齐向东:流量解密编排是DT时代的安全基石

“ DT时代,加密是数据传输的重要保护手段,但也成为黑客攻击的最佳隐藏手段,是我们必须警惕的‘灰犀牛’。”在9月13日奇安信集团举办的流量解密编排器新品发布会上,奇安信集团董事长齐向东表示,在加密流量这只“灰犀牛”面前,解密编排成为DT时代的安全基石,能够帮助政企客户解决加密流量攻击带来的巨大威胁。

在2021年北京网络安全大会上,齐向东曾分享了一个观点:人类社会从IT时代进入了DT时代。在数据量爆发式增长的DT时代,数据安全成为网络安全的首要任务,而加密成为数据传输的必选项。工信部最近发布的《数据传输安全白皮书》明确指出,传输的数据不能明文,这是数据传输安全最基本的要求。

Google的报告显示,当前互联网加密流量超过90%。据估计,企业内部80%是加密流量。与之对应的是,加密成为黑客最常用的攻击手段。Gartner统计,在2020年就有超过70%的网络攻击使用加密流量。国外机构的最新调研报告显示,超过95%的企业明确表示遭遇过加密流量攻击。保守估计,加密流量攻击造成的全球损失达到上万亿美元。

奇安信集团董事长齐向东

齐向东认为,相对于概率小、不可预测的黑天鹅,灰犀牛事件发生概率大、可预测。加密技术给网络安全带来的风险就是“灰犀牛”,人们往往会掉以轻心,以至于错失最佳处理时机,最终酿成严重后果。在加密流量这只“灰犀牛”面前,解密和编排成了DT时代的安全基石。没有解密和编排,数据保护就如同空中楼阁,部分安全设备形同虚设,安全建设、升级、运维的效果也会大打折扣,运营成本巨大。

齐向东表示,目前我国网络安全建设在解密和部署方面,还存在三方面不足。第一是盲点多,SSL加解密过程会严重消耗CPU的计算性能,导致很多加密流量来不及解密就通过了,而旁路侦听的流量威胁检测设备无法对大部分加密流量进行旁路解密,导致流量盲点普遍存在;第二是效率低,目前安全设备的部署模式,当一个设备对SSL流量进行解密后,下个设备接收的依旧不是明文流量,还要继续解密,造成不必要的资源浪费,业务效率低下。第三是成本高,传统 “糖葫芦串”的安全部署架构,任何一个设备发生故障,都会有可能引起全网故障,损失难以承受。扩展性差、升级维护难,增加了业务中断成本。

为了解决这些问题,奇安信基于鲲鹏平台的高效研发能力,结合北京冬奥网络安全保障实践,打造出了国内首创的解密编排方案,它具备三大亮点。

首先是软硬结合的高性能解密,消除盲点检测更全面。通过和英特尔等芯片硬件厂商的合作,新产品搭载硬件加速卡,并配合自研的异步调用技术,真正实现了软硬合一,理论上可以将解密性能提升10倍以上,让加密流量检测更全面、更准确、更及时。

其次是高性能解密结合智能编排技术,显著提高效率。奇安信首创了智能化服务链编排技术,可实现“一台设备成功解密,多台设备成果共享”,极大降低网络负载和资源消耗,大幅提升加解密效率。

最后是通过安全能力资源池化和服务化,极大降低成本。奇安信重构安全设备的传统部署架构,通过网元组、负载分担、健康监测、流量编排等技术手段,实现了安全设备资源池化,让整个安全设备的部署架构更有弹性,具备动态扩容的能力。安全资源池能兼容各个厂商的安全设备,支持多样化专业的安全组件,实现安全能力快速扩展;还能依靠独特的探测机制保障业务连续性,从而大大降低总体成本。

齐向东表示,奇安信推出的流量解密编排器新品,不仅能解决边界安全问题,更能为整个DT时代夯实网络安全防线,避免“灰犀牛”事件的发生。