Poprzedni Następny

Encrypted Traffic Analytics – znajdź malware w szyfrowanym ruchu

Firma Cisco przedstawiła produkt Encrypted Traffic Analytics (ETA), który umożliwia identyfikowanie malweare-u w ruchu zaszyfrowanym przy pomocy protokołów SSL/TLS bez potrzeby jego odszyfrowania. W tym celu używano jak dotąd głównie serwerów, lub urządzeń pracujących w trybie proxy, które zastępowały oryginalne certyfikaty własnymi. Jednak ta metoda mogła wprowadzać pewne opóźnienia w ruchu oraz ingerowała w prywatność użytkowników.

Jak działa Encrypted Traffic Analytics

Rozwiązanie wykrywa złośliwe oprogramowanie używając uczenia maszynowego oraz modelowania statystycznego. Do tego celu zbierane są np.:

  • statystyki generowane przez protokół Netflow,
  • długość analizowanych pakietów,
  • informacje zawarte w wiadomościach TLS ClientHello.

Aktualnie ETA wymaga aplikacji Cisco Stealthwatch w celu przetwarzania danych oraz współpracuje jedynie ze switchami Catalyst z serii 9000 i routerami ISR serii 4000.

Źródło: https://blogs.cisco.com/security/detecting-encrypted-malware-traffic-without-decryption,

Podobne