La quota di
traffico cifrato rispetto al flusso complessivo del traffico dati sulle reti aziendali sta aumentando costantemente e questo è, da diversi punti di vista,
un elemento positivo. Comporta però un problema non secondario: per le piattaforme di sicurezza analizzare i contenuti del traffico cifrato è più complesso rispetto all'analisi del traffico in chiaro, quindi c'è la possibilità che
eventuali infezioni di malware passino inosservate.
Qualche tempo fa Cisco aveva annunciato lo sviluppo di una funzione specifica per questo problema. Battezzata
Encrypted Traffic Analytics, permette di evidenziare la presenza di eventuali infezioni nei nodi di rete analizzando passivamente il traffico generato,
senza decifrare i pacchetti in transito. Ora ETA è
uscita dalla fase di test ed è disponibile per alcuni modelli delle linee di router ASR, ISR e CSR.
La funzione di
Encrypted Traffic Analytics opera osservando i flussi di traffico sulla rete aziendale e
analizzando le loro caratteristiche con funzioni di machine learning in cloud. Cisco ha identificato circa quattrocento "tracce" che un malware può lasciare quando genera traffico improprio, tracce che possono essere legate a dati semplici (ad esempio sorgente e destinazione di un flusso dati) o più complessi (ad esempio la variabilità nella lunghezza e nei momenti di trasmissione dei pacchetti) e che quindi richiedono appunto funzioni evolute per essere rilevati.
Secondo Cisco ETA presenta diversi vantaggi. Il principale è che opera senza decifrare il traffico e questo permette di
tutelare la privacy delle trasmissioni dati legittime. Inoltre la rete è ovunque in azienda e quindi una funzione di protezione integrata a livello rete è
molto più pervasiva di quelle incentrate sugli endpoint, potendo poi proteggere anche dispositivi di rete per cui non sono stati sviluppati software di protezione,
come quelli IoT. Infine, la Encrypted Traffic Analytics può fare anche da piattaforma per la "
cryptographic compliance", ossia analizzare cosa viene cifrato in azienda e come, rapportando queste informazioni ai profili di compliance aziendali.
L'unico limite indicato da Cisco sta nel fatto che ETA
richiede hardware e software di livello per operare ad alta velocità. Per questo dop il debutto sugli switch di campus Catalyst 9300 e 9400 ora tocca solo alcuni router per applicazioni branch, WAN e cloud: gli Integrated Services Router 4000, 1000 e le versioni virtuali sui nodi ENCS 5000; gli Aggregation Services Router 1000; i Cloud Services Router 1000V.