در این کاتالوگ در خصوص سیسکو Stealthwatch یا همان آنالیز امنیتی شبکه (Cisco Secure Network Analytics) صحبت میکنیم. این راهکار، پیش از این Stealthwatch Enterprise نامیده میشد.
در کسب و کارهای دیجیتالی تهدیدات نو ظهور همواره سبب نگرانی کارشناسان امنیت است، که جلوگیری از آنها با استفاده از یکی از پلتفرمهای پیشرو در صنعت یادگیری ماشین و مدلسازی رفتاری امکان پذیر خواهد بود. وجود دانشی از اینکه چه کسی به شبکه متصل و در حال انجام چه فرایندهایی بر روی آن است؛ امکان شناسایی تهدیدات پیشرفته و پاسخ سریع به آنها را فراهم میسازد. پلتفرم Cisco Stealthwatch صرفنظر از انجام فرایندهای یاد شده، امکان محافظت از دادههای حیاتی با استفاده از تقسیمبندی نرمافزاری شبکه به صورت خودکار را فراهم میسازد. سیسکو Stealthwatch امکان رشد و مقیاسپذیری را در کنار رشد کسب و کار و سازمان به همراه دارد.
سیسکو Stealthwatch تنها راهکاری است که امکان شناسایی تهدیدات را صرف نظر از شبکههای محلی و گسترده در شبکههای رایانش ابری خصوصی، عمومی و حتی بر روی جریان ها داده ای رمزنگاری شده امکان پذیر ساخته است.
| ||
ایمن سازی در ابر Microsoft | رویکرد جدید امنیتی در AWS | امنیت برای ابر Google |
کاهش هزینهها و پیچیدگیها در حالی که امنیت رایانش ابری به صورت کامل محیا شود. | محیط های شناور و پویا شبکه مانند Amazon Web Service نیاز به رویکردهای جدید و شناور امنیتی دارد. | امکان ایمنسازی شبکه رایانش ابری Google در کمتر از 10 دقیقه |
گسترش Network Visibility از مزایای سیسکو Stealthwatch میباشد. هرچه جزئیات جریانهای عبوری دادهها بیشتر و بهتر دیده شود، امکان محافظت در برابر حادثهها و تهدیدات سادهتر و سریعتر میشود. در کسب و کارها و سازمانهای دیجیتالی، تهدیدات امکان عبور از لایههای دفاعی لبه شبکه را دارند که میتواند داراییهای سازمان را به خطر بیاندازد. همچنین در راهکارهای موجود امکان شناسایی ترافیکهای رمزنگاری شده وجود ندارد. پلتفرم Cisco Stealthwatch با شناسایی الگوهای رفتارهای خرابکارانهی جریانهای عبوری رمزنگاری شده و بدون نیاز به رمزگشایی و ترکیب این رفتار شناسی با ساختار یادگیری ماشین چند لایهای، امکان ایجاد لایههای دفاعی هوشمند جدیدی در شبکه را فراهم ساخته است.
زمان و سرعت عملکرد از عناصری هستند که در مقابله با حملات سایبری بسیار حائز اهمیت است. سیسکو Stealthwatch به اینگونه طراحی شده است تا با استفاده از رفتارشناسی جریانهای عبوری دادهها در شناسایی سریع و واکنش به هنگام (Incident Response) در برابر حملاتی مانند بدافزارهای روز صفرم (Zero-Day)، تهدیدات نهانی C&C یا Command and Control و دیگر حملات پیچیده کمک نموده و اطلاعات رخدادهای این حملات را با جزئیات کامل ذخیره مینماید. این جزئیات در هنگام بررسیهای Forensics بسیار کارا خواهد بود.
یکی از راهکارهای کارآمد در ایجاد لایههای امنیتی، تفکیک ترافیکها از طریق تقسیمبندی شبکه است. یکپارچهسازی Cisco Stealthwatch به همراه Identity Service Engine (CISCO ISE) امکان کنترل دسترسی کاربران و جریانهای ترافیک Authorized نشده به بخشهای حساس شبکه را فراهم میسازد. همچنین خودکارسازی این امر باعث کاهش در پیچیدگیها و بار کاری واحد امنیت را کاهش میدهد. سادگی در تقسیمبندی شبکه از ویژگیهای پلتفرم سیسکو Stealthwatch میباشد.
