دوشنبه 5 آذر 1403

سیسکو Stealthwatch چیست؟

CISCO0 4 26 نظر

در این کاتالوگ در خصوص سیسکو Stealthwatch یا همان آنالیز امنیتی شبکه (Cisco Secure Network Analytics) صحبت می‌کنیم. این راهکار، پیش از این Stealthwatch Enterprise نامیده می‌شد.

 

cisco stealthwatch

مقیاس‌پذیری Visibility در شبکه و تحلیل‌های امنیتی آن در کسب و کار

در کسب و کارهای دیجیتالی تهدیدات نو ظهور همواره سبب نگرانی کارشناسان امنیت است، که جلوگیری از آن‌ها با استفاده از یکی از پلتفرم‌های پیشرو در صنعت یادگیری ماشین و مدل‌سازی رفتاری امکان پذیر خواهد بود. وجود دانشی از اینکه چه کسی به شبکه متصل و در حال انجام چه فرایند‌هایی بر روی آن است؛ امکان شناسایی تهدیدات پیشرفته و پاسخ سریع به آن‌ها را فراهم می‌سازد. پلتفرم Cisco Stealthwatch صرف‌نظر از انجام فرایندهای یاد شده، امکان محافظت از داده‌های حیاتی با استفاده از تقسیم‌بندی نرم‌افزاری شبکه به صورت خودکار را فراهم می‌سازد. سیسکو Stealthwatch امکان رشد و مقیاس‌پذیری را در کنار رشد کسب و کار و سازمان به همراه دارد.

 


ایمنی در هر نقطه ای که به آن نیاز است

سیسکو Stealthwatch  تنها راهکاری است که امکان شناسایی تهدیدات را صرف نظر از شبکه‌های محلی و گسترده در شبکه‌های رایانش ابری خصوصی، عمومی و حتی بر روی جریان ها داده ای رمزنگاری شده امکان پذیر ساخته است.

 

ایمن سازی در ابر Microsoft

رویکرد جدید امنیتی در AWS

امنیت برای ابر Google

کاهش هزینه‌ها و پیچیدگی‌ها در حالی که امنیت رایانش ابری به صورت کامل محیا شود.

محیط های شناور و پویا شبکه مانند Amazon Web Service نیاز به رویکردهای جدید و شناور امنیتی دارد.

امکان ایمن‌سازی شبکه رایانش ابری Google در کمتر از 10 دقیقه


ویدیوی معرفی سیسکو Cisco Stealthwatch

 


ویژگی‌ها و مزایای سیسکو Cisco Stealthwatch

 

گسترش Network Visibility

گسترش Network Visibility از مزایای سیسکو Stealthwatch می‌باشد. هرچه جزئیات جریان‌های عبوری داده‌ها بیشتر و بهتر دیده شود، امکان محافظت در برابر حادثه‌ها و تهدیدات ساده‌تر و سریع‌تر می‌شود. در کسب و کارها و سازمان‌های دیجیتالی، تهدیدات امکان عبور از لایه‌های دفاعی لبه شبکه را دارند که می‌تواند دارایی‌های سازمان را به خطر بیاندازد. همچنین در راهکارهای موجود امکان شناسایی ترافیک‌های رمزنگاری شده وجود ندارد. پلتفرم Cisco Stealthwatch با شناسایی الگوهای رفتارهای خرابکارانه‌ی جریان‌های عبوری رمزنگاری شده و بدون نیاز به رمزگشایی و ترکیب این رفتار شناسی با ساختار یادگیری ماشین چند لایه‌ای، امکان ایجاد لایه‌های دفاعی هوشمند جدیدی در شبکه را فراهم ساخته است. 


