بررسی نسخه 7.0 سیسکو Cisco StealthWatch 7.0 | Stealthwatch

پلتفرم سیسکو StealthWatch، یکی از ابزارهای پراستفاده و کارآمد شرکت سیسکو (Cisco) در زمینه امنیت شبکه و امنیت رایانش‌های ابری (Cloud) است. این پلتفرم سبب شد تا Visibility در زیرساخت های شبکه ای و رایانش ابری (Cloud) به صورت بی نظیری افزایش و عمق یابد و به همین علت به یکی از ابزارهای مورد علاقه کارشناسان امنیت شبکه تبدیل شود. شرکت سیسکو (Cisco) اخیرا نسخه جدید پلتفرم سیسکو StealthWatch، یعنی نسخه 7.0 را معرفی کرده است. نسخه جدید پلتفرم سیسکوStealthWatch با توجه به تغییرات جدید در تهدیدات سایبری به روزرسانی شده است. همان‌طور که در جریان هستید تهدیدات سایبری به صورت مداوم در حال پیشرفت و تکامل هستند؛ در این راستا می‌توان گفت فعالیت شرکت سیسکو (Cisco) در جهت امن‌سازی و بهینه‌سازی پلتفرم‌هایی که در اختیار مشتریان خود قرار داده و محافظت همه جانبه از این مشتریان، یکی از موارد خوشایند است. در نسخه 7.0 سیسکو StealthWatch ویژگی‌های فراوانی ارائه شده است که در این مقاله تلاش شده تا گلچینی از ویژگی‌های باارزش‌تر، بااهمیت‌تر و جالب‌تر شرح داده شود.

بهینه‌سازی و تکامل Context-Aware

پلتفرم سیسکو StealthWatch پیش از این نیز به صورت کاملا هماهنگ و یکسان با پلتفرم سیسکو ISE یکپارچه می‌شد، و از طریق این یکپارچه‌سازی می‌توانست اطلاعات کاربران را نیز به Context‌ای که براساس اطلاعات جریان ترافیکی ایجاد کرده اضافه کند. در این صورت در هنگام وقوع حمله و یا شناسایی تهدیدات، کارشناسان امنیت که مسئول راهبری سیسکو StealthWatch بودند، می‌توانستند به سرعت واکنش مناسبی به رخداد شناسایی شده نشان دهند. 

در نسخه 7.0 پلتفرم سیسکو StealthWatch این ویژگی‌ها تکامل بیشتری داشته اند که برخی از این تکامل‌ها به شرح زیر هستند:

•  در این نسخه پلتفرم سیسکو StealthWatch امکان دریافت برچسب‌‌های TrustSEC یعنی Security Group Tags یا SGT را به صورت مستقیم از پلتفرم سیسکو ISE دارد که با استفاده از این توانایی جدید، پلتفرم سیسکو StealthWatch امکان چسباندن آدرس‌های IP به این برچسب‌ها را بدست آورده است. پیاده‌سازی این ساختار سبب افزایش کارآمدی تقسیم‌بندی های نرم‌افزاری شبکه یا Network Segmentation شده و همچنین امکانات بیشتری برای ایجاد گزارشات شخصی‌سازی شده بر اساس نیازهای کسب و کار را در اختیار کارشناسان امنیت قرار می‌دهد.

•  کارشناسان امنیت که وظیفه راهبری پلتفرم سیسکو StealthWatch را برعهده دارند با استفاده از تکامل‌های جدیدی که در یکپارچه‌سازی پلتفرم سیسکو ISE و این پلتفرم به وجود آمده، می‌توانند به صورت انتخابی فرایندهای مسدودسازی و یا قرنطینه‌سازی را براساس شدت تهدیدات شناسایی شده، انجام دهند. این فرایندها با استفاده از ویژگی و سیاست‌های Adaptive Network Control یا ANC موجود بر روی پلتفرم سیسکو ISE انجام می‌گیرد.

•  بهینه‌سازی در توان عملیاتی و امکان یکپارچه‌سازی با چندین خوشه (Cluster) پلتفرم سیسکو ISE، امکان پاسخگویی به تعداد بیشتر Session و کاربران همزمان را نیز بهبود بخشیده است. البته می‌توان گفت که این ویژگی در کنار تکامل‌هایی در توان عملیاتی پلتفرم سیسکو ISE ، بدست آمده است.

