您现在的位置是:首页 > 头条新闻 >
DT时代,如何应对网络安全的“灰犀牛”?
摘要 DT时代的加密成为数据传输的重要保护手段,但也是黑客攻击的最佳隐藏方式,是不能不警惕的“灰犀牛”。在9月13日奇安信集团举办的流量解密编排器新品发布会上,奇安信集团董事长齐向东提出上述观点。在加密流量这只“灰犀牛”面前,解密编排成为DT时代的安全基石,能够帮助政企客户消除加密流量攻击带来的巨大威胁。...
2022年9月13日下午, “解编合一,DT时代的安全基石——奇安信流量解密编排器新品发布会”召开,奇安信集团董事长 齐向东发表《DT时代,警惕网络安全的“灰犀牛”》主题演讲,以下为讲话实录:
“人类社会将从IT时代进入DT时代”,现在全球数据量爆炸式的增长,到2035年,全球数据总量将超过2万亿TB,同时,大数据、5G、云计算、物联网等新技术也广泛应用,打破了传统的网络边界,安全暴露面不断地增加,更加剧了数据安全的风险。数据显示,仅去年一年,数据泄露的记录就超过前15年的总和。所以,在DT时代,数据安全将成为网络安全的首要任务,加密成为数据保护的重要手段。我们为了避免数据被截获、被篡改,被伪造,利用加密流量进行数据传输。所以,我们逐渐成为数据传输的主流。
Google报告显示,当前互联网加密流量占总流量的90%以上;据估计,企业内部80%以上的流量也是加密的。工信部最近公布的《数据传输安全白皮书》也明确指出,传输的数据不能明文。所以,这是传输安全最基本的要求。但任何技术都是双刃剑,加密技术在保护数据的同时也黑客攻击的最佳隐藏手段。换句话说加密技术保护了数据,同时也保护了网络攻击者,对网络保护措施是我们必须要警惕的“灰犀牛”。
我们经常用“灰犀牛”、“黑天鹅”来形容巨大的风险,但“黑天鹅”发生的概率很小,不可预测;“灰犀牛”发生的概率很大,可以预测。加密技术给网络安全带来的风险就是“灰犀牛”,人们往往会掉以轻心,以至于错失最佳的处理时机,最终酝酿成为严重的后果。现在的加密流量已经成了黑客攻击最常见的攻击手法之一。根据Gartner的统计,2020年超过70%的网络攻击使用加密流量。国外的机构最新的调研报告也显示,超过95%的企业明确表现遭遇过加密流量的攻击。所以,保守估计,加密流量攻击造成全球的损失应该达到上万亿美元。在加密流量“灰犀牛”面前,解密和编排成了DT时代安全的基石。没有解密和编排,数据保护就如同空中楼阁,部分安全设备也就形同虚设,安全建设、升级、运维的效果也会大打折扣,运维成本极大地提升。
目前,我国网络安全建设的情况来看,现有的解密和部署方案都存在三大不足:
第一,盲点多。
实验数据表明,同样的处理器计算资源的情况下,SSL加密、解密的过程会严重消耗CPU的计算性能。如果明文新建能够达到100万,SSL加解密新建能力仅为1万,它的处理能力相差100倍。所以,就导致我们很多加密流量来不及解密、审查就通过,这就好比安检的通道人数少,客流多,最后只有10%的旅客经过安检,剩下90%都通过了,危险是可想而知的。节假日刚过,高速公路收费站堵车。最有效的解决方法是堵车高峰时不收费了,一律通行。目前,主要流量威胁监测设备都基于旁路监听,无法对当前绝大部分加密流量进行旁路解密,导致流量盲点普遍存在,增加了安全隐患。
第二,效率低。
目前我们部署的安全设备没有办法根据流量业务的类型进行灵活的分配,只有让安全设备承担所有流量,执行所有加解密的过程。比如当一个设备对SSL流量进行解密以后,下个设备接收的依旧不是明文流量,还要继续解密。这就为每个设备为了单一的安全工作需要把说话的解密工作都要做一遍,这样就导致业延时高,成为部署解密流量最大的压力。
第三,成本高。
