TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Cisco ได้ประกาศออกความสามารถใหม่หรือ Encrypted Traffic Analytics (ETA) เมื่อวันที่ 10 มกราคมที่ผ่านมา เพื่อแก้ปัญหาด้านความมั่นคงปลอดภัยในการวิเคราะห์ข้อมูลที่เข้ารหัส โดยความสามารถนี้สามารถใช้งานได้แล้วใน Campus Switch, Branch Office Router, Intergrated Services Router และ Cloud Services Router
ผู้โจมตีมีการพัฒนาโดยใช้การเข้ารหัสเพื่อซ่อนตัว หลบซ่อนการตรวจจับการทำงานแบบรอรับคำสั่งควบคุมจากเซิร์ฟเวอร์ (C&C) การเจาะนำข้อมูลออก หรือกิจกรรมอื่นๆ ที่ถูกตรวจสอบโดยเครื่องมือตรวจจับต่างๆ ทางเดียวที่จะตรวจจับภัยเหล่านี้ได้คือต้องถอดรหัสก่อนซึ่งอาจจะขัดแย้งกับเรื่องความเป็นส่วนตัวของข้อมูลที่เข้ารหัส โดยเฉพาะกับองค์กรที่มีข้อบังคับเกี่ยวกับข้อมูล
โดยมีหลักฐานสนับสนุนเพิ่มเติมคือมีผลวิจัยจาก Zscaler พบว่าภัยคุกคามอันตรายใช้การเข้ารหัสเพิ่มขึ้นถึง 2 เท่าในช่วงครึ่งปีหลัง อีกทั้งเจ้าของผลิตภัณฑ์ด้านความมั่นคงปลอดภัยได้รายงานการบล็อกความพยายามในการหลอกลวงที่ส่งผ่านทางการเข้ารหัสแบบ SSL/TLS กว่า 12,000 ครั้งต่อวันซึ่งเพิ่มขึ้นกว่า 400% เทียบกับปีก่อนหน้า
- การเริ่มต้นสร้างการเชื่อมต่อของข้อมูลซึ่งบ่อยครั้งจะมีข้อมูลสำคัญเกี่ยวกับข้อมูลที่จะเข้ารหัสที่ตามมา
- ลำดับความยาวของข้อมูลและเวลาเพื่อเป็นเบาะแสภายใน Content ของทราฟฟิคที่เกิดขึ้นมากกว่าตอนเริ่มสร้าง Packet
- การกระจายของ Byte ที่เกิดขึ้นกับ Packet Payload ภายในทราฟฟิคของข้อมูลที่เข้ารหัส
หลังจากทดสอบในงานวิจัยของ Cisco กับปัจจัยที่กล่าวมา ETA จะสามารถตรวจหาสัญญานของมัลแวร์ภายในทราฟฟิคที่เข้ารหัสได้ ซึ่งการวิจัยที่เกิดขึ้นได้ทดลองความแตกต่างของทราฟฟิคดีและไม่ดีบนโปรโตคอล TLS, DNS และ HTTP
นาย TK Keanni วิศวกรจาก Cisco กล่าวว่า “ETA ไม่เพียงแค่ตรวจจับพฤติกรรมอันตรายได้เท่านั้นแต่ยังช่วยองค์กรสามารถตอบคำถามเช่น ธุรกิจมีปริมาณการใช้ข้อมูลที่เข้ารหัสหรือไม่เข้ารหัสแค่ไหน” นอกจากนี้ยังเสริมว่า ETA สามารถติดตามข้อมูลได้แบบ Passive แทนที่จะถอดรหัสข้อมูลออกมาก่อน “เราต้องเคารพความเป็นส่วนตัวโดยการไม่ไปเข้าดูข้อมูลตรงๆ แต่ใช้โดยการอนุมาณเชิงสถิติแทน“–Keanni กล่าวปิดท้าย
