معرفی راهکار Stealthwatch شرکت سیسکو
Cisco Stealthwatch
Cisco Stealthwatch یکی از محصولات امنیتی شرکت سیسکو است که وظیفه اصلی آن ایجاد و ارایه دید جامع و شفاف از کلیه زیرساختهای شبکهای سازمان شامل شبکه داخلی، سرویسها و زیرساختهای ابری میباشد. درا صل این محصول با ارایه تحلیلهای امنیتی پیشرفته به سازمانها در جهت شناسایی و عکسالعمل مناسب و بلادرنگ در برابر تهدیدات کمک مینماید.
Cisco Stealthwatch در واقع با استفاده از ترکیبی از عوامل و تکنیکهای مختلف مانند مدلسازی رفتاری و یادگیری ماشین و استفاده از اطلاعات حملات، قادر است تهدیدات و حملاتی از نوع Command-and-control، انواع Ransomwareها، حملات DDoS، انواع نرمافزارهای ماینینگ، Malwareهای ناشناخته و حملات داخلی را به سرعت و با ضریب اطمینان بالا شناسایی کند. استفاده از Stealthwatch به این معنی است که میتوان با یک راهکار Agentless، مانیتورینگ کاملی بر روی ترافیک کل شبکه حتی در صورت رمز بودن ترافیک داشت.
مشکل اصلی سازمانها در حوزه امنیت
سازمانها با وجود اینکه سرمایهگذاریهای کلانی در زیرساخت IT و امنیت خود میکنند، اما با پیشرفتهایی که در حوزه حملات و تهدیدات امنیتی اتفاق میافتد، این تهدیدات امنیتی هستند که همواره راهی برای نفوذ پیدا میکنند. مسئله زمان نیز دیگر موضوع مهم تشخیص حملات میباشد. یعنی ممکن است یک تهدید ماهها یا حتی سالها طول بکشد تا در شبکه سازمان شناسایی شود.
با نگاهی دقیقتر در حوزه امنیت میتوان متوجه شد که مهمترین عامل در افزایش پیچیدگی شبکهها و گسترش تهدیدات پیشرفته فقدان شفافیت میباشد. همچنین این موضوع را نیز باید در نظر داشته باشیم که تیمهای امنیتی با منابع محدود و ابزارهای جداگانهای که در اختیار دارند، بیش از این کاری از دست شان برنمیآید.
موضوع دیگری هم که میتوان در مورد سازمانهایی که از محصولات امنیتی برای امن سازی زیرساختهای خود استفاده میکنند گفت این است که کارشناسان آنها از کجا باید متوجه شوند که راهکارهای امنیتی مانند فایروالها، سرویسهای احراز هویت و سایر راهکارهای امنیتی که برای افزایش امنیت زیرساخت IT سازمان خود استفاده میکنند به درستی تنظیم، مدیریت و عمل میکنند؟
شفافیت
اگر تصمیم دارید که این مشکل را به طور ریشهای حل کنید_ابتدا بایستی از سرمایهگذاری فعلی انجام شده در زیرساخت شبکه و امنیت سازمان نهایت استفاده کرده و همه اطلاعات را ثبت و نگهداری کنید. دادههای مربوط به سنجش و ارزیابی شبکه منبع ارزشمندی است که میتواند دید مناسبی از نقاط در حال اتصال به شبکه سازمان و منابعی که به دنبال دسترسی به آنها هستند به شما بدهند.در واقع شبکه سازمان به طور کلی شامل همه تجهیزات و افرادی است که با آن در ارتباطند.
این دید میتواند به صورت فراگیری شامل دادههای تمامی شعبات، مراکز داده، کاربران راه دور، دستگاههای هوشمند و زیرساختها و سرویسهای ابری عمومی و خصوصی باشد. بررسی و آنالیز این دادهها میتواند به تشخیص هرچه سریعتر تهدیدات و کاهش اثرات آنها کمک کند.