با استفاده از گسترش Visibility و کنترل جریانهای ترافیکی در مراکز داده، مانیتور نمودن جریانهای ترافیکی شرق و غرب (East/West) و شمال و جنوب (North/South) و یکپارچهسازی زیرساختها با پلتفرمهای سیسکو Stealthwatch و سیسکو Identity Service Engine و راهکار TrustSEC شرکت Cisco، می توان به سطح بالایی از امنیت به همراه لایههای مختلف دست پیدا کرد.
یکی از مشکلات پایه در شناسایی جریانهای ترافیک عبوری در شبکههای رایانش ابری نیاز به استفاده از Agentهای مختلف بر روی سرورها و سرویسدهندههای موجود در این شبکه بوده است. حال با استفاده از پلتفرم سیسکو Stealthwatch امکان بررسی جریانهای عبوری بدون نیاز به نصب Agent به همراه تسریع در شناسایی تهدیدات در کنار Visibility، این مهم بدست آمده است. Cisco Stealthwatch بر اساس ساختار SaaS طراحی و ساخته شده است؛ که در شبکههای رایانش ابری عمومی مانند Google Cloud، Microsoft Azure، و Amazon Web Service قابل پیادهسازی است.
Cisco Stealthwatch یک قابلیت دید در سطح کل سازمان در اختیار شما قرار میدهد تا بتوانید تهدیدات را به صورت لحظهای کشف کرده و در برابر آنها واکنش نشان دهید. در این راهکار، فعالیتهای شبکه به شکل مستمر تجزیه و تحلیل میشوند تا مبنایی برای رفتارهای نرمال شبکه مشخص شود. سپس از همین مبنا در کنار non–signature-based advanced analytics و هوش تهدید جهانی (global threat intelligence) استفاده میشود تا رفتارهای غیرعادی شناسایی شده و تهدیدات هم در لحظه کشف شوند و در برابر آنها واکنش نشان داده شود. non–signature-based advanced analytics شامل مدلسازی رفتارها و الگوریتمهای یادگیری ماشین است. با استفاده از Cisco Stealthwatch میتوانید تهدیداتی مانند حملات فرمان و کنترل (C&C) (Command-and-Control)، باجافزارها (ransomware)، DDoS یا همان (Distributed-Denial-of-Service)، استخراج غیرقانونی رمزارزها (illicit cryptomining)، بدافزارهای ناشناخته و تهدیدات از سوی خودیها را به سرعت و با اطمینان بالا کشف کنید. شما با استفاده از این راهکار بدون عامل میتوانید تهدیدات را حتی اگر رمزنگاری هم شده باشند، به صورت فراگیر در کل ترافیک شبکه کشف کنید.
سازمانهایی هم وجود دارند که پیش از این، بر روی IoT برای زیرساختهای IT و امنیت خود سرمایهگذاری کردهاند. اما باز هم تهدیدات راهی برای ورود پیدا میکنند. به علاوه، ماهها یا حتی سالها طول میکشد تا یک تهدید یا نقض امنیتی شناسایی شود. این عدم دید به دلیل پیچیدگیهای روزافزون در شبکهها و پیدایش تهدیدات جدید به شکل روزمره به وجود میآید. تیمهای امنیت، با منابع محدود و ابزارهای نامناسبی که در اختیار دارند، صرفاً میتوانند بعضی کارها را انجام دهند. عملاً تمام سازمانها راهکارهای امنیتی مانند فایروال در اختیار دارند، اما چگونه باید مطمئن شوند که این ابزارها به درستی کار میکنند، مدیریت میشوند و پیکربندی شدهاند؟ از کجا میتوان فهمید که این ابزارها همان کاری را انجام میدهند که باید انجام دهند؟
میخواهیم این مسأله را کاملاً بر عکس کنیم -چرا از سرمایهگذاری فعلی خود، یعنی شبکه خود برای امنساختن سازمان خود استفاده نکنید؟ network telemetry یک منبع غنی از دادهها است که اطلاعات بسیار ارزشمندی را در اختیار شما قرار میدهد. این اطلاعات به شما میگویند که چه کسانی به سازمان شما وصل میشوند و قصد انجام چه کارهایی را دارند. همه چیز از شبکه عبور میکند. پس قابلیت دید، وسعت یافته و از ستاد (HQ) تا شعبهها، مرکز داده، کاربرهای رومینگ (roaming users) و دستگاههای هوشمند تا ابرهای خصوصی و عمومی را پوشش میدهد. با تجزیه و تحلیل این دادهها میتوانید تهدیداتی که ممکن است راهی به سمت کنترلهای شما پیدا کنند را قبل از آن که بتوانند مشکلات اساسی برای شما ایجاد کنند، شناسایی کنید.
