پلتفرم جدید Cisco Encrypted Traffic Analytic ، بدافزار را در ترافیک رمزگزاری شده شناسایی خواهد کرد و توانایی آنالیز بستههای فوق داده یا رمزنگاریشده را دارد. افزایش سریع حجم ترافیک رمزنگاری شده مسیر تهدیدات را تغییر داده است.
ابزار جدید سیسکو malware را در ترافیک رمزگزاری شده شناسایی خواهد کرد.
همان طور که کسب و کارها رو به دیجیتالی شدن میروند، تعداد قابل توجهی از سرویسها و applicationها از encryption به عنوان متد اولیه امنیت اطلاعات استفاده میکنند.
به طور مشخص، ترافیک رمزنگاری شده هر ساله بیش از 90 درصد رشد داشته، ترافیک رمزنگاری شده وب سایتها در 2016 در مقابل سال 2015 افزایش 40 درصدی داشته است. بر طبق پیشبینی گارتنر تا سال 2019، 80 درصد از ترافیک وبها رمزنگاری خواهد شد.
تکنولوژی رمزگذاری حریم خصوصی و امنیت بسیار بیشتری را برای کمپانیهایی که از اینترنت برای ارتباط و تجارت آنلاین استفاده میکنند فراهم میکند. Mobile ، cloud و web application ها وابسته به پیادهسازی صحیح مکانیزم encryption ، استفاده از keyها و certificateها برای اطمینان از امنیت و اطمینان میباشند. اگرچه، کسب و کارها تنها کسانی نیستند که از مزیت encryption بهره میبرند.
در 10 ژانویه سیسکو به طور رسمی، پلتفرم نرم افزاری خود به نام Cisco Encrypted Traffic Analytic (ETA) که قادر است چک لیست متادیتای بسته شبکه را برای شناسایی ترافیک مخرب شناسایی کند منتشر کرد.
این نرم افزار پیش از این در June 2017 راهاندازی شده بود اما از آن زمان در private preview باقی مانده بود زیرا فقط شرکتهای بزرگ قادر به استفاده از آن بودند.
حال، سیسکو نسخه general این نرم افزار را منتشر نموده است، که در سختافزارهای فعلی و سابق شبکه در دیتاسنتر و همچنین بیشتر پلتفرمهای enterprise routing سیسکو مانند Cloud Services Routers، Integrated Services Router، و همچنین روترهای branch office این کمپانی با این نرم افزار سازگار میباشند.
نرم افزار اصلاح شده ETA قادر است به کمپانیها کمک کند تا بدون نیاز به decrypt کردن ترافیک بتوانند به خوبی ترافیک آلوده encrypt شده را شناسایی کنند. به زبان ساده، ETA قادر است تا passive monitoring را به جای باز کردن و شناسایی محتوا، از ترافیک encrypted شده تشخیص دهد.
از آنجایی که مجرمان سایبری به مهارتهای بالایی دست یافته اند و قادرند تا از encryption برای مخفی کردن ارتباطات C&C، payloadها، data exfiltration و دیگر فعالیتهای مشابه برای جلوگیری از شناسایی شدن استفاده کنند این نرمافزارمیتواند، شناسایی ترافیک آلوده را بسیار آسان نماید.
نرمافزارهای شناسایی بدافزار رایج قادر نیستند تا بدون decrypt کردن، ترافیک آلوده encrypt شده را شناسایی کنند، که نهتنها کار پیچیدهای است بلکه امنیت ترافیک غیرآلوده encrypted را نیز به خطر میاندازد.
سازمانها باید از مقررات دادهای خاصی پیروی کنند (مانند US-CERT که سازمانها را از پیادهسازی نرمافزار رهگیری ترافیک که امنیت TLS را به خطر میاندازد منع مینماید). از اینرو، شناسایی ترافیک آلوده encrypted موضوع بسیار مهمی برای کمپانیها بوده است.
با توجه به گفتههای Scott Harrell مدیر کل سیسکو در blog post نرمافزار ETA از network visibility و multi-layer machine learning بهمنظور جست و جو برای تفاوتهای بین ترافیک بیخطر و آلوده استفاده میکند.
با به روی کار آمدن ETA سازمانها میتوانند نفس راحتی بکشند زیرا نرمافزار یک راه قابل اطمینان برای شناسایی و بلاک عمده تهدیدات را ارائه میدهد به دلیل این که نیازی به decrypt کردن برای شناسایی ترافیک ندارد. این کار را با شناسایی سه ویژگی از دادهی encrypt شده انجام میدهد؛ ابتدا داده اولیه بسته شبکه میباشد، که دادههای مهم را با توجه به باقی محتوای encrypted ذخیره میکند.
مرحله دوم، جستوجو برای ترتیب زمان و طول بسته برای پیدا کردن سرنخ در محتوای ترافیک است که فراتر از آن چیزی که در بسته اولیه بررسی شده بود. ویژگی سومی که ETA یا Cisco Encrypted Traffic Analytic بررسی میکند فرآیند توزیع بایت در packet payload ها در جریان ترافیک رمزگذاری شده است. ETA از نرم افزار StealthWatch برای مقایسه متادیتای بسته شبکه آلوده و بیخطر به جای شناسایی ترافیک آلوده رمزگذاری شده استفاده میکند.
داشبورد نرم افزار StealWatch
ETA میتواند بدافزارها را از طریق تحقیق انجام شده توسط سیسکو برای فهمیدن تفاوتهای چشمگیر بین روشهایی که ترافیک مخرب و ترافیک بیخطر از DNS، TLS، و HTTP استفاده میکنند شناسایی کند. از آنجا که سیسکو سرویسهای telemetry را برای امنیت ارائه میدهد، بنابراین هزینههای اداری و عملیاتی نسبتا کم میباشد.