معرفی راهکار Stealthwatch شرکت سیسکو

Cisco Stealthwatch یک محصول امنیتی است که به عنوان یک راهکار امنیتی دید جامع و شفافی از شبکه سازمان ارایه می‌دهد. قابلیت‌های موجود در این محصول تحلیل‌های امنیتی پیشرفته‌ای جهت شناسایی  تهدیدات و عکس‌العمل مناسب و بلادرنگ در برابر این تهدیدات ارایه می‌دهد. Cisco Stealthwatch با ترکیب عوامل مختلفی از جمله مدل‌سازی رفتاری، یادگیری ماشین، اطلاعات حملات، می‌تواند به سرعت و با ضریب اطمینان بالایی، تهدیدات و حملات از نوع Command-and-control، انواع Ransomwareها، حملات DDoS، انواع نرم‌افزارهای ماینینگ، Malwareهای ناشناخته و حملات داخلی را شناسایی کند. در واقع می‌توانیم با یک راهکار Agentless مانیتورینگ کاملی بر روی ترافیک کل شبکه حتی در صورت رمز بودن آن داشته باشیم.

سازما‌ن‌ها با وجود اینکه سرمایه‌گذاری کلانی در زیرساخت IT و امنیت خود می‌کنند ولی همچنان این تهدیدات امنیتی اند که راهی برای نفوذ پیدا می‌کنند. علاوه براین شاید ماه‌ها یا حتی سال‌ها زمان لازم باشد تا بتوان آنها تشخیص داد. فقدان شفافیت به عنوان مهم‌ترین عامل نقش اصلی را در افزایش پیچیدگی شبکه‌ها و همچنین گسترش تهدیدات پیشرفته بازی می‌کند. این موضوع را نیز باید در نظر داشته باشیم که تیم‌های امنیتی با منابع محدود و ابزارهای جداگانه‌ای که در اختیار دارند، بیش از این کاری از دست‌ شان برنمی‌آید. موضوع مشترک بین اکثر کارشناسان امنیتی این است که همه ما از راهکارهای امنیتی مانند فایروال‌ها، سرویس‌های احراز هویت و سایر راهکارهای امنیتی جهت افزایش امنیت زیرساخت IT سازمان خود استفاده می‌کنیم، ولی سوال اینجاست که از کجا باید متوجه شویم که این راهکارها به درستی تنظیم، مدیریت و عمل می‌کنند؟

اگر تصمیم داریم که این مشکل را به طور ریشه‌ای حل کنیم_ابتدا بایستی سرمایه‌گذاری فعلی انجام شده در زیرساخت شبکه و امنیت سازمان خود را ثبت و به یاد داشته باشیم. داده‌های مربوط به سنجش و ارزیابی شبکه منبع ارزشمندی است که می‌توانند دید مناسبی از نقاط در حال اتصال به شبکه سازمان و منابعی که به دنبال دسترسی به آنها هستند به ما بدهند.در واقع شبکه سازمان به طور کلی شامل همه تجهیزات و افرادی است که با آن ارتباط دارند. پس این دید می‌تواند به صورت فراگیری شامل داده‌های تمامی شعبات، مراکز داده، کاربران راه دور، دستگاه‌های هوشمند و زیرساخت‌ها و سرویس‌های ابری عمومی و خصوصی ‌شود. بررسی و آنالیز این داده‌ها می‌تواند به تشخیص هرچه سریعتر تهدیدات و کاهش اثرات آنها کمک کند.

با بررسی قابلیت‌های محصولات مختلف موجود در بازار امنیت می توان نتیجه گرفت که راهکار مورد نیاز برای داشتن شفافیت در شبکه و غلبه بر مشکلات امنیتی محصول