با بررسی قابلیتهای محصولات مختلف موجود در بازار امنیت میتوان به این نتیجه رسید که راهکار مورد نیاز برای داشتن شفافیت در شبکه و غلبه بر مشکلات امنیتی محصولاتی مانند Stealthwatch میباشد. این محصول ما این امکان را میدهد تا دید جامع و شفافی نسبت به کل ترافیک موجد در زیرساخت شبکه داشته باشیم. در واقع این دید شامل شناخت کلیه نقاط متصل به شبکه با این مفهوم که چه کسی یا چه دستگاهی به چه اطلاعاتی از چه نقطهای از شبکه دسترسی دارد، میشود. بعد از داشتن این اطلاعات آنچه نیاز است تشخیص رفتار نرمال کاربر یا نقطه پایانی (میزبان) است تا با ایجاد پایه و اساسی قابل قبول از تفییر رفتار عادی کاربر مطلع شویم.
موارد استفاده از سیسکو Stealthwatch
گزارشات نشان میدهد شفافیت و اطلاعات به دست آماده از آنالیز ترافیک شبکه توسط سیسکو Stealthwatch موراد زیر را به طور چشمگیری بهبود داده است.
- تشخیص بلادرنگ تهدیدات و حملات
- پاسخ مناسب به حوادث و کارهای فارنزیک
- بخشبندی شبکه
- توانایی برآورده کردن نیازمندیهای نظارتی
- افزایش کارایی شبکه و داشتن اطلاعات کافی در مورد ظرفیت منابع شبکه جهت برنامهریزیها آتی
مزایای اصلی راهکار Stealwatch
- دیگر هیچ نقطه کوری در شبکه وجود ندارد: سیسکو Stealthwatch تنها راهکار آنالیز امنیتی است که میتواند دید کاملی در شبکههای خصوصی و همچنین ابر عمومی و بدون نیاز به نصب سنسور ارایه دهد.
- تمرکز بر روی حادثه: با استفاده از قدرت مدلسازی رفتاری، یادگیری ماشین چندلایهای، اطلاعت مربوط به تهدیدات، Stealthwatch قادر است میزان تشخیصهای غلط را کاهش و در مواقعی که تهدیدات خطرناکی سازمان شما را تهدید میکند، هشدارهای لازم را ایجاد کند.
- تشخیص تهدیدات در حین فعالیت: Stealthwatch به طور مداوم شبکه را برای تشخیص تهدیدات پیشرفته و به صورت بلادرنگ مانیتور میکند.هکرها معمولا فعالیت خود را با اقداماتی مانند اسکن پورتها، پینگهای دائمی و غیره شروع میکنند. Stealthwatch میتواند این علایم را به سرعت تشخیص و قبل از اینکه تاثیر عمیقی داشته باشند از آنها جلوگیری کند. زمانی که حمله شناسایی شد، شما میتوانید با تحقیقات فارنزیکی منبع حمله را شناسایی و جاهایی که این حمله ممکن است گسترش یافته باشد را شناسایی کنید.
- نهایت استفاده از سرمایهگذاری انجام شده: با یک راهکار Agentless شما میتوانید از اطلاعات غنی ایجاد شده از شبکهتان را برای بهبود امنیت سازمان استفاده کنید.
- مقیاس پذیری امنیت با رشد کسبوکار: در حال حاضر دیگر نیازی به تغییر در ساختار امنیتی سازمان با تغییر در کسبوکار نمیباشد. چه شما بخواهید شبعه یا دیتا سنتر جدیدی راهاندازی کنید یا اینکه فضای کاریتان را بر روی ابر انتقال دهید یا تجهیزات جدیدی به شبکهتان اضافه کنید. سیسکو Stealthwatch میتواند به راحتی برای پوشش ناحیه جدید توسعه داده شود. راهکار سیسکو Stealthwatch میتوان به صورت اختصاصی و در دیتاسنتر سازمان یا به صورت یک راه حل SaaS و بروی ابر و مبتنی بر مجوز خریداری استفاده نمود. در صورت استفاده از سرویس ابری، راهکار ارایه شده دارای قابلیت طبقه بندی خودکار نقشها برای طبقه بندی خودکار دستگاه های جدید اضافه شده به شبکه خواهد بود.
