意活动。为此,我们的解决方案检查并使用流量(连接)元数据并利用三种检测技术:异常检测、威胁情报以及威胁和加密流量分析指标。解密网络流量组织出于多种原因检查网络流量内容,从合规性到策略实施和安全性。例如,组织可以监控传出数据以检测敏感信息的存在,确保员工仅从其工作计算机访问可接受的网站,并了解受感染的主机是否连接到命令和控制(C&C)站点。为了实现这些目标,许多组织已经部署了检查点,这些检查点会破坏开放的加密连接并允许安全产品分析有效负载。我们支持这些检测点,包括Web代理、TLS终止代理、邮件传输代理和主动TLS拦截。
