Cisco ETA

Cisco ETA

Scroll Down

一、ETA

1、ETA介绍

当今的网络中充斥着各种网络威胁,比如劫持、窃取、篡改数据,而中间人攻击是诸多渗透攻击者惯用的手段。为了有效缓解中间人攻击,很多站点采用了HTTPS,根据BuiltWith的数据,截至到2021/2/18日,检测到互联网上的SSL证书数量是2020年的两倍。考虑两个方面:

  • 从攻击者角度来看使用HTTPS加密流量:为了将威胁成功散步到目标系统和网络,恶意攻击者一定会竭尽全力。一旦成功成功入侵目标组织,最不想遇到的就是自己的流量被网络监控工具监控到。所以现在很多威胁都会借助加密流量来防止自己遇到这种情况。从命令控制通信到数据盗取,恶意攻击者都会通过加密来隐藏恶意流量。
  • 从防御者角度来看使用HTTPS加密流量:如果组织的网络管理员想要监控HTTPS流量中是否有恶意流量怎么办?部署安全设备,首先由SSL加解密设备解密,随后交由安全设备执行安全检查,这种方式是目前绝大多数的安全设备和安全策略的方案,但是该方案极具影响设备和网络性能,因为需要考虑到SSL加解密设备的性能和网络吞吐量的关系。

至于攻击者是否采用HTTPS加密攻击流量,来看几则数据:

  • 根据Cisco发布的《年度热点威胁报告》指出发现的所有威胁事件中,有63%是在加密流量中发现的。由此看出加密流量发动的威胁持续加剧,由于数据需要有HTTPS来保护,所以整个行业不太可能放弃使用HTTPS技术,但是部署之后并不意味着万事大吉,因为很可能被攻击者进行尝试并有效利用的一种攻击策略。
  • 根据反钓鱼工作组(APWG)的数据显示,2019年有74%的钓鱼网站使用HTTPS证书实现了安全锁。免费SSL证书为恶意攻击者提供了一种极其简单的方式,这样使得他们的钓鱼网站看起来更加可信。

上述表述已经非常明显,基于加密流量的新威胁趋势正在上升,而大多数组织都没有检测加密流量中的恶意攻击的解决方案,他们缺乏检测出加密流量威胁且不会降低网络速度的解决方案,出于性能的原因,使用SSL加解密设备会损害隐私和数据完整性。此时需求来了,有没有存在一种技术,既不需要加解密流量,又能检测到加密流量中的恶意攻击?

eta.png

2、ETA

1)ETA介绍

用于捕捉恶意加密流量的其中一种方法即流量指纹技术。这项技术能够监控网络中的加密数据包,并寻找与已知恶意活动相匹配的攻击模式。2018年1月,Cisco正式发布加密流量分析平台(Encrypted Traffic Analytics,ETA),Cisco是业界第一个能够在加密流量中发现威胁的厂商,Cisco ETA能够在加密网络环境中不对数据进行任何解密的前提下,监测出加密的恶意网络流量,有效防止恶意攻击者做出的各种攻击手段。

ETA会根据原始数据包的先后顺序、时间、长度来寻找数据内容是否异常,还能在数据包在加密网络中加载时,对数据包内的数据执行过程进行监测。整个过程需要使用Cisco StealthWatch来比较恶意流量中的元数据和正常流量数据之间的区别,才能确定是否是恶意网络流量。更多ETA提取的元素项见ETA提取元素。

基于Netflow协议,从现有网络设备中发送流量数据(需要导出两个特点字段:初始数据包、数据包序列的时间与长度)到FC,FC经过分析和处理后上送到Stealthwatch,FC再将流量导出到云端分析,并结合云端返回的数据进行判断。数据包序列的时间与长度是Cisco ETA判断是否为恶意流量的重要字段。

2)ETA特点

使用ETA的好处:

  • 安全可见性:使用Stealthwatch深入了解加密流量中的威胁。通过与用户和设备信息相关的实时分析获取上下文威胁情报。
  • 更快的响应时间:快速遏制受感染的设备和用户
  • 节省时间和成本:无需购买SSL加解密设备,且能够拥有极高的检出率和速度

3)ETA提取元素

重要的ETA提取元素项

ETA focuses on identifying malware communications in encrypted traffic through passive monitoring, the extraction of relevant data elements, and a combination of behavioral modeling and machine learning with cloud-based global visibility.

Transport Layer Security (TLS) is a cryptographic protocol that provides privacy for applications. TLS is usually implemented on top of common protocols such as HTTP for web browsing or Simple Mail Transfer Protocol (SMTP) for email. HTTPS is the use of TLS over HTTP. This is the most popular way of securing communication between a web server and client and is supported by most major web servers.

ETA extracts four main data elements: The initial data packet, the sequence of packet lengths and times, the byte distribution, and TLS-specific features. Cisco’s unique Application-Specific Integrated Circuit (ASIC) architecture provides the ability to extract these data elements without slowing down the data network.

  • Initial Data Packet (初始化数据包): IDP is used to obtain packet data from the first packet of a flow. It allows extraction of interesting data such as an HTTP URL, DNS hostname/address, and other data elements. The TLS handshake is composed of several messages that contain interesting, unencrypted metadata used to extract data elements such as cipher suites, TLS versions, and the client’s public key length.
  • Sequence of Packet Lengths and Times (数据包长度和时间序列): SPLT conveys the length (number of bytes) of each packet’s application payload for the first several packets of a flow, along with the interarrival times of those packets.SPLT can be represented as an array of packet sizes (in bytes) along with an array of times (in ms) representing the time since the previous packet was observed.
  • Byte distribution(字节分布): The byte distribution represents the probability that a specific byte value appears in the payload of a packet within a flow. The byte distribution of a flow can be calculated using an array of counters. The major data types associated with byte distribution are full byte distribution, byte entropy, and the mean/standard deviation of the bytes. For example, using one counter per byte value, an HTTP GET request, “HTTP/1.1.”, can be calculated by incrementing the corresponding counter once for the “H,” then incrementing another counter twice for the two consecutive “T’s” and so on. Although the byte distribution is maintained as an array of counters, it can easily be turned into a proper distribution by normalizing by the total number of bytes.

详细的ETA提取元素表

eta1.png

eta2.png

4)ETA检出率和速率

Cisco ETA获得Miercom性能验证认证。Miercom进行了对比实验,无ETA(存在思科网络设备 + 网络安全分析设备)攻击路径,有ETA(存在思科网络设备 + 网络安全分析设备)攻击路径,攻击方式有木马、僵尸网络、勒索病毒、键盘记录器漏洞等。提取Miercom报告中的几个ETA亮点:

  • ETA3个小时发现所有模拟的加密流量威胁:在有ETA攻击路径上,检测到的威胁速度比无ETA的路径快36%,此外3个小时内所有威胁都被检测到。
  • ETA检出率高达100%:在刚开始的5分钟时间内,ETA检测出近2/3的恶意流量,是无ETA攻击路径的两倍。即使流量很小,3个小时内检出率高达100%。

下图分别是:测试网络拓扑和威胁检出时间
eta4.png

1、有ETA:NetFlow + ETA
2、无ETA:NetFlow

eta3.png

Miercom关于ETA性能测试报告

提取码:1234