افزایش سرعت در پاسخگویی به حوادث و Forensics

زمان و سرعت عملکرد از عناصری هستند که در مقابله با حملات سایبری بسیار حائز اهمیت است. سیسکو Stealthwatch به این‌گونه طراحی شده است تا با استفاده از رفتارشناسی جریان‌های عبوری داده‌ها در شناسایی سریع و واکنش به هنگام (Incident Response) در برابر حملاتی مانند بدافزارهای روز صفرم (Zero-Day)، تهدیدات نهانی C&C یا Command and Control و دیگر حملات پیچیده کمک نموده و اطلاعات رخدادهای این حملات را با جزئیات کامل ذخیره می‌نماید. این جزئیات در هنگام بررسی‌های Forensics بسیار کارا خواهد بود.


سادگی در تقسیم‌بندی شبکه

یکی از راهکارهای کارآمد در ایجاد لایه‌های امنیتی، تفکیک ترافیک‌ها از طریق تقسیم‌بندی شبکه است. یکپارچه‌سازی Cisco Stealthwatch به همراه Identity Service Engine (CISCO ISE) امکان کنترل دسترسی کاربران و جریان‌های ترافیک Authorized نشده به بخش‌های حساس شبکه را فراهم می‌سازد. همچنین خودکارسازی این امر باعث کاهش در پیچیدگی‌ها و بار کاری واحد امنیت را کاهش می‌دهد. سادگی در تقسیم‌بندی شبکه از ویژگی‌های پلتفرم سیسکو Stealthwatch می‌باشد.

 


ایمن‌سازی مراکز داده

با استفاده از گسترش Visibility و کنترل جریان‌های ترافیکی در مراکز داده، مانیتور نمودن جریان‌های ترافیکی شرق و غرب (East/West) و شمال و جنوب (North/South) و یکپارچه‌سازی زیرساخت‌ها با پلتفرم‌های سیسکو Stealthwatch و سیسکو Identity Service Engine و راهکار TrustSEC شرکت Cisco، می توان به سطح بالایی از امنیت به همراه لایه‌های مختلف دست پیدا کرد.

 


گسترش Network Visibility در رایانش‌های ابری عمومی

یکی از مشکلات پایه در شناسایی جریان‌های ترافیک عبوری در شبکه‌های رایانش ابری نیاز به استفاده از Agentهای مختلف بر روی سرورها و سرویس‌دهنده‌های موجود در این شبکه بوده است. حال با استفاده از پلتفرم سیسکو Stealthwatch امکان بررسی جریان‌های عبوری بدون نیاز به نصب Agent به همراه تسریع در شناسایی تهدیدات در کنار Visibility، این مهم بدست آمده است. Cisco Stealthwatch بر اساس ساختار SaaS طراحی و ساخته شده است؛ که در شبکه‌های رایانش ابری عمومی مانند Google Cloud، Microsoft Azure، و Amazon Web Service قابل پیاده‌سازی است. 


بررسی راهکار Cisco Stealthwatch

Cisco Stealthwatch یک قابلیت دید در سطح کل سازمان در اختیار شما قرار می‌دهد تا بتوانید تهدیدات را به صورت لحظه‌ای کشف کرده و در برابر آن‌ها واکنش نشان دهید. در این راهکار، فعالیت‌های شبکه به شکل مستمر تجزیه و تحلیل می‌شوند تا مبنایی برای رفتارهای نرمال شبکه مشخص شود. سپس از همین مبنا در کنار non–signature-based advanced analytics و هوش تهدید جهانی (global threat intelligence) استفاده می‌شود تا رفتارهای غیرعادی شناسایی شده و تهدیدات هم در لحظه کشف شوند و در برابر آن‌ها واکنش نشان داده شود. non–signature-based advanced analytics شامل مدل‌سازی رفتارها و الگوریتم‌های یادگیری ماشین است. با استفاده از Cisco Stealthwatch می‌توانید تهدیداتی مانند حملات فرمان و کنترل (C&C) (Command-and-Control)، باج‌افزارها (ransomware)، DDoS یا همان (Distributed-Denial-of-Service)، استخراج غیرقانونی رمزارزها (illicit cryptomining)، بدافزارهای ناشناخته و تهدیدات از سوی خودی‌ها را به سرعت و با اطمینان بالا کشف کنید. شما با استفاده از این راهکار بدون عامل می‌توانید تهدیدات را حتی اگر رمزنگاری هم شده باشند، به صورت فراگیر در کل ترافیک شبکه کشف کنید. 

