Cisco Encrypted Traffic Analytics to przełomowa technologia, która umożliwia wykrywanie szkodliwych kodów w zaszyfrowanej transmisji bez konieczności odszyfrowywania pakietów i analizy treści. To unikalne rozwiązanie pozwala administratorom ds. bezpieczeństwa zapewnić wysoki poziom ochrony bez naruszania prywatności przesyłanych w sieci informacji, a przy okazji istotnie zmniejszyć koszty utrzymania systemów bezpieczeństwa.

Od ubiegłego roku Encrypted Traffic Analytics (ETA) było testowane przez klientów Cisco na całym świecie. Ich pozytywne opinie zadecydowały o podjęciu przez Cisco decyzji o wprowadzeniu ETA jako ogólnie dostępnego produktu. Obecnie Cisco rozszerza wsparcie dla ETA poza przełączniki kampusowe, na większość korporacyjnych platform wykorzystujących routery ISR (Integrated Services Routers) i ASR (Aggregation Services Routers) przeznaczone do obsługi zdalnych oddziałów firm, a także na wirtualne usługi CSR (Cloud Services Routers).

Co to oznacza dla firm?

Po pierwsze, rozszerzenie zakresu ochrony (detekcję i widoczność zagrożeń) na użytkowników w zdalnych oddziałach, a więc tam gdzie działa 80 procent pracowników i klientów firm. Te grupy użytkowników często nie są w pełni chronione przez korporacyjne systemy bezpieczeństwa ze względu na dużą skalę i złożoność systemów, które miałyby wykorzystywać sensory obsługujące setki lub nawet tysiące zdalnych oddziałów firmy.

Po drugie, technologia detekcji zagrożeń nowej generacji może być łatwo wdrożona w dużych firmach przy wykorzystaniu programowej aktualizacji urządzeń i usług Cisco wykorzystywanych przez blisko 50 000 klientów firmy na całym świecie. Dotyczy to użytkowników najbardziej popularnych routerów ISR oraz oprogramowania Stealthwatch, najbardziej zaawansowanego na świecie rozwiązania do wykrywania zagrożeń w sieci i analizy aktywności jej użytkowników.

Jakie jest znaczenie nowej technologii Cisco?

Według prognoz Gartnera[1], do 2019 roku ponad 80% firmowego ruchu w internecie będzie szyfrowana, a jednocześnie ponad 50% nowych cyberprzestępczych kampanii będzie wykorzystywało różne formy szyfrowania i ukrywania szkodliwych kodów mające zapobiec ujawnieniu ich aktywności, w tym wykryciu eksfiltracji danych.

Z punktu widzenia zapewnienia ochrony prywatności i zgodności z regulacjami prawnymi szyfrowanie transmisji danych jest dobrym rozwiązaniem, ale stwarza problemy dla administratorów odpowiedzialnych za bezpieczeństwo systemu IT: nie mogą oni kontrolować ogromnego ruchu w sieci bez technologii pozwalających na jego deszyfrację. To powoduje, że zaszyfrowany malware jest jednym z największych, nowych zagrożeń, które zaczyna się obecnie pojawiać.

Jak funkcjonuje nowa technologia Cisco?

ETA wykorzystuje mechanizmy analizy ruchu w sieci i wielopoziomowy system uczenia maszynowego do wykrywania różnic między standardową transmisją danych, a ruchem zawierającym szkodliwy malware. W jaki sposób działa? Po pierwsze, ETA analizuje pierwszy pakiet danych przesyłany po nawiązaniu połączenia, który może zawierać wiele wartościowych informacji dotyczących pozostałej treści. Następnie analizuje jaka jest sekwencja długości i czasu transmisji kolejnych pakietów, co dostarcza kluczowych wskazówek dotyczących charakteru przesyłanych danych. Ponieważ mechanizmy detekcji szkodliwych treści są wspomagane przez system wykorzystujący uczenie maszynowe, następuje ich ciągła adaptacja do modyfikowanych cyberzagrożeń, a efektywność pozostaje wysoka i nie zmienia się w czasie.

