Scovare malware ed eventuali altre infezioni nel traffico cifrato? Con Encrypted Traffic Analytics (Eta) di Cisco è possibile. L’azienda ha concluso la fase di test su questa nuova funzionalità di sicurezza, in grado di osservare i flussi sulla rete e di analizzare le loro caratteristiche con tecnologie di apprendimento automatico in cloud. Il tutto senza decifrare i dati e garantendo quindi la privacy. Eta è già disponibile per alcuni modelli di router delle serie Asr, Isr e Csr. Cisco è arrivata a completare la prima fase di sviluppo della funzionalità grazie all’identificazione delle tracce che un malware può lasciare quando genera traffico improprio. Sono ben 400 i “segnali” che un programma maligno può disseminare durante un’infezione, legati a dati semplici (come la sorgente e la destinazione del flusso) o anche più complessi: ad esempio la variabilità nella lunghezza e nei momenti di trasmissione dei pacchetti.
Il principale vantaggio di Eta, secondo il vendor, è la possibilità di operare senza decifrare le informazioni. Inoltre, la funzionalità si integra a livello di rete ed è quindi molto più pervasiva rispetto alle soluzioni normalmente incentrare sugli endpoint. Infine, la novità può svolgere anche il ruolo di piattaforma per la “cryptographic compliance”, ossia analizzare cosa viene cifrato nel perimetro dell’impresa, e in quale modo, inviando poi report dettagliati ai profili di compliance aziendali.
L’unico limite finora evidenziato da Cisco è rappresentato dai requisiti hardware e software: per funzionare al massimo delle proprie potenzialità, Eta richiede infatti equipaggiamenti di grande livello. Non a caso il vendor ha rilasciato finora la funzionalità soltanto sugli switch di campus Catalyst 9300 e 9400, oltre che su alcune soluzioni per applicazioni branch, Wan e cloud: gli Integrated Services Router 4000, 1000 e le versioni virtuali sui nodi Encs 5000; gli Aggregation Services Router 1000; i Cloud Services Router 1000v.