در راهکار سیسکو Stealthwatch که آنالیز امنیتی شبکه (Cisco Secure Network Analytics) نام دارد، کل شبکه در نظر گرفته شده و یک قابلیت دید سرتاسری از سرورهای موجود در ساختمانهای شرکت (on-premises) تا ابرهای خصوصی و عمومی فراهم میشود. در این راهکار، تمام هاستها شناسایی شده و پایش میشود که چه کسی به چه اطلاعاتی در چه زمانی دسترسی پیدا میکند. از اینجا به بعد باید دید که رفتار نرمال هر کاربر یا «هاست» به چه صورتی است و بر اساس آن، یک مبنا برای این رفتارها تعیین کرد. اگر رفتار یک کاربر در هر زمان نسبت به مبنای معمول آن تغییری داشته باشد، یک هشدار اعلام میشود.
برای پیادهسازی Cisco Stealthwatch میتوانید از دو روش استفاده کنید؛ پیادهسازی در داخل (on-premises) به صورت یک ابزار سختافزاری و به شکل یک ماشین مجازی. Secure Cloud Analytics (که قبلاً با نام Stealthwatch Cloud شهرت داشت) یک نسخه به صورت نرمافزار به عنوان یک خدمت (Software-as-a-Service) یا SaaS برای آنالیز امنیتی شبکه است. از سیسکو Stealthwatch میتوانید علاوه بر پایش شبکههای خصوصی خود برای شناسایی تهدیدات و انجام کارهای پیکربندی در ابر عمومی نیز استفاده کنید.
به زبان ساده، Cisco Stealthwatch کاملترین قابلیت دید از شبکه که بر اساس اطلاعات مختلفی از بافت شبکه تأمین شده است را در اختیار شما قرار میدهد. همچنین، ملاحظات امنیتی بر اساس صنعت خاص شما و با انجام تستهای مختلف در زمانهای مختلف تجزیه و تحلیل میشوند. در نتیجه، با استفاده از سیسکو Stealthwatch، وسیعترین و دقیقترین قابلیتهای ممکن برای کشف تهدیدات بر اساس رفتارهای مشاهدهشده در شبکه در اختیار شما قرار خواهد داشت. بدین ترتیب میتوانید کارهای زیر را به شکل بسیار بهتری انجام دهید:
کشف تهدیدهای ناشناخته : فعالیتهای مشکوک در شبکه بر اساس رفتار شناسایی میشوند. ابزارهای قدیمی که بر اساس امضا کار میکردند، امکان انجام این کار را نداشتند. از جمله این موارد میتوانیم به ارتباطات و دامینهای مخرب اشاره کنیم.
کشف تهدیدات از سوی خودیها : در صورتی که دادهها انباشته شوند، فیلتر شوند یا حرکتهای جانبی مشکوکی مشاهده شود، هشدار داده میشود.
کشف رمزنگاری توسط بدافزار : از یادگیری ماشین در چندلایه و قابلیت دید گسترده برای ترافیک رمزشده در وب، بدون آنکه رمزگشایی انجام شود، استفاده میشود.
نقض سیاست ها (policy violations) : اطمینان حاصل می شود که سیاستهای امنیتی و انطباق که در ابزارهای مختلف ست شده است، اجرا میشوند.
واکنش در برابر حادثه و جرمشناسی (forensics) : اطلاعات مختلفی در خصوص فعالیتهای تهدیدآمیز جمعآوری میشوند. شبکه به منظور انجام امور جرمنگاری ممیزی میشود. این ابزار با ابزارهای دیگری همچون SecureX و سایر راهکارهای دیگر امن سیسکو یکپارچه شده است. بدین ترتیب، میتوان به سرعت و به شکلی مؤثر در برابر تهدیدات واکنش نشان داد.