آنالیز ترافیک رمز شده
نکته قابل توجه در مورد ترافیکهای رمز شده این است که رشد سریع ترافیکهای رمز شده این روزها دامنه حملات را نیز به طور قابل توجهی گسترش داده اند. اکثر کسب و کارها الکترونیکی شدهاند و تعداد زیادی از سرویسها و برنامههای کاربردی حساس از رمزنگاری به عنوان متد اصلی برای امن کردن اطلاعات خود استفاده میکنند. به همین دلیل تکنولوژیهای رمزنگاری فضای امنیتی و حریم خصوصی مناسبی برای سازمانها جهت استفاده از اینترنت برای برقراری ارتباطات و تجارت آنلاین خود فراهم کردهاند. با این حال عاملین تهدید نیز از مزایای مشابهی جهت پنهان ماندن از شناسایی شدن و امن کردن فعالیتهای خود بهره میبرند.
روشهای سنتی بازرسی ترافیک رمزشده، آنالیز و رمزکردن مجدد این ترافیک به دلیل مسائلی مانند کارایی و منابع پردازشی موجود مثل همیشه عملی نمیباشد. از طرفی دیگر این کار حریم خصوصی و یکپارچگی دادهها را نیز به خطر میاندازد.
سیسکو با حضور تخصصی در بازاز محصولات زیرساخت شبکهای و انجام تحقیقات گسترده و به کارگیری فناوریهای نوآورانه و انقلابی، روشی نو جهت آنالیز ترافیک رمزشده (ETA) ارایه کرده است. این فناوری با استفاده ازنوع جدیدی از عناصر داده یا عناصر سنجشی به روشن شدن نقاط تاریک مربوط به ترافیک رمزشده و بدون نیاز به رمزگشایی این ترافیک کمک میکند.
این تلهمتری پیشرفته ETA توسط نسل جدید روترها، سوئیچها و کنترلرهای وایرلس و همچنین سنسور Flow محصول Stealthwatch تولید میشود. Stealthwatch از تلهمتری ETA جهت شناسایی تهدیدات در ترافیکهای رمز شده و اطمینان از انطباق رمزنگاری استفاده میکند.
هسته اصلی Stealthwatch
ماژولهای اصلی
- Flow Rate license
- Flow Controller
- Stealthwatch Management Console
- Flow Sensore
- UDP Direcore
موارد زیر سایر لایسنسهای اختیاریی هستند که ویژگیهای عملکردی دیگری را به سیستم اضافه میکنند.
- Cisco Stealthwatch Endpoint Lincense: به صورت لایسنس افزودنی برای افزایش دید بر روی تجهیزات کاربرنهایی ارایه شده است (نیاز به خرید AnyConnect Network Visibility میباشد).
- Cisco Stealthwatch Cloud: به صورت یک محصول SaaS و در زیرساختهای ابری مانند Amazon web service، سرویس Microsoft Azure و زیرساخت ابری Google جهت شناسایی تهدیدات و دید کامل شبکه ارایه شده است.
- Cisco Stealthwatch Treat Intelligence License: فید جهانی اطلاعات تهدیدات که توسط گروه اطلاعات تهدیدات و پیشرو این صنعت، Cisco Talos ارایه شده، لایه جدیدی از امنیت را در مقابل Botnetها و سایر حملات پیچیده ارایه کرده است. این سیستم فعالیتهای مشکوک در محیط شبکه داخلی را با دادههای موجود بر روی هزارن سرور کنترلی برای شناسایی و عکسالعمل سریع مقایسه میکند. Cisco Talos تعداد 1.5 میلیون بدافزار منحصربهفرد را مشاهده و روزانه بیش از 20 میلیون تهدید را مسدود میکند.
دیدگاهتان را بنویسید