شرکتهای تولید کنندهی تجهیزات امنیتی |
| Cisco | Palo Alto Netowrks | Fortinet | Check Point Software Technologies |
ویژگیهای امنیتی |
تجزیه و تحلیل مداوم و استفاده از سوابق ذخیره شده جهت شناسایی تهدیدات (Continuous Analysis and Retrospective Detection) | ✔ | Limited | Limited | Limited |
پلتفرم Firepower سیسکو به صورت مداوم در حال آنالیز رخدادها خواهد بود و میتواند با در نظر گرفتن وضعیت گذشتهی فایلها، بدافزارها را شناسایی نموده، اعلام خطر نماید، رهگیری کند، آنالیز کرده و در نهایت برطرف سازد. این فایلها امکان دارد در گذشته فایلهای سالمیبه نظر میآمدهاند، اما پس اجرا، فعالیتهای مخربی داشته باشند. | بررسی در هنگام ورود فایل (بررسی در هنگام ورود فایل به این معناست که وضعیت فایل تنها زمانی که دیده میشود بررسی خواهد شد و اگر در آینده فعالیت خرابکارانهای داشته باشد مورد بررسی قرار نمیگیرد) | بررسی در هنگام ورود فایل (بررسی در هنگام ورود فایل به این معناست که وضعیت فایل تنها زمانی که دیده میشود بررسی خواهد شد و اگر در آینده فعالیت خرابکارانهای داشته باشد مورد بررسی قرار نمیگیرد) | بررسی در هنگام ورود فایل (بررسی در هنگام ورود فایل به این معناست که وضعیت فایل تنها زمانی که دیده میشود بررسی خواهد شد و اگر در آینده فعالیت خرابکارانهای داشته باشد مورد بررسی قرار نمیگیرد) |
مسیر حرکت فایلها در شبکه (Network File Trajectory) | Continious | ✖ | ✖ | ✖ |
پلفترمهای Firepower سیسکو نقشهای از چگونگی انتقال فایلها که شامل بدافزارها نیز میشود را توسط میزبانها بر روی شبکه ایجاد مینماید. این نقشه امکان نمایش فایلهایی که مسدود شده یا قرنطینه شدهاند را دارد. با این روش، امکان مشخص نمودن محدودهی مسموم شده توسط بدافزار و همچنین محافظت از باقی میزبانها را فراهم میسازد. این روش را شناسایی بیماری در نقطهی صفر نیز مینامند. | بستگی به ادامهی آنالیز فایلها دارد. | بستگی به ادامهی آنالیز فایلها دارد. | بستگی به ادامهی آنالیز فایلها دارد. |
بررسی میزان تأثیر و آسیب حملات (Impact Assessment) | ✔ | Limited | Limited | Limited |
پلفترمهای Firepower شرکت سیسکو ارتباطات میان رخدادهای تلاش برای نفوذ را دستهبندی نموده و میزان خسارات حمله را مشخص مینماید. به این ترتیب کارشناسان امنیت میدانند که اولویت نخست نگرانیها چیست و سریعتر به آن رسیدگی خواهند کرد. اطلاعات به دست آمده بر اساس شناسایی تجهیزات، که شامل سیستمعامل، نرمافزارهای Client و Server، آسیبپذیریها، پردازش فایلهای عبوری و رخدادهای ارتباطی است. | میزان خسارات براساس حساسیت تهدید محاسبه میشود و هیچگونه اطلاعاتی از پروفایل میزبان، که آیا آسیبپذیری در آن باعث ایجاد تهدید شده است، در آن دخیل نمیباشد. | میزان خسارات براساس حساسیت تهدید محاسبه میشود و هیچگونه اطلاعاتی از پروفایل میزبان، که آیا آسیبپذیری در آن باعث ایجاد تهدید شده است، در آن دخیل نمیباشد. | میزان خسارات براساس حساسیت تهدید محاسبه میشود و هیچگونه اطلاعاتی از پروفایل میزبان، که آیا آسیبپذیری در آن باعث ایجاد تهدید شده است، در آن دخیل نمیباشد. |
خودکارسازی تغییرات امنیتی منطبق بر فرآیندهای مدیریت تهدیدات
(Security Automation and Adaptive Threat Mangement) | ✔ | Limited | Limited | Limited |
پلتفرمهای فایرپاور سیسکو امکان ایجاد تغییرات خودکار و شناور را بر روی شبکه، فایلها و یا میزبانها دارا هستند. این خودکارسازی نکات کلیدی دفاعی مانند بهینهسازی قوانین NGIPS، و بروزرسانی سیاستهای فایروال را پوشش میدهد. | تمامی سیاستها جهت تغییر، نیاز به انجام فرآیند توسط مدیر یا کارشناس امنیت مربوطه را دارند. سیاستها محدود به بهینهسازیهای پایه هستند و رخدادهای False Positive به صورت دستی شناسایی و رفع میشود. | تمامی سیاستها جهت تغییر، نیاز به انجام فرآیند توسط مدیر یا کارشناس امنیت مربوطه را دارند. سیاستها محدود به بهینهسازیهای پایه هستند و رخدادهای False Positive به صورت دستی شناسایی و رفع میشود. | تمامیسیاستها جهت تغییر، نیاز به انجام فرآیند توسط مدیر یا کارشناس امنیت مربوطه را دارند. |
