進入DT時代，數據成為企業的核心資產和安全防護的主要目標，數據的廣泛流動是對數據面臨的安全風險，場景呈倍數增加，為了保障數據的安全性，加密流量傳輸成了主流的方式。與此同時，加密流量也使得大量網絡攻擊隱藏其中，給安全防護帶來極大的困擾。

　　“ DT時代，加密是數據傳輸的重要保護手段，但也成為黑客攻擊的最佳隱藏手段，是我們必須警惕的‘灰犀牛’。”在日前奇安信集團舉辦的流量解密編排器新品發布會上，奇安信集團董事長齊向東表示。

　　此前在2021年北京網絡安全大會上，齊向東曾分享了一個觀點：人類社會從IT時代進入了DT時代。現在全球數據量正在呈爆炸式的增長，到2035年，全球數據總量要超過2萬億PB，與之同時大數據、5g云計算、互聯網新技術也廣泛應用，打破了傳統的網絡邊界，安全暴露面不斷的增加，更加劇了數據安全的風險。數據顯示，僅去年一年數據泄露的記錄就超過前15年的總和。所以在DT時代，保護數據安全將成為網絡安全的首要任務，加密成為數據保護的重要手段。

　　Google的報告顯示，當前互聯網加密流量超過90%。據估計，企業內部80%也都是加密流量。工信部也在最近公布的《數據傳輸安全白皮書》中明確指出，傳輸的數據不能明文。所以，加密傳輸實際上已經成為了傳輸安全最基本的要求。

　　但與之對應的是，加密不僅用在防御側，在攻擊側，加密流量也已成為黑客最常用的攻擊手段。Gartner統計，在2020年就有超過70%的網絡攻擊使用加密流量。國外機構的最新調研報告顯示，超過95%的企業明確表示遭遇過加密流量攻擊。保守估計，加密流量攻擊造成的全球損失達到上萬億美元。

　　在此前采訪中，有安全專家也告訴安全419，攻擊者為了竊取數據、控制目標系統，往往采取更加隱蔽的加密通信技術，通過對內容進行協議加密，消除攻擊的明顯特征，使檢測難度呈指數上升。如滲透階段采用TLS加密掃描，攻擊階段采用RDP、SSH等加密的暴力破解，再通過webshell獲取權限，最后通過加密隧道外發數據等都是攻擊者的常用手法。

　　在齊向東看來，任何技術都是雙刃劍，加密技術在保護數據的同時也黑客攻擊的最佳隱藏手段。“換句話說加密技術保護了數據，同時也保護了網絡攻擊者，對網絡保護措施是我們必須要警惕的‘灰犀牛’。我們經常用灰犀牛黑天鵝來形容巨大的風險，但是黑天鵝發生的概率很小，不可測灰犀牛發生的概率很大，甚至可以預測。加密技術給網絡安全帶來的風險就是灰犀牛，人們往往會掉以輕心，以至于錯失最佳的處理時機，最終醞釀成為嚴重后果。”

　　因此齊向東認為，在加密流量“灰犀牛”面前，解密和編排已經成為DT時代安全的基石。沒有解密和編排，數據保護就如同空中樓閣，部分安全設備也就形同虛設，安全建設、升級、運維的效果也會大打折扣，運維成本極大地提升。為此，奇安信打造出的解密編排方案，填補了業內解密和智能編排技術類產品的空白。

　　齊向東進一步指出，從我國當前網絡安全建設的情況來看，現有的解密和部署方案大多采用的是負載均衡和SSL加解密的技術路徑，主要存在三大不足：

　　//第一，盲點多。實驗數據表明，同樣的處理器計算資源的情況下，SSL加密、解密的過程會嚴重消耗CPU的計算性能。如果明文新建能夠達到100萬，SSL加解密新建能力僅為1萬，它的處理能力相差100倍。

　　“這就導致很多加密流量來不及解密、審查就通過，就好比安檢的通道少，但客流量大，為了紓解壓力，很多旅客沒有經過安檢就通過了，其中的危險是可想而知的。再比如，現在正值假期，高速車流量也會很大，收費站附近通常是堵車的高發路段，因此在節假日只要免費通行就能極大的緩解堵塞。目前，主要流量威脅監測設備都基于旁路監聽，無法對當前絕大部分加密流量進行旁路解密，導致流量盲點普遍存在，增加了安全隱患。”齊向東談到。

　　針對安全設備占用業務性能這一行業普遍的痛點，奇安信的做法是從“芯”開始，聯合芯片解決方案廠商英特爾，將英特爾的QAT加速技術嵌入到CPU當中，能夠提供高達100Gb/s的加解密性能，通過搭載硬件加速卡并通過自研的異步調用技術，真正實現了軟硬合一，理論上可以將解密的性能大幅提升，解決了過去流量解密大量消耗CPU計算性能的問題。

　　//第二，效率低。目前業內主流的安全設備沒有辦法根據流量業務的類型進行靈活的分配，只有讓安全設備承擔所有流量，執行所有加解密的過程。比如當一個設備對SSL流量進行解密以后，下個設備接收的依舊不是明文流量，還要繼續解密。這就為每個設備為了單一的安全工作需要把解密工作重復再做一遍，導致業務員延時高，這成為部署解密流量設備最大的壓力。

　　在這一點上，奇安信的做法是將不同類型的流量進行分類引流，就是將明文的數據分發至服務鏈上各種安全設備上，從而實現一臺設備成功解密，多臺設備成果共享，極大地降低了負載和資源的消耗，大幅度地提升了解密的效率。

　　//第三，成本高。業內傳統的部署方式往往都是安裝設備一次串接，最終形成“糖葫蘆串”的安全架構，任何設備發生故障都會引起全網的故障，損失是難以承受的。同時，又因為安全設備擴展性差，當新增軟件新增設備進行擴容時都要做整體調整，升級維護成本也大。在這個過程當中，極容易出現斷網的情況，又增加業務中斷的成本。

　　在成本層面，奇安信這一解密編排方案重構了安全設備的系統部署架構，通過網元組負載分擔、健康監測、流量編排等技術手段，實現安全設備資源池化，就是讓我們整個安全設備部署架構更加具有彈性，具備動態擴容的能力，安全資源池也能容納多個廠商的安全設備，來支持多樣化的專業安全組件，從而實現安全能力的快速擴展。

　　齊向東最后表示，DT時代的企業安全建設工作中，如何讓安全設備具備解密能力，看清加密流量內容中的威脅信息，已經成為至關重要的一環。流量解密編排器是在大的歷史環境下，響應DT時代的需求必然會出現的一種技術創新的成果或產品，流量解密編排器也是從邊界開始構建縱深防御體系，看見威脅的最重要的一步。

更多信息可以來這里獲取==>>電子技術應用-AET<<