سازمان‌هایی هم وجود دارند که پیش از این، بر روی IoT برای زیرساخت‌های IT و امنیت خود سرمایه‌گذاری کرده‌اند. اما باز هم تهدیدات راهی برای ورود پیدا می‌کنند. به علاوه، ماه‌ها یا حتی سال‌ها طول می‌کشد تا یک تهدید یا نقض امنیتی شناسایی شود. این عدم دید به دلیل پیچیدگی‌های روزافزون در شبکه‌ها و پیدایش تهدیدات جدید به شکل روزمره به وجود می‌آید. تیم‌های امنیت، با منابع محدود و ابزارهای نامناسبی که در اختیار دارند، صرفاً می‌توانند بعضی کارها را انجام دهند. عملاً تمام سازمان‌ها راهکارهای امنیتی مانند فایروال در اختیار دارند، اما چگونه باید مطمئن شوند که این ابزارها به درستی کار می‌کنند، مدیریت می‌شوند و پیکربندی شده‌اند؟ از کجا می‌توان فهمید که این ابزارها همان کاری را انجام می‌دهند که باید انجام دهند؟

می‌خواهیم این مسأله را کاملاً بر عکس کنیم -چرا از سرمایه‌گذاری فعلی خود، یعنی شبکه‌ خود برای امن‌ساختن سازمان خود استفاده نکنید؟ network telemetry یک منبع غنی از داده‌ها است که اطلاعات بسیار ارزشمندی را در اختیار شما قرار می‌دهد. این اطلاعات به شما می‌گویند که چه کسانی به سازمان شما وصل می‌شوند و قصد انجام چه کارهایی را دارند. همه چیز از شبکه عبور می‌کند. پس قابلیت دید، وسعت یافته و از ستاد (HQ) تا شعبه‌ها، مرکز داده، کاربرهای رومینگ (roaming users) و دستگاه‌های هوشمند تا ابرهای خصوصی و عمومی را پوشش می‌دهد. با تجزیه و تحلیل این داده‌ها می‌توانید تهدیداتی که ممکن است راهی به سمت کنترل‌های شما پیدا کنند را قبل از آن که بتوانند مشکلات اساسی برای شما ایجاد کنند، شناسایی کنید. 

در راهکار سیسکو Stealthwatch که آنالیز امنیتی شبکه (Cisco Secure Network Analytics) نام دارد، کل شبکه در نظر گرفته شده و یک قابلیت دید سرتاسری از سرورهای موجود در ساختمان‌های شرکت (on-premises) تا ابرهای خصوصی و عمومی فراهم می‌شود. در این راهکار، تمام هاست‌ها شناسایی شده و پایش می‌شود که چه کسی به چه اطلاعاتی در چه زمانی دسترسی پیدا می‌کند. از این‌جا به بعد باید دید که رفتار نرمال هر کاربر یا «هاست» به چه صورتی است و بر اساس آن، یک مبنا برای این رفتارها تعیین کرد. اگر رفتار یک کاربر در هر زمان نسبت به مبنای معمول آن تغییری داشته باشد، یک هشدار اعلام می‌شود. 

برای پیاده‌سازی Cisco Stealthwatch می‌توانید از دو روش استفاده کنید؛ پیاده‌سازی در داخل (on-premises) به صورت یک ابزار سخت‌افزاری و به شکل یک ماشین مجازی. Secure Cloud Analytics (که قبلاً با نام Stealthwatch Cloud شهرت داشت) یک نسخه به صورت نرم‌افزار به عنوان یک خدمت (Software-as-a-Service) یا SaaS برای آنالیز امنیتی شبکه است. از سیسکو Stealthwatch می‌توانید علاوه بر پایش شبکه‌های خصوصی خود برای شناسایی تهدیدات و انجام کارهای پیکربندی در ابر عمومی نیز استفاده کنید. 