کنترل بهتر

در دنیای کسب و کار به سختی می‌توان دو شرکت یا تجارت را یافت که از نظر ساختار به یکدیگر شباهت داشته باشند. هر کدام از این کسب و کارها جریان کاری اختصاصی و همچنین فرایندهای اداری مختص به خود را دارند. حال با بست دادن این موارد به امنیت شبکه، می‌توان گفت که رفتارهایی که در یک سازمان به صورت مشکوک و خطرناک شناسایی می‌شود، می‌تواند در کسب و کار یا سازمان دیگر به عنوان یک رفتار طبیعی و نرمال باشد. با توجه به این موارد کارشناسان امنیت نیاز دارند که زمان بسیاری را صرف بررسی رخدادهای امنیتی اعلان شده کنند؛ که مبادا تهدیدی جدی به اشتباه از دست برود. در جهت بهبود بررسی رخدادهای امنیتی، شخصی‌سازی بر اساس نیازهای کسب و کار و مدیریت ساده‌تر و سریع‌تر، شرکت سیسکو (Cisco) توانایی‌های جدیدی را در نسخه 7.0 پلتفرم امنیتی سیسکو StealthWatch اضافه کرده است.

1- تکامل در مدیریت Hostها و کاربران:

با استفاده از نسخه 7.0 پلتفرم سیسکو StealthWatch، امکان مدیریت کاربران و Hostها از طریق صفحه وب امکان‌پذیر شده است. این امر در نسخه‌های پیشین از طریق کنسول Java محور انجام می شد. در این نسخه امکان اضافه نمودن کاربر به منظور مدیریت پلتفرم سیسکو StealthWatch نیز اضافه شده است. با اعمال نقش‌های مدیریتی موجود به این کاربران، هرکدام امکان دسترسی به بخش‌­های مشخص شده را خواهند داشت. همچنین امکان طبقه‌بندی Hostها در داخل گروه‌ها جهت بررسی وضعیت جریان‌های ترافیکی و کاری و عدم رفتار غیرطبیعی در آن‌ها، در این نسخه کارآمدتر شده است.

2- تکامل ساختار مدیریت سیاست‌های امنیتی:

برخی از بهینه‌سازی‌های انجام گرفته در بحث سیاست‌های امنیتی عبارت است از:

• امکان کنترل هر سه مدل سیاست‌های امنیتی (Core Events ،Custom Events و Relationship Events) و ارتباطات رخدادهای امنیتی به صورت مرکزی و از طریق صفحه وب

• ساده‌سازی در ایجاد، تغییر و حذف رخدادها و سیاست‌های امنیتی نسبت به نسخه‌های پیشین

• شخصی‌سازی دریافت رخدادها بر اساس نیازهای کسب و کار

مدیریت ساده‌تر

در مدت زمانی که پلتفرم سیسکو StealthWatch معرفی شده است، نقدهای مثبتی از سمت کارشناسان امنیت شبکه شنیده می‌شد با این مضمون که پلتفرم سیسکو StealthWatch به قدری کارآمد و مفید بوده که برخی از متخصصان امنیت شبکه نیز نمی‌توانند بدون آن فرایندهای روزانه خود را پیش ببرند. در کنار این موارد همواره انتقاداتی نیز به رابط مدیریتی این پلتفرم وارد بود. رابط مدیریتی پیشین پلتفرم سیسکو StealthWatch بر اساس نسخه‌های Java محور بود، که معمولا راهبران این پلتفرم را به دردسر می‌انداخت. البته سختی‌هایی در بحث به روزرسانی این پلتفرم نیز وجود داشت که شرکت سیسکو (Cisco) با تلاش و بررسی این انتقادات، این مشکل را برطرف ساخت.

در حال حاضر با استفاده از یکپارچه‌سازی بخش مدیریتی و بخش به روزرسانی (Update Manger) در داخل صفحه وب، شرکت سیسکو (Cisco) امکان پیکربندی و به روزرسانی تمامی اجزای پلتفرم سیسکو StealthWatch، مانند StealthWatch Management Console و Flow Collector را با استفاده از یک رابط مدیریتی برای کاربران فراهم ساخته است. این تغییرات باعث کاهش زمان در پیکربندی و صرف این زمان ذخیره‌شده پیرامون ارزیابی‌های صحیح‌تر رخدادهای امنیتی شده است.

تکامل تحلیل و آنالیز

به نظرم تکرار این جلمه لازم است:

 "تهدیدات همواره در حال تغییر و تکامل بوده و جرائم سایبری هر روز و به سرعت در حال ایجاد راه‌های جدید جهت ورود به شبکه‌های سازمانی و تجاری هستند". 