我们传统的部署方式往往都是安装设备一次串接,最终形成“糖葫芦串”的安全架构,任何设备发生故障都会引起全网的故障,损失是难以承受的。同时,又因为安全设备扩展性差,当新增软件新增设备进行扩容时都要做整体调整,升级维护成本也大。在这个过程当中,极容易出现断网的情况,又增加业务中断的成本。
为了有效避免“灰犀牛”事件的发生,奇安信一直在不断地探索最终打造出国内首创的解密编排方案,我们基于鲲鹏平台高效研发能力,结合北京冬奥会网络安全保障实践,形成了这套方案,它有三大亮点:
1.消除盲点。
纯软件形式的安全产品加解密能力都普遍低,极容易出现性能不够,检测不全的问题,我们通过搭载硬件加速卡并通过自研的异步调用技术,真正实现了软硬合一,理论上可以将解密的性能提升10倍以上,让加密流量的检测更全面,更准确,更及时。
2.提高效率。
我们首创了智能服务链编排技术,能够把不同类型的流量进行分类引流,就是将明文的数据分发至服务链上各种安全设备上,从而实现一台设备成功解密,多台设备成果共享,极大地降低了负载和资源的消耗,大幅度地提升了解密的效率。尤其是针对“糖葫芦串”部署的安全体系。比如这个“糖葫芦串”上有三个设备,每个设备都从头加解密的话,我们整体的效率降低了100倍。但是用了奇安信的“鲲鹏”加解密平台之后,性能提升10倍;三个设备又共享,实际上性能真正就得到了提升,又乘了3(倍)。所以,这个效率的提升是非常高的。
3.降低成本。
我们重构安全设备的系统部署架构,通过网元组负载分担、健康监测、流量编排等等这样一个技术手段,实现安全设备资源池化,就是让我们整个安全设备部署架构更加具有弹性,具备动态扩容的能力,安全资源池也能容纳多个厂商的安全设备,来支持多样化的专业安全组件,从而实现安全能力的快速扩展。
我们还能够依靠独特的探测机制来保障业务的连续性,从而大大降低总体成本。所以,我们今天发布的解密编排方案是奇安信边界安全的重大创新之一。这套方案通过北京冬奥会的实战检验,为北京冬奥组委网络安全“零事故”立下了汗马功劳,得益于“鲲鹏”平台量产,奇安信产品开发效率提升了300%,产品相关性能指标更是超过同行2.5倍以上。我相信今天发布的解密编排方案不仅能解决边界安全问题,更能为DT时代夯实网络安全防线,避免“灰犀牛”事件的发生。
(本文不涉密)
责任编辑:杨光
“人类社会将从IT时代进入DT时代”,现在全球数据量爆炸式的增长,到2035年,全球数据总量将超过2万亿TB,同时,大数据、5G、云计算、物联网等新技术也广泛应用,打破了传统的网络边界,安全暴露面不断地增加,更加剧了数据安全的风险。数据显示,仅去年一年,数据泄露的记录就超过前15年的总和。所以,在DT时代,数据安全将成为网络安全的首要任务,加密成为数据保护的重要手段。我们为了避免数据被截获、被篡改,被伪造,利用加密流量进行数据传输。所以,我们逐渐成为数据传输的主流。
Google报告显示,当前互联网加密流量占总流量的90%以上;据估计,企业内部80%以上的流量也是加密的。工信部最近公布的《数据传输安全白皮书》也明确指出,传输的数据不能明文。所以,这是传输安全最基本的要求。但任何技术都是双刃剑,加密技术在保护数据的同时也黑客攻击的最佳隐藏手段。换句话说加密技术保护了数据,同时也保护了网络攻击者,对网络保护措施是我们必须要警惕的“灰犀牛”。
我们经常用“灰犀牛”、“黑天鹅”来形容巨大的风险,但“黑天鹅”发生的概率很小,不可预测;“灰犀牛”发生的概率很大,可以预测。加密技术给网络安全带来的风险就是“灰犀牛”,人们往往会掉以轻心,以至于错失最佳的处理时机,最终酝酿成为严重的后果。现在的加密流量已经成了黑客攻击最常见的攻击手法之一。根据Gartner的统计,2020年超过70%的网络攻击使用加密流量。国外的机构最新的调研报告也显示,超过95%的企业明确表现遭遇过加密流量的攻击。所以,保守估计,加密流量攻击造成全球的损失应该达到上万亿美元。在加密流量“灰犀牛”面前,解密和编排成了DT时代安全的基石。没有解密和编排,数据保护就如同空中楼阁,部分安全设备也就形同虚设,安全建设、升级、运维的效果也会大打折扣,运维成本极大地提升。
