DT時代，如何應對網絡安全的“灰犀?！?？

      2022年9月13日下午， “解編合一，DT時代的安全基石——奇安信流量解密編排器新品發布會”召開，奇安信集團董事長 齊向東發表《DT時代，警惕網絡安全的“灰犀牛”》主題演講，以下為講話實錄：

       “人類社會將從IT時代進入DT時代”，現在全球數據量爆炸式的增長，到2035年，全球數據總量將超過2萬億TB，同時，大數據、5G、云計算、物聯網等新技術也廣泛應用，打破了傳統的網絡邊界，安全暴露面不斷地增加，更加劇了數據安全的風險。數據顯示，僅去年一年，數據泄露的記錄就超過前15年的總和。所以，在DT時代，數據安全將成為網絡安全的首要任務，加密成為數據保護的重要手段。我們為了避免數據被截獲、被篡改，被偽造，利用加密流量進行數據傳輸。所以，我們逐漸成為數據傳輸的主流。   
  
    Google報告顯示，當前互聯網加密流量占總流量的90%以上；據估計，企業內部80%以上的流量也是加密的。工信部最近公布的《數據傳輸安全白皮書》也明確指出，傳輸的數據不能明文。所以，這是傳輸安全最基本的要求。但任何技術都是雙刃劍，加密技術在保護數據的同時也黑客攻擊的最佳隱藏手段。換句話說加密技術保護了數據，同時也保護了網絡攻擊者，對網絡保護措施是我們必須要警惕的“灰犀牛”。
    我們經常用“灰犀牛”、“黑天鵝”來形容巨大的風險，但“黑天鵝”發生的概率很小，不可預測；“灰犀牛”發生的概率很大，可以預測。加密技術給網絡安全帶來的風險就是“灰犀牛”，人們往往會掉以輕心，以至于錯失最佳的處理時機，最終醞釀成為嚴重的后果?，F在的加密流量已經成了黑客攻擊最常見的攻擊手法之一。根據Gartner的統計，2020年超過70%的網絡攻擊使用加密流量。國外的機構最新的調研報告也顯示，超過95%的企業明確表現遭遇過加密流量的攻擊。所以，保守估計，加密流量攻擊造成全球的損失應該達到上萬億美元。在加密流量“灰犀牛”面前，解密和編排成了DT時代安全的基石。沒有解密和編排，數據保護就如同空中樓閣，部分安全設備也就形同虛設，安全建設、升級、運維的效果也會大打折扣，運維成本極大地提升。
    目前，我國網絡安全建設的情況來看，現有的解密和部署方案都存在三大不足：
    第一，盲點多。
    實驗數據表明，同樣的處理器計算資源的情況下，SSL加密、解密的過程會嚴重消耗CPU的計算性能。如果明文新建能夠達到100萬，SSL加解密新建能力僅為1萬，它的處理能力相差100倍。所以，就導致我們很多加密流量來不及解密、審查就通過，這就好比安檢的通道人數少，客流多，最后只有10%的旅客經過安檢，剩下90%都通過了，危險是可想而知的。節假日剛過，高速公路收費站堵車。最有效的解決方法是堵車高峰時不收費了，一律通行。目前，主要流量威脅監測設備都基于旁路監聽，無法對當前絕大部分加密流量進行旁路解密，導致流量盲點普遍存在，增加了安全隱患。
    第二，效率低。
    目前我們部署的安全設備沒有辦法根據流量業務的類型進行靈活的分配，只有讓安全設備承擔所有流量，執行所有加解密的過程。比如當一個設備對SSL流量進行解密以后，下個設備接收的依舊不是明文流量，還要繼續解密。這就為每個設備為了單一的安全工作需要把說話的解密工作都要做一遍，這樣就導致業延時高，成為部署解密流量最大的壓力。
    第三，成本高。
    我們傳統的部署方式往往都是安裝設備一次串接，最終形成“糖葫蘆串”的安全架構，任何設備發生故障都會引起全網的故障，損失是難以承受的。同時，又因為安全設備擴展性差，當新增軟件新增設備進行擴容時都要做整體調整，升級維護成本也大。在這個過程當中，極容易出現斷網的情況，又增加業務中斷的成本。
    為了有效避免“灰犀牛”事件的發生，奇安信一直在不斷地探索最終打造出國內首創的解密編排方案，我們基于鯤鵬平臺高效研發能力，結合北京冬奧會網絡安全保障實踐，形成了這套方案，它有三大亮點：
    1.消除盲點。
    純軟件形式的安全產品加解密能力都普遍低，極容易出現性能不夠，檢測不全的問題，我們通過搭載硬件加速卡并通過自研的異步調用技術，真正實現了軟硬合一，理論上可以將解密的性能提升10倍以上，讓加密流量的檢測更全面，更準確，更及時。
    2.提高效率。
    我們首創了智能服務鏈編排技術，能夠把不同類型的流量進行分類引流，就是將明文的數據分發至服務鏈上各種安全設備上，從而實現一臺設備成功解密，多臺設備成果共享，極大地降低了負載和資源的消耗，大幅度地提升了解密的效率。尤其是針對“糖葫蘆串”部署的安全體系。比如這個“糖葫蘆串”上有三個設備，每個設備都從頭加解密的話，我們整體的效率降低了100倍。但是用了奇安信的“鯤鵬”加解密平臺之后，性能提升10倍；三個設備又共享，實際上性能真正就得到了提升，又乘了3（倍）。所以，這個效率的提升是非常高的。
    3.降低成本。
    我們重構安全設備的系統部署架構，通過網元組負載分擔、健康監測、流量編排等等這樣一個技術手段，實現安全設備資源池化，就是讓我們整個安全設備部署架構更加具有彈性，具備動態擴容的能力，安全資源池也能容納多個廠商的安全設備，來支持多樣化的專業安全組件，從而實現安全能力的快速擴展。
    我們還能夠依靠獨特的探測機制來保障業務的連續性，從而大大降低總體成本。所以，我們今天發布的解密編排方案是奇安信邊界安全的重大創新之一。這套方案通過北京冬奧會的實戰檢驗，為北京冬奧組委網絡安全“零事故”立下了汗馬功勞，得益于“鯤鵬”平臺量產，奇安信產品開發效率提升了300%，產品相關性能指標更是超過同行2.5倍以上。我相信今天發布的解密編排方案不僅能解決邊界安全問題，更能為DT時代夯實網絡安全防線，避免“灰犀牛”事件的發生。

(本文不涉密)
責任編輯：楊光

轉載：感謝您對網站平臺的認可，以及對我們原創作品以及文章的青睞，非常歡迎各位朋友分享到個人站長或者朋友圈，但轉載請說明文章出處。