بررسی شاخصهای رفتارشناسی فایلها بر روی تجهیزات نهایی کاربران (Endpoints) از نظر Compromise شدن
( Indicator of Compromised) | ✔ | Limited | Limited | Limited |
پلتفرمهای Firepower سیسکو روند رفتاری فایلها را به همراه سابقهی آنها و شهرت وبسایتهای مرتبط را مورد بررسی قرار میدهند؛ همچنین رفتار تجهیزات نهایی را در شبکه مورد بررسی قرار داده که در نهایت با استفاده از هوش مصنوعی، ارتباطاتی میان این دو مورد به دست خواهد آمد. در نهایت با توجه به میلیاردها الگوی موجود از تهدیدات در سراسر دنیا، امکان شناسایی و قرنطینه نمودن تجهیزات نهایی مسموم برای کارشناسان و مدیران امنیت به وجود آمده است. | به صورت استاندارد، فاقد رفتارشناسی IoC است که بر روی تولیدات متفاوتشان وجود دارد. | IoCها بر اساس حساسیت تهدیدات مشخص میشود و براساس رفتارشناسی نیستند. | IoCها بر اساس حساسیت تهدیدات مشخص میشود و براساس رفتارشناسی نیستند. |
آگاهی از وضعیت کاربران، شبکه و تجهیزات نهایی
(Users, Netowrk and Endpoint Awareness) | Next-Generation | Limited | Limited | Limited |
پلتفرمهای Firepower سیسکو آنالیزی کاملاً متنی از تهدیدات و محافظتهای موجود که شامل اطلاعاتی همچون گذشتهی شبکهای کاربر بر روی تمامی تجهیزاتی که با آنها به شبکه متصل شده است، تجهیزات قابل حمل متصل شده به شبکه، نرمافزاهای سمت کاربران، سیستمعاملها، ارتباطات میان ماشینهای مجازی، آسیبپذیریها، تهدیدات و URLهای مورد استفاده در شبکه را به صورت مداوم انجام میدهند. | تنها از وضعیت کاربر آگاهی دارند. | تنها از وضعیت کاربر آگاهی دارند، مگر آنکه نرمافزارهای جداگانهای بر روی سیستمهای آنها نصب شده باشد. | تنها از وضعیت کاربر آگاهی دارند، مگر آنکه نرمافزارهای جداگانهای بر روی سیستمهای آنها نصب شده باشد. |
NGIPS | ✔ | Limited | Limited | Limited |
نسل جدید سیستم پیشگیری از نفوذ (NGIPS) به همراه آگاهی کامل از شبکه و استفاده از نقشهی شبکه | | | |
یکپارچهسازی شده با سرویسهای محافظت پیشرفته در برابر بدافزارها (AMP) | ✔ | Limited | Limited | Limited |
به صورت داخلی بر روی پلتفرمهای فایرپاور سیسکو وجود دارد. همچنین این پلتفرمها توانایی Sandboxing شناور (AMP-ThreatGrid) را داشته که امکان شناسایی اجتنابناپذیر با استفاده از اطلاعات بدست آمده از Sandboxها را دارا هستند. این شناساییها با استفاده از رفتارشناسی بیش از 1000 IoC، برقراری ارتباطات منطقی میان رفتارهای آنها و امتیازدهی به تهدیدات امکانپذیر شده است. | وجود Sandbox به صورت رایانشهای ابری و به صورت محلی و به عنوان تجهیزات و تولیدات جداگانه | وجود Sandbox به صورت رایانشهای ابری و به صورت محلی و به عنوان تجهیزات و تولیدات جداگانه | وجود Sandbox به صورت رایانشهای ابری و به صورت محلی و به عنوان تجهیزات و تولیدات جداگانه |
تصفیه و حذف بدافزارها (Malware Remediation) | ✔ | Limited | Limited | Limited |
خودکارسازی هوشمند با استفاده از Cisco AMP به کارشناسان امنیت اجازه میدهد که به سرعت از میزان گستردگی حمله و محتویات آن در هنگام وقوع آن با خبر شده و موارد مورد نیاز را انجام دهند. همچنین با توجه به وجود نقشه یا File Trajectory سریعاً میزبانهای آلوده شده را قرنطینه نمایند تا از انتشار آن جلوگیری شود. | به صورت عمومی نقشهای از محدودهی حمله و دلایل آن برای حملههای ناشناخته وجود نداشته و تمامی موارد جهت ترمیم آسیبهای به وجود آمده به صورت دستی انجام میگیرد. | به صورت عمومی نقشهای از محدودهی حمله و دلایل آن برای حملههای ناشناخته وجود نداشته و تمامی موارد جهت ترمیم آسیبهای به وجود آمده به صورت دستی انجام میگیرد. | به صورت عمومی نقشهای از محدودهی حمله و دلایل آن برای حملههای ناشناخته وجود نداشته و تمامی موارد جهت ترمیم آسیبهای به وجود آمده به صورت دستی انجام میگیرد. |