از سال 2017 تاکنون در حدود 150 میلیون شکل جدید از بدافزارها شناسایی شده است. بر این اساس به روزرسانی روزانه تجهیزات و پلتفرم‌های امنیتی در جهت مقابله با این حملات یک اصل اساسی به شمار می‌رود. در همین راستا نسخه 7.0 پلتفرم سیسکو StealthWatch، توانایی‌های جدیدی را به بخش تحلیلی و آنالیزی یادگیری ماشین (Machine Learning) خود در جهت افزایش سرعت و تحلیل‌های دقیق‌تر، اضافه کرده است. چند نمونه از این ویژگی‌ها که در یادگیری ماشین (Machin Learning) مدل رایانش ابری این پلتفرم اضافه شده است عبارت‌اند از:

• توانایی تحلیل، آنالیز و ارتباطات‌دهی میان لاگ‌های Proxyها جهت بهبود و کارآمدی سیستم

• بهبود طراحی تحلیل در جهت شناسایی بهتر Botnetها

• افزایش گزینه‌های تحلیلی جهت آنالیز سرورهای مشخص‌شده داخلی

• بهبود دسته‌بندی Crypto Miningها جهت شناسایی دقیق‌تر رفتارهای غیرمعمول و همچنین استخرهای (Pool) جدید Crypto Mining

نرم‌افزارهای پلتفرم سیسکو StealthWatch

شرکت سیسکو (Cisco) ویژگی جدیدی به نام App Manager را در نسخه 7.0 پلتفرم سیسکو StealthWatch ارائه کرده است.

این ویژگی در صفحه وب مدیریتی این پلتفرم دیده می‌شود.
هدف شرکت سیسکو (Cisco) از این ویژگی، ارائه نرم‌افزارهای (Apps) جانبی جهت مدیریت ساده و سریع‌تر و همچنین امکان آنالیز و تهیه گزارش‌های مورد نیاز کسب و کار توسط این پلتفرم امنیتی است.

در حال حاضر سه نرم‌افزار جدید به همراه نسخه 7.0 سیسکو StealthWatch معرفی شده که در اینجا به شرح اجمالی آن‌ها پرداخته شده است:

1- Host Classifier

این ویژگی امکان شناسایی (Discovery) و دسته‌بندی خودکار دارایی‌های (Assets) داخلی را به صورت پویا و شناور فراهم می‌سازد. شاید یکی از نیازهایی که Host Classifier توانسته آن را مرتفع سازد، نیاز معرفی دارایی‌ها یا Hostهای موجود در شبکه توسط کارشناسان امنیت به سیستم تازه راه‌اندازی شده، است. Host Classifier می‌تواند این بخش را بسیار سریع‌تر و با دقت بیشتری انجام دهد. همچنین با توجه به اینکه این ساختار به صورت شناور عمل می‌کند، می‌تواند به صورت مداوم وضعیت این دارایی‌ها را بررسی کند. البته لازم به ذکر است که همچنان این شناسایی‌ها نیازمند بررسی توسط کارشناسان امنیت هستند، اما خودکارسازی این امر سبب کاهش زمان پیکربندی خواهد شد. این زمان صرفه جویی‌شده می‌تواند صرف دسته‌بندی دقیق‌تر Hostها شود.
دسته‌بندی و گروه‌بندی صحیح این Hostها سبب می‌شود که دقت پلتفرم سیسکو StealthWatch در اعلان خطر و همچنین ایجاد Context صحیح، بیشتر شود.

2- Visibility Assessment

یکی از موارد مهم که بسیار بر روی آن پافشاری می‌شود، سرعت در شناسایی تهدیدات است. با استفاده از نرم‌افزار Visibility Assessment پلتفرم سیسکو StealthWatch این نیاز تا حدی مرتفع خواهد شد.این نرم‌افزار مواردی مانند: جریان‌های ترافیکی به سمت کشورها با ریسک سایبری بالا، متریک کلیدی امنیت شبکه و اینکه در کجای شبکه ریسک وجود دارد را در یک صفحه مدیریتی به کارشناسان امنیت شبکه نشان می‌دهد. همچنین راهبران پلتفرم سیسکو StealthWatch می‌توانند به سادگی گزارش قابل چاپ از این نرم‌افزار تهیه کنند.

3- ETA Cryptographic Audit

این نرم‌افزار با استفاده از فناوری Encrypted Traffic Analytics، امکان تحلیل و آنالیز ترافیک های رمزنگاری شده را از نظر سازگاری با استانداردهای امنیت شبکه فراهم می سازد. این نرم افزار همچنین بررسی می‌کند که کیفیت الگوریتم‌های رمزنگاری مورد استفاده به چه صورت است، که این امر می‌تواند به عنوان یکی از المان‌های سیاست‌های امنیت شبکه محسوب شود. با توجه به رهگیری و آنالیز ترافیک‌های رمزنگاری‌شده توسط این نرم‌افزار، امکان تحلیل بر روی انواع الگوریتم‌ها و میزان مصرف آن‌ها در شبکه نیز بدست آمده است.