کاربردهای اولیه (Primary use cases)

کشف تهدیدات در لحظه (Real-time threat detection)

به زبان ساده، Cisco Stealthwatch کامل‌ترین قابلیت دید از شبکه که بر اساس اطلاعات مختلفی از بافت شبکه تأمین شده است را در اختیار شما قرار می‌دهد. همچنین، ملاحظات امنیتی بر اساس صنعت خاص شما و با انجام تست‌های مختلف در زمان‌های مختلف تجزیه و تحلیل می‌شوند. در نتیجه، با استفاده از سیسکو Stealthwatch، وسیع‌ترین و دقیق‌ترین قابلیت‌های ممکن برای کشف تهدیدات بر اساس رفتارهای مشاهده‌شده در شبکه در اختیار شما قرار خواهد داشت. بدین ترتیب می‌توانید کارهای زیر را به شکل بسیار بهتری انجام دهید:

  • کشف تهدیدهای ناشناخته : فعالیت‌های مشکوک در شبکه بر اساس رفتار شناسایی می‌شوند. ابزارهای قدیمی که بر اساس امضا کار می‌کردند، امکان انجام این کار را نداشتند. از جمله این موارد می‌توانیم به ارتباطات و دامین‌های مخرب اشاره کنیم.

  • کشف تهدیدات از سوی خودی‌ها : در صورتی که داده‌ها انباشته شوند، فیلتر شوند یا حرکت‌های جانبی مشکوکی مشاهده شود، هشدار داده می‌شود.

  • کشف رمزنگاری توسط بدافزار : از یادگیری ماشین در چندلایه‌ و قابلیت دید گسترده برای ترافیک رمزشده در وب، بدون آن‌که رمزگشایی انجام شود، استفاده می‌شود.

  • نقض سیاست ها (policy violations) : اطمینان حاصل می شود که سیاست‌های امنیتی و انطباق که در ابزارهای مختلف ست شده است، اجرا می‌شوند.

  • واکنش در برابر حادثه و جرم‌شناسی (forensics) :  اطلاعات مختلفی در خصوص فعالیت‌های تهدیدآمیز جمع‌آوری می‌شوند. شبکه به منظور انجام امور جرم‌نگاری ممیزی می‌شود. این ابزار با ابزارهای دیگری همچون SecureX و سایر راهکارهای دیگر امن سیسکو یکپارچه شده است. بدین ترتیب، می‌توان به سرعت و به شکلی مؤثر در برابر تهدیدات واکنش نشان داد.

پایش کارکنان از راه دور

در Cisco Stealthwatch از داده‌های telemetry نقطه انتهایی استفاده می‌شود. این داده‌ها از ماژول AnyConnect Network Visibility Module (یا همان NVM) برداشته می‌شوند که یک منبع مناسب برای telemetry اولیه به حساب می‌آید. بدین ترتیب، کاربران می‌توانند مجموعه گسترده و مفصلی از داده‌های مربوط به نقطه انتهایی و دستگاه‌ها را به دست آورده و قابلیت دید کاملی را در خصوص فعالیت‌های کاربران در نقطه انتهایی از راه دور به شکل مستمر در اختیار سازمان قرار دهند. فرقی هم نمی‌کند که کابران از یک session VPN برای انجام کار خود استفاده کرده باشند یا این‌که VPN آن‌ها به طور کامل قطع شده باشد. در هر صورت، تجربه کار از راه دور برای آن‌ها بهینه می‌شود. بدین ترتیب، سازمان‌ها نسبت به چیزهایی که قبلاً نمی‌دیده‌اند، دید پیدا می‌کنند و وضعیت امنیت آن‌ها بهتر می‌شود. از جمله این موارد می‌توانیم به کارمندانی اشاره کنیم که از نسخه‌های قدیمی سیستم عامل استفاده می‌کرده‌اند که آسیب‌پذیری داشته و باید برای آن‌ها patching نصب می‌شده یا از کارکنانی یاد کنیم که داده‌ها را جمع‌آوری یا فیلتر می‌کرده‌اند. در این زمینه می‌توان از موارد دیگری هم نام برد. 