目前,我国网络安全建设的情况来看,现有的解密和部署方案都存在三大不足:
第一,盲点多。
实验数据表明,同样的处理器计算资源的情况下,SSL加密、解密的过程会严重消耗CPU的计算性能。如果明文新建能够达到100万,SSL加解密新建能力仅为1万,它的处理能力相差100倍。所以,就导致我们很多加密流量来不及解密、审查就通过,这就好比安检的通道人数少,客流多,最后只有10%的旅客经过安检,剩下90%都通过了,危险是可想而知的。节假日刚过,高速公路收费站堵车。最有效的解决方法是堵车高峰时不收费了,一律通行。目前,主要流量威胁监测设备都基于旁路监听,无法对当前绝大部分加密流量进行旁路解密,导致流量盲点普遍存在,增加了安全隐患。
第二,效率低。
目前我们部署的安全设备没有办法根据流量业务的类型进行灵活的分配,只有让安全设备承担所有流量,执行所有加解密的过程。比如当一个设备对SSL流量进行解密以后,下个设备接收的依旧不是明文流量,还要继续解密。这就为每个设备为了单一的安全工作需要把说话的解密工作都要做一遍,这样就导致业延时高,成为部署解密流量最大的压力。
第三,成本高。
我们传统的部署方式往往都是安装设备一次串接,最终形成“糖葫芦串”的安全架构,任何设备发生故障都会引起全网的故障,损失是难以承受的。同时,又因为安全设备扩展性差,当新增软件新增设备进行扩容时都要做整体调整,升级维护成本也大。在这个过程当中,极容易出现断网的情况,又增加业务中断的成本。
为了有效避免“灰犀牛”事件的发生,奇安信一直在不断地探索最终打造出国内首创的解密编排方案,我们基于鲲鹏平台高效研发能力,结合北京冬奥会网络安全保障实践,形成了这套方案,它有三大亮点:
1.消除盲点。
纯软件形式的安全产品加解密能力都普遍低,极容易出现性能不够,检测不全的问题,我们通过搭载硬件加速卡并通过自研的异步调用技术,真正实现了软硬合一,理论上可以将解密的性能提升10倍以上,让加密流量的检测更全面,更准确,更及时。
2.提高效率。
我们首创了智能服务链编排技术,能够把不同类型的流量进行分类引流,就是将明文的数据分发至服务链上各种安全设备上,从而实现一台设备成功解密,多台设备成果共享,极大地降低了负载和资源的消耗,大幅度地提升了解密的效率。尤其是针对“糖葫芦串”部署的安全体系。比如这个“糖葫芦串”上有三个设备,每个设备都从头加解密的话,我们整体的效率降低了100倍。但是用了奇安信的“鲲鹏”加解密平台之后,性能提升10倍;三个设备又共享,实际上性能真正就得到了提升,又乘了3(倍)。所以,这个效率的提升是非常高的。
3.降低成本。
我们重构安全设备的系统部署架构,通过网元组负载分担、健康监测、流量编排等等这样一个技术手段,实现安全设备资源池化,就是让我们整个安全设备部署架构更加具有弹性,具备动态扩容的能力,安全资源池也能容纳多个厂商的安全设备,来支持多样化的专业安全组件,从而实现安全能力的快速扩展。
我们还能够依靠独特的探测机制来保障业务的连续性,从而大大降低总体成本。所以,我们今天发布的解密编排方案是奇安信边界安全的重大创新之一。这套方案通过北京冬奥会的实战检验,为北京冬奥组委网络安全“零事故”立下了汗马功劳,得益于“鲲鹏”平台量产,奇安信产品开发效率提升了300%,产品相关性能指标更是超过同行2.5倍以上。我相信今天发布的解密编排方案不仅能解决边界安全问题,更能为DT时代夯实网络安全防线,避免“灰犀牛”事件的发生。
(本文不涉密)
责任编辑:杨光