ETI：最有前景的加密流量检测方法

如今，加密流量的使用越来越多——攻击者也不例外。鉴于攻击者会利用加密流量隐藏攻击、植入恶意软件和勒索软件，以及利用加密流量绕过边界检测系统传输恶意内容，企业无法忽视加密流量中隐藏的威胁。

但是，很多网络安全从业人员发现，识别并阻止加密流量威胁需要对加密流量本身有一定的可视化能力——而这一般需要解密并检查加密流量，这一过程往往很复杂。解密的设备即昂贵，又难以部署，同时还需要有一定能力的人去配置和管理。即使在理想状态下，对远程使用者和数据中心网络安全堆栈之间的流量进行检查也在越发不可靠。

因此，一般对于企业而言，发现入站加密流量中的威胁往往很复杂，而且成本较高；不过除了解密加密流量之外，还有一种新的方法可以检测加密流量，而且能减少一定的困难。

近日，Omdia发布了一份新的研究《网络流量解密和风险管理基础》（Fundamentals of Network Traffic Decryption and Risk Management）中讲解了一些关于入站加密流量风险相关的现有以及发展中的技术。其中，有三个关键发现：

• Omdia估算，至少有70%到80%的企业入站流量是加密的。

• 大部分企业并不解密入站流量，从而给攻击者提供了大量的机会。

• 即使少部分进行解密的企业，他们的解密方式可能很快就不可行了。原因包括传统基于代理的解密技术局限的扩展性，以及在新的TLS 1.3加密标准中的改变给现有的解密方式带来的冲击。

不过好消息是，也有新的技术出现来解决加密流量风险问题。有些解密方式通过云端IAP（identity-aware proxy）进行，还有一种被称为“会话密钥转发”的方式从主机内存中获取加密密钥对，而不需要给处理器巨大的工作量进行代理会话、获取密钥以及重加密会话工作。这两种方法对传统的解密方式而言都是不错的替代品。

但是，在所有的新方法中，加密流量推断（encrypted traffic inference, ETI）可能是最有前景的方式。ETI解决方案通过分析加密流量的不同方面，在不解密的情况下判断他们是否恶意。

ETI技术是基于2016年思科研究者首次提出的概念实现的，通过获取加密流量中的数据属性——比如DNS元数据、TLS握手元数据、HTTP包头等，然后分析其中的模式发现是否存在恶意行为。

包括思科、Juniper、Barac、NTA厂商Corelight、NDR厂商IronNet在内的数个厂商都已经能提供一定的ETI能力。

尽管说ETI技术看上去很不错，但依然很不成熟。企业才刚刚开始使用这项技术，因此，ETI究竟能否稳定、长久地识别加密的恶意流量，同时ROI是否稳定，还需要时间来证明。

即使如此，企业也不能忽略了ETI所存在的潜力。Omdia相信，未来加密流量风险管理的最佳实践很可能是ETI与解密技术融合。举例而言，企业可以使用ETI解决方案对入站流量做一个第一步检测。大部分流量会被认为是安全的，但依然有一小部分流量会被判定为可疑流量——这部分流量就会被解密做深度包检测。这样的结合会减少对解密的需求，降低解密相关的成本，并且在日益混合的架构中实现更灵活的部署。

Omdia建议企业优化自身对于加密流量解密和管理的商业战略和技术能力，尤其是关注ETI以及其他新兴技术在减少成本以及运营繁琐性方面的潜力，从而确保入站加密流量不再是一个网络安全盲点。