 

گزارش policy بر اساس گروه

کاربران می‌توانند از سیسکو Stealthwatch در کنار Cisco Identity Services Engine یا همان Cisco ISE استفاده کرده و با تولید گزارشات policy (سیاست) بر اساس گروه، policyهای مبتنی بر گروه را سریع‌تر قبول کنند. در واقع، این گزارشات روش جدیدی برای نمایش ارتباطات گروهی هستند. کاربران می‌توانند با استفاده از گزارشات policy مبتنی بر گروه (Group-based policy reports ) ، بدون هیچ‌گونه دردسر و زحمتی ارتباطات موجود در درون گروه‌ها را به شکل تصویری نشان داده، تجزیه و تحلیل کرده و مورد بررسی دقیق قرار دهند. همچنین، می‌توانند کفایت policyها را اعتبارسنجی کرده، policyهای درست و مناسب را بر اساس نیازمندی‌های محیط خود پذیرفته و اطلاعات مربوط به نقض policyهای مورد نظر را به افراد و IPهای مرتبط برسانند. 

برای اطلاعات بیشتر به نگاهی سریع در خصوص این موضوع مراجعه کنید. 

تجزیه و تحلیل ترافیک رمزگذاری شده (Encrypted traffic analytics)

افزایش سریع در رمزنگاری ترافیک، چشم‌انداز تهدید را تغییر داده است. رمزنگاری (encryption) یک روش عالی برای حفظ حریم خصوصی و امنیت داده است، اما از طرفی به مجرمین سایبری کمک کرده تا بدافزارهای خود را پنهان کنند و از شناسایی‌شدن فرار کنند. امروز تقریباً 95 درصد از کل ترافیک وب رمزنگاری می‌شود و انتظار می‌رود که بیش از 70 درصد از حملات نیز از رمزنگاری استفاده کنند. در روش بررسی سنتی تهدیدات، رمزگشایی به صورت انبوه انجام شده، تجزیه و تحلیل صورت گرفته و مجدداً رمزنگاری انجام می‌شود.  بنا به دلایل عملکردی و منابع، استفاده از این روش همیشه عملی یا شدنی نیست. علاوه بر این، استفاده از این روش باعث می‌شود تا حریم خصوصی و یکپارچگی و صحت داده‌ها نیز به خطر بیفتد. سیسکو بر اساس تجاربی خود در بازار زیرساخت شبکه، یک فناوری تحول برانگیز برای رمزنگاری ترافیک بدون نیاز به هرگونه رمزگشایی ارائه کرده است. با استفاده از این فناوری، سازمان‌ها می‌توانند.

  1. تهدیدات موجود در ترافیک رمزشده را تشخیص دهند 

  2. مطمئن شوند که الزامات رمزنگاری (cryptographic) را رعایت نموده‌اند. 

برای اطلاعات بیشتر به صفحه  https://www.cisco.com/go/eta مراجعه کنید. 


مزایای اصلی سیسکو Cisco Stealthwatch

  1. حذف نقاط کور: Cisco stealthwatch، تنها راهکار آنالیز امنیت است که بدون نیاز به نصب سنسور در محل‌‌های مختلف، یک قابلیت دید جامع برای شبکه‌های خصوصی و همچنین، برای ابر خصوصی فراهم می‌نماید. این راهکار سیسکو Stealthwatch، اولین راهکاری است که می‌تواند بدون نیاز به رمزگشایی، بدافزارهای موجود در ترافیک رمزشده را تشخیص دهد.

