齊向東：DT時代需警惕加密攻擊這隻“灰犀牛”

“ DT時代，加密是資料傳輸的重要保護手段，但也成為駭客攻擊的最佳隱藏手段，是我們必須警惕的‘灰犀牛’。”在9月13日奇安信集團舉辦的流量解密編排器新品釋出會上，奇安信集團董事長齊向東表示，在加密流量這隻“灰犀牛”面前，解密編排成為DT時代的安全基石，能夠幫助政企客戶解決加密流量攻擊帶來的巨大威脅。

在2021年北京網路安全大會上，齊向東曾分享了一個觀點：人類社會從IT時代進入了DT時代。在資料量爆發式增長的DT時代，資料安全成為網路安全的首要任務，而加密成為資料傳輸的必選項。工信部最近釋出的《資料傳輸安全白皮書》明確指出，傳輸的資料不能明文，這是資料傳輸安全最基本的要求。

Google的報告顯示，當前網際網路加密流量超過90%。據估計，企業內部80%是加密流量。與之對應的是，加密成為駭客最常用的攻擊手段。Gartner統計，在2020年就有超過70%的網路攻擊使用加密流量。國外機構的最新調研報告顯示，超過95%的企業明確表示遭遇過加密流量攻擊。保守估計，加密流量攻擊造成的全球損失達到上萬億美元。

齊向東認為，相對於機率小、不可預測的黑天鵝，灰犀牛事件發生機率大、可預測。加密技術給網路安全帶來的風險就是“灰犀牛”，人們往往會掉以輕心，以至於錯失最佳處理時機，最終釀成嚴重後果。在加密流量這隻“灰犀牛”面前，解密和編排成了DT時代的安全基石。沒有解密和編排，資料保護就如同空中樓閣，部分安全裝置形同虛設，安全建設、升級、運維的效果也會大打折扣，運營成本巨大。

齊向東表示，目前我國網路安全建設在解密和部署方面，還存在三方面不足。第一是盲點多，SSL加解密過程會嚴重消耗CPU的計算效能，導致很多加密流量來不及解密就通過了，而旁路偵聽的流量威脅檢測裝置無法對大部分加密流量進行旁路解密，導致流量盲點普遍存在；第二是效率低，目前安全裝置的部署模式，當一個裝置對SSL流量進行解密後，下個裝置接收的依舊不是明文流量，還要繼續解密，造成不必要的資源浪費，業務效率低下。第三是成本高，傳統 “糖葫蘆串”的安全部署架構，任何一個裝置發生故障，都會有可能引起全網故障，損失難以承受。擴充套件性差、升級維護難，增加了業務中斷成本。

為了解決這些問題，奇安信基於鯤鵬平臺的高效研發能力，結合北京冬奧網路安全保障實踐，打造出了國內首創的解密編排方案，它具備三大亮點。

首先是軟硬結合的高效能解密，消除盲點檢測更全面。

透過和英特爾等晶片硬體廠商的合作，新產品搭載硬體加速卡，並配合自研的非同步呼叫技術，真正實現了軟硬合一，理論上可以將解密效能提升10倍以上，讓加密流量檢測更全面、更準確、更及時。

其次是高效能解密結合智慧編排技術，顯著提高效率。

奇安信首創了智慧化服務鏈編排技術，可實現“一臺裝置成功解密，多臺裝置成果共享”，極大降低網路負載和資源消耗，大幅提升加解密效率。

最後是透過安全能力資源池化和服務化，極大降低成本。

奇安信重構安全裝置的傳統部署架構，透過網元組、負載分擔、健康監測、流量編排等技術手段，實現了安全裝置資源池化，讓整個安全裝置的部署架構更有彈性，具備動態擴容的能力。安全資源池能相容各個廠商的安全裝置，支援多樣化專業的安全元件，實現安全能力快速擴充套件；還能依靠獨特的探測機制保障業務連續性，從而大大降低總體成本。

齊向東表示，奇安信推出的流量解密編排器新品，不僅能解決邊界安全問題，更能為整個DT時代夯實網路安全防線，避免“灰犀牛”事件的發生。

（雷峰網）