进入DT时代，数据成为企业的核心资产和安全防护的主要目标，数据的广泛流动是对数据面临的安全风险，场景呈倍数增加，为了保障数据的安全性，加密流量传输成了主流的方式。与此同时，加密流量也使得大量网络攻击隐藏其中，给安全防护带来极大的困扰。

　　“ DT时代，加密是数据传输的重要保护手段，但也成为黑客攻击的最佳隐藏手段，是我们必须警惕的‘灰犀牛’。”在日前奇安信集团举办的流量解密编排器新品发布会上，奇安信集团董事长齐向东表示。

　　此前在2021年北京网络安全大会上，齐向东曾分享了一个观点：人类社会从IT时代进入了DT时代。现在全球数据量正在呈爆炸式的增长，到2035年，全球数据总量要超过2万亿PB，与之同时大数据、5g云计算、互联网新技术也广泛应用，打破了传统的网络边界，安全暴露面不断的增加，更加剧了数据安全的风险。数据显示，仅去年一年数据泄露的记录就超过前15年的总和。所以在DT时代，保护数据安全将成为网络安全的首要任务，加密成为数据保护的重要手段。

　　Google的报告显示，当前互联网加密流量超过90%。据估计，企业内部80%也都是加密流量。工信部也在最近公布的《数据传输安全白皮书》中明确指出，传输的数据不能明文。所以，加密传输实际上已经成为了传输安全最基本的要求。

　　但与之对应的是，加密不仅用在防御侧，在攻击侧，加密流量也已成为黑客最常用的攻击手段。Gartner统计，在2020年就有超过70%的网络攻击使用加密流量。国外机构的最新调研报告显示，超过95%的企业明确表示遭遇过加密流量攻击。保守估计，加密流量攻击造成的全球损失达到上万亿美元。

　　在此前采访中，有安全专家也告诉安全419，攻击者为了窃取数据、控制目标系统，往往采取更加隐蔽的加密通信技术，通过对内容进行协议加密，消除攻击的明显特征，使检测难度呈指数上升。如渗透阶段采用TLS加密扫描，攻击阶段采用RDP、SSH等加密的暴力破解，再通过webshell获取权限，最后通过加密隧道外发数据等都是攻击者的常用手法。

　　在齐向东看来，任何技术都是双刃剑，加密技术在保护数据的同时也黑客攻击的最佳隐藏手段。“换句话说加密技术保护了数据，同时也保护了网络攻击者，对网络保护措施是我们必须要警惕的‘灰犀牛’。我们经常用灰犀牛黑天鹅来形容巨大的风险，但是黑天鹅发生的概率很小，不可测灰犀牛发生的概率很大，甚至可以预测。加密技术给网络安全带来的风险就是灰犀牛，人们往往会掉以轻心，以至于错失最佳的处理时机，最终酝酿成为严重后果。”

　　因此齐向东认为，在加密流量“灰犀牛”面前，解密和编排已经成为DT时代安全的基石。没有解密和编排，数据保护就如同空中楼阁，部分安全设备也就形同虚设，安全建设、升级、运维的效果也会大打折扣，运维成本极大地提升。为此，奇安信打造出的解密编排方案，填补了业内解密和智能编排技术类产品的空白。

　　齐向东进一步指出，从我国当前网络安全建设的情况来看，现有的解密和部署方案大多采用的是负载均衡和SSL加解密的技术路径，主要存在三大不足：

　　//第一，盲点多。实验数据表明，同样的处理器计算资源的情况下，SSL加密、解密的过程会严重消耗CPU的计算性能。如果明文新建能够达到100万，SSL加解密新建能力仅为1万，它的处理能力相差100倍。

　　“这就导致很多加密流量来不及解密、审查就通过，就好比安检的通道少，但客流量大，为了纾解压力，很多旅客没有经过安检就通过了，其中的危险是可想而知的。再比如，现在正值假期，高速车流量也会很大，收费站附近通常是堵车的高发路段，因此在节假日只要免费通行就能极大的缓解堵塞。目前，主要流量威胁监测设备都基于旁路监听，无法对当前绝大部分加密流量进行旁路解密，导致流量盲点普遍存在，增加了安全隐患。”齐向东谈到。

　　针对安全设备占用业务性能这一行业普遍的痛点，奇安信的做法是从“芯”开始，联合芯片解决方案厂商英特尔，将英特尔的QAT加速技术嵌入到CPU当中，能够提供高达100Gb/s的加解密性能，通过搭载硬件加速卡并通过自研的异步调用技术，真正实现了软硬合一，理论上可以将解密的性能大幅提升，解决了过去流量解密大量消耗CPU计算性能的问题。

　　//第二，效率低。目前业内主流的安全设备没有办法根据流量业务的类型进行灵活的分配，只有让安全设备承担所有流量，执行所有加解密的过程。比如当一个设备对SSL流量进行解密以后，下个设备接收的依旧不是明文流量，还要继续解密。这就为每个设备为了单一的安全工作需要把解密工作重复再做一遍，导致业务员延时高，这成为部署解密流量设备最大的压力。

　　在这一点上，奇安信的做法是将不同类型的流量进行分类引流，就是将明文的数据分发至服务链上各种安全设备上，从而实现一台设备成功解密，多台设备成果共享，极大地降低了负载和资源的消耗，大幅度地提升了解密的效率。

　　//第三，成本高。业内传统的部署方式往往都是安装设备一次串接，最终形成“糖葫芦串”的安全架构，任何设备发生故障都会引起全网的故障，损失是难以承受的。同时，又因为安全设备扩展性差，当新增软件新增设备进行扩容时都要做整体调整，升级维护成本也大。在这个过程当中，极容易出现断网的情况，又增加业务中断的成本。

　　在成本层面，奇安信这一解密编排方案重构了安全设备的系统部署架构，通过网元组负载分担、健康监测、流量编排等技术手段，实现安全设备资源池化，就是让我们整个安全设备部署架构更加具有弹性，具备动态扩容的能力，安全资源池也能容纳多个厂商的安全设备，来支持多样化的专业安全组件，从而实现安全能力的快速扩展。

　　齐向东最后表示，DT时代的企业安全建设工作中，如何让安全设备具备解密能力，看清加密流量内容中的威胁信息，已经成为至关重要的一环。流量解密编排器是在大的历史环境下，响应DT时代的需求必然会出现的一种技术创新的成果或产品，流量解密编排器也是从边界开始构建纵深防御体系，看见威胁的最重要的一步。

更多信息可以来这里获取==>>电子技术应用-AET<<