  2. تمرکز بر روی حوادث، بدون سر و صدا: در سیسکو Stealthwatch از مدل‌سازی رفتاری، یادگیری ماشین در چند لایه (multilayered machine learning) و هوش تهدید جهانی (global threat intelligence) استفاده می‌شود. بدین ترتیب، مثبت‌های کاذب و هشدارهایی که برای تهدیدات بحرانی و اثرگذار بر روی محیط شما اعلام می‌شوند، کمتر خواهند شد.

  3. گیرانداختن در زمان اقدام : Cisco Stealthwatch همواره شبکه را پایش می‌کند تا بتواند تهدیدات پیشرفته را در لحظه کشف کند. حملات مخفیانه (Stealthy attacks)، معمولاً با فعالیت‌هایی مثل port scanning و constant pinging و تاکتیک‌های شناسایی (reconnaissance tactics) از قبل آغاز می‌شوند. این روش، همین علامت‌های هشدار اولیه را شناسایی کرده و به کاربران هشدار می‌دهد تا از همان ابتدا از ورود مهاجمین جلوگیری کنند. پس از آن‌که تهدیدات شناسایی شد، کاربران می‌توانند بررسی‌های جرم‌نگاری خود را انجام دهند تا منبع تهدیدات و محل‌های دیگری که در آن رسوخ کرده‌اند، مشخص شود.

  4. بیشترین استفاده از سرمایه‌گذاری : با توجه به این‌که راهکار Cisco Stealthwatch نیاز به عامل ندارد، شما می‌توانید از همان telemetry قدرتمندی که توسط زیرساخت موجود شبکه خود ایجاد کرده‌اید، استفاده کرده و وضعیت امنیت خود را بهبود بخشید.

  5. تنظیم امنیت بر اساس رشد کسب و کار: امروزه دیگر نباید با تغییراتی که در کسب و کار خود می‌دهید، امنیت شما به خطر بیفتد. فرقی نمی‌کند که یک شعبه یا دیتاسنتر جدید راه‌اندازی می‌کنید، بارهای خود (workloads) را بر روی ابر منتقل می‌سازید یا این‌که فقط چند دستگاه به شبکه خود اضافه می‌کنید؛ در هر صورت، اگر Cisco Stealthwatch را پیاده‌سازی کرده باشید، این راهکار نیازمندی‌های شبکه شما را بر اساس مقیاس کارتان پوشش می‌دهد. می‌توانید راهکار سیسکو Stealthwatch را بر روی سرورهای داخلی خود یا بر روی ابر نصب کنید، می‌توانید از آن به صورت SaaS استفاده کنید یا این‌که لایسنس آن را خریداری کنید. در راهکار سیسکو Stealthwatch نقش‌ها به صورت خودکار دسته‌بندی می‌شوند تا هر زمان که دستگاه‌های جدیدی را به شبکه خود اضافه می‌کنید، این دستگاه‌ها به شکل خودکار دسته‌بندی شوند.

  6. یکی‌شدن اکوسیستم امنیتی شما با SecureX :  پلتفرم SecureX به شکل پیش‌فرض در درون راهکار Cisco Stealthwatch قرار داده شده است. بنابراین، با استفاده از آن، امکان بررسی تهدیدات بیشتر و واکنش در برابر آن‌ها را در اختیار خواهید داشت. سیسکو Stealthwatch  با SecureX یکپارچه شده تا قابلیت دید واحدی فراهم شود، واکنش در برابر تهدیدات ساده‌تر شده و امکان اتوماسیون برای تمام بردارهای تهدید و نقاط دسترسی نیز مسیر شود.


دیتاشیت‌های Cisco Secure Cloud Analytics که پیش از این با نام Stealthwatch Cloud شهرت داشت را می‌توانید در این‌جا ببینید. 


برای اطلاعات بیشتر به سایت سیسکو مراجعه نمایید. 

اسمارت لایسنس سیسکو Cisco Stealthwatch

لایسنس StealthWatch PLR

لایسنس سیسکو Stealthwatch