Bezpieczeństwo i prywatność: Działanie mechanizmów zabezpieczeń może naruszać prywatność. W dużych firmach systemy ochrony bezpieczeństwa są systematycznie konfigurowane tak, by zachować odpowiednią równowagę między bezpieczeństwem i prywatnością danych. Główną zaletą technologii ETA jest zapewnienie prywatności przesyłanych w sieci informacji, bo ich odszyfrowywanie nie jest jedyną metodą pozwalającą na kontrolę ruchu i wykrywanie malware. ETA umożliwia analizę zaszyfrowanego ruchu przy wykorzystaniu głębokiej inspekcji widocznych, ważnych cech przesyłanych pakietów. Jest to metoda pasywnego monitoringu, która dopiero w przypadku wykrycia podejrzanych danych blokuje ich transmisję lub przesyła je do dalszej, bardziej szczegółowej analizy, wymagającej odszyfrowania treści przy wykorzystaniu dynamicznych mechanizmów udostępnianych przez systemy sieci intuicyjnych IBN (Cisco Intent-Based Networking).

Zgodność działania mechanizmów kryptograficznych z polityką firmy: Zachowanie zgodności zarządzania ruchem zaszyfrowanym z obowiązującymi regulacjami staje się poważnym problemem w wielu firmach i organizacjach. Technologia ETA odpowiada na to wyzwanie. ETA na bieżąco analizuje jakość szyfrowanego ruchu pod kątem jej zgodności z określonymi w firmie zasadami i wykorzystywanymi protokołami kryptograficznymi. Dostarcza informacji o tym, jaki ruch w sieci jest szyfrowany, a jaki nie. Pozwala to na kontrolę stanu bezpieczeństwa i poziomu ochrony cyfrowego biznesu. Generowane na bieżąco raporty mogą być wyświetlane przez konsolę Stealthwatch lub, przy wykorzystaniu odpowiednich bibliotek API, eksportowane do innych narzędzi oferowanych przez niezależnych producentów. W efekcie sama sieć dostarcza danych telemetrycznych niezbędnych do zapewnienia wysokiego poziomu bezpieczeństwa.

WAN, chmura i zdalne oddziały firmy: Dla zapewnienia wysokiej wydajności działania ETA niezbędny jest zestaw najlepszych w swojej klasie rozwiązań sprzętowych i programowych. Przez ostatnie kilka lat Cisco rozwijało technologie, które są podstawą dla efektywnego funkcjonowania ETA, modyfikując i optymalizując architekturę sieci. Początkowo ETA można było wdrożyć jedynie przy wykorzystaniu nowej rodziny przełączników kampusowych serii Catalyst 9300 i 9400. Obecnie zakres zastosowań tej technologii został rozszerzony na platformy do routingu obsługujące oddziały firm, sieci WAN i chmury. Dotyczy to m.in. takich urządzeń i usług, jak:

• Routery ISR (Integrated Services Router): 4000 Series, nowe routery 1000 Series oraz wirtualne ISRv działające na routerach ENCS 5000 series;
• Routery ASR (Aggregation Services Router) 1000 series;
• Routery CSR (Cloud Services Router) 1000V.

Dynamiczny duet: W systemie IT wszystko ma jakiś związek z siecią i dlatego widoczność ruchu w sieci ma krytyczne znaczenie. Dlatego technologia ETA jest potężnym narzędziem, które pozwala na istotne zwiększenie bezpieczeństwa systemu. Oprogramowanie do monitorowania urządzeń końcowych umożliwia ich dogłębną inspekcję, ale działa tylko tam, gdzie zostało zainstalowane, chroniąc najczęściej głównie desktopy i laptopy działające pod kontrolą systemów Windows lub MacOS. Ale w sieci funkcjonuje obecnie znacznie więcej urządzeń dla których nie są dostępne narzędzia do monitorowania, jak urządzenia mobilne lub IoT. A liczba wykorzystywanych w firmach urządzeń mobilnych i IoT jest obecnie większa niż desktopów i laptopów, i stale rośnie.

Mechanizmy monitorowania systemu sieciowego są obecnie najpotężniejszym narzędziem w arsenale specjalistów zajmujących się bezpieczeństwem IT, a technologia Encrypted Traffic Analytics istotnie zwiększa możliwości takich narzędzi w sposób, którego nie jest w stanie zaoferować obecnie żaden inny producent: zachowuje prywatność przesyłanych danych, wykrywa malware i pozwala na działanie tak blisko urządzeń końcowych i użytkowników jak to tylko możliwe.

[1] Gartner Predicts 2017: Network and Gateway Security, Lawrence Orans, Adam Hils, Jeremy D’Hoinne, Eric Ahlm, 13 December 2016.