در Cisco Stealthwatch از دادههای telemetry نقطه انتهایی استفاده میشود. این دادهها از ماژول AnyConnect Network Visibility Module (یا همان NVM) برداشته میشوند که یک منبع مناسب برای telemetry اولیه به حساب میآید. بدین ترتیب، کاربران میتوانند مجموعه گسترده و مفصلی از دادههای مربوط به نقطه انتهایی و دستگاهها را به دست آورده و قابلیت دید کاملی را در خصوص فعالیتهای کاربران در نقطه انتهایی از راه دور به شکل مستمر در اختیار سازمان قرار دهند. فرقی هم نمیکند که کابران از یک session VPN برای انجام کار خود استفاده کرده باشند یا اینکه VPN آنها به طور کامل قطع شده باشد. در هر صورت، تجربه کار از راه دور برای آنها بهینه میشود. بدین ترتیب، سازمانها نسبت به چیزهایی که قبلاً نمیدیدهاند، دید پیدا میکنند و وضعیت امنیت آنها بهتر میشود. از جمله این موارد میتوانیم به کارمندانی اشاره کنیم که از نسخههای قدیمی سیستم عامل استفاده میکردهاند که آسیبپذیری داشته و باید برای آنها patching نصب میشده یا از کارکنانی یاد کنیم که دادهها را جمعآوری یا فیلتر میکردهاند. در این زمینه میتوان از موارد دیگری هم نام برد.
کاربران میتوانند از سیسکو Stealthwatch در کنار Cisco Identity Services Engine یا همان Cisco ISE استفاده کرده و با تولید گزارشات policy (سیاست) بر اساس گروه، policyهای مبتنی بر گروه را سریعتر قبول کنند. در واقع، این گزارشات روش جدیدی برای نمایش ارتباطات گروهی هستند. کاربران میتوانند با استفاده از گزارشات policy مبتنی بر گروه (Group-based policy reports ) ، بدون هیچگونه دردسر و زحمتی ارتباطات موجود در درون گروهها را به شکل تصویری نشان داده، تجزیه و تحلیل کرده و مورد بررسی دقیق قرار دهند. همچنین، میتوانند کفایت policyها را اعتبارسنجی کرده، policyهای درست و مناسب را بر اساس نیازمندیهای محیط خود پذیرفته و اطلاعات مربوط به نقض policyهای مورد نظر را به افراد و IPهای مرتبط برسانند.
برای اطلاعات بیشتر به نگاهی سریع در خصوص این موضوع مراجعه کنید.
افزایش سریع در رمزنگاری ترافیک، چشمانداز تهدید را تغییر داده است. رمزنگاری (encryption) یک روش عالی برای حفظ حریم خصوصی و امنیت داده است، اما از طرفی به مجرمین سایبری کمک کرده تا بدافزارهای خود را پنهان کنند و از شناساییشدن فرار کنند. امروز تقریباً 95 درصد از کل ترافیک وب رمزنگاری میشود و انتظار میرود که بیش از 70 درصد از حملات نیز از رمزنگاری استفاده کنند. در روش بررسی سنتی تهدیدات، رمزگشایی به صورت انبوه انجام شده، تجزیه و تحلیل صورت گرفته و مجدداً رمزنگاری انجام میشود. بنا به دلایل عملکردی و منابع، استفاده از این روش همیشه عملی یا شدنی نیست. علاوه بر این، استفاده از این روش باعث میشود تا حریم خصوصی و یکپارچگی و صحت دادهها نیز به خطر بیفتد. سیسکو بر اساس تجاربی خود در بازار زیرساخت شبکه، یک فناوری تحول برانگیز برای رمزنگاری ترافیک بدون نیاز به هرگونه رمزگشایی ارائه کرده است. با استفاده از این فناوری، سازمانها میتوانند.
تهدیدات موجود در ترافیک رمزشده را تشخیص دهند
مطمئن شوند که الزامات رمزنگاری (cryptographic) را رعایت نمودهاند.
برای اطلاعات بیشتر به صفحه https://www.cisco.com/go/eta مراجعه کنید.
حذف نقاط کور: Cisco stealthwatch، تنها راهکار آنالیز امنیت است که بدون نیاز به نصب سنسور در محلهای مختلف، یک قابلیت دید جامع برای شبکههای خصوصی و همچنین، برای ابر خصوصی فراهم مینماید. این راهکار سیسکو Stealthwatch، اولین راهکاری است که میتواند بدون نیاز به رمزگشایی، بدافزارهای موجود در ترافیک رمزشده را تشخیص دهد.
تمرکز بر روی حوادث، بدون سر و صدا: در سیسکو Stealthwatch از مدلسازی رفتاری، یادگیری ماشین در چند لایه (multilayered machine learning) و هوش تهدید جهانی (global threat intelligence) استفاده میشود. بدین ترتیب، مثبتهای کاذب و هشدارهایی که برای تهدیدات بحرانی و اثرگذار بر روی محیط شما اعلام میشوند، کمتر خواهند شد.
گیرانداختن در زمان اقدام : Cisco Stealthwatch همواره شبکه را پایش میکند تا بتواند تهدیدات پیشرفته را در لحظه کشف کند. حملات مخفیانه (Stealthy attacks)، معمولاً با فعالیتهایی مثل port scanning و constant pinging و تاکتیکهای شناسایی (reconnaissance tactics) از قبل آغاز میشوند. این روش، همین علامتهای هشدار اولیه را شناسایی کرده و به کاربران هشدار میدهد تا از همان ابتدا از ورود مهاجمین جلوگیری کنند. پس از آنکه تهدیدات شناسایی شد، کاربران میتوانند بررسیهای جرمنگاری خود را انجام دهند تا منبع تهدیدات و محلهای دیگری که در آن رسوخ کردهاند، مشخص شود.
بیشترین استفاده از سرمایهگذاری : با توجه به اینکه راهکار Cisco Stealthwatch نیاز به عامل ندارد، شما میتوانید از همان telemetry قدرتمندی که توسط زیرساخت موجود شبکه خود ایجاد کردهاید، استفاده کرده و وضعیت امنیت خود را بهبود بخشید.
تنظیم امنیت بر اساس رشد کسب و کار: امروزه دیگر نباید با تغییراتی که در کسب و کار خود میدهید، امنیت شما به خطر بیفتد. فرقی نمیکند که یک شعبه یا دیتاسنتر جدید راهاندازی میکنید، بارهای خود (workloads) را بر روی ابر منتقل میسازید یا اینکه فقط چند دستگاه به شبکه خود اضافه میکنید؛ در هر صورت، اگر Cisco Stealthwatch را پیادهسازی کرده باشید، این راهکار نیازمندیهای شبکه شما را بر اساس مقیاس کارتان پوشش میدهد. میتوانید راهکار سیسکو Stealthwatch را بر روی سرورهای داخلی خود یا بر روی ابر نصب کنید، میتوانید از آن به صورت SaaS استفاده کنید یا اینکه لایسنس آن را خریداری کنید. در راهکار سیسکو Stealthwatch نقشها به صورت خودکار دستهبندی میشوند تا هر زمان که دستگاههای جدیدی را به شبکه خود اضافه میکنید، این دستگاهها به شکل خودکار دستهبندی شوند.
یکیشدن اکوسیستم امنیتی شما با SecureX : پلتفرم SecureX به شکل پیشفرض در درون راهکار Cisco Stealthwatch قرار داده شده است. بنابراین، با استفاده از آن، امکان بررسی تهدیدات بیشتر و واکنش در برابر آنها را در اختیار خواهید داشت. سیسکو Stealthwatch با SecureX یکپارچه شده تا قابلیت دید واحدی فراهم شود، واکنش در برابر تهدیدات سادهتر شده و امکان اتوماسیون برای تمام بردارهای تهدید و نقاط دسترسی نیز مسیر شود.
دیتاشیتهای Cisco Secure Cloud Analytics که پیش از این با نام Stealthwatch Cloud شهرت داشت را میتوانید در اینجا ببینید.
برای اطلاعات بیشتر به سایت سیسکو مراجعه نمایید.