Eta (Encrypted traffic analytics) di Cisco è una piattaforma software che monitora i metadati dei pacchetti di rete per rilevare il traffico dannoso, anche se criptato, è ora generalmente disponibile.
I sensori di Eta
Encrypted traffic analytics è un prodotto distribuito nelle sedo dei clienti che monitora la loro rete e raccoglie informazioni sui flussi di traffico. Utilizza una serie di sensori posizionati in tutta la rete per controllare tutto il traffico che attraversa.
Eta utilizza una combinazione di motori di analisi locali combinati con una piattaforma cloud-based che analizza metadati anonimi sul traffico di rete per cercare e bloccare il traffico dannoso, anche se criptato.
Machine learning multistrato
Eta raccoglie metadati sui flussi di traffico utilizzando una versione modificata di NetFlow e ricerca le caratteristiche che indicano che il traffico potrebbe essere dannoso.
Controlla il pacchetto di dati iniziale, che viene tradotto in chiaro, anche nel traffico criptato. Registra anche le dimensioni, la forma e la sequenza dei pacchetti, quanto tempo impiegano per attraversare la rete e monitora altre caratteristiche sospette, come ad esempio un certificato autofirmato, o se dispone di identificatori di comando e controllo.
Tutti questi dati possono essere raccolti sul traffico, anche se criptati. Eta utilizza la visibilità di rete e il machine learning multistrato per cercare differenze osservabili tra traffico malware e malware. Se le caratteristiche del traffico dannoso sono identificate in qualsiasi pacchetto, vengono segnalate per un’ulteriore analisi attraverso una profonda ispezione dei pacchetti e il potenziale blocco da parte di un dispositivo di sicurezza esistente come un firewall.
Il sistema di monitoraggio dI Eta si chiama StealthWatch e Talos. Nel frattempo, se il traffico viene identificato come dannoso, l’Eta può segnalarlo al software di gestione della rete Dna Center di Cisco per garantire che il traffico sia bloccato in tutta la rete. Cisco dice di utilizzare gli algoritmi di apprendimento macchina per addestrare Eta alla ricerca di nuove vulnerabilità e all’ adattamento ai cambiamenti.
Un grande affare per l’IoT
Sempre più traffico viene criptato. Cisco stima che il 55% del traffico sul web è crittografato ora, una cifra che Gartner prevede crescerà all’ 80% entro il 2019. Nel frattempo, fino al 41% degli hacker utilizza la crittografia per eludere il rilevamento, afferma Cisco.
Le aziende utilizzano una serie di opzioni per garantire la sicurezza del traffico crittografato nelle loro reti. La maggior parte di questi approcci utilizzano firewall di nuova generazione, ispezioni Dpi (Ddeep packet inspection) o Sss (Secure socket layer).
Questi strumenti richiedono però una sorta di compromesso. L’ispezione Ssl, ad esempio, intercetta e decritta il traffico per determinare se è dannoso e solo dopo aver confermato che è sicuro completerà la connessione. Il malware può infettare l’ispezione Ssl, rendendola vulnerabile. Eta potrebbe essere importante anche nel mondo IoT.
La capacità di monitorare i metadati del traffico criptato significa che l’Eta potrebbe analizzare tutto il traffico IoT senza necessariamente dover installare strumenti di sicurezza come firewall su ciascuno dei dispositivi IoT a piccolo fattore di forma. Cisco afferma che Eta offre un altro vantaggio: la conformità crittografica. Alcune organizzazioni sono tenute ad utilizzare determinati livelli di crittografia per motivi normativi. L’Eta, attraverso l’uso di metadati di analisi, può fornire la prova di determinati livelli e tipi di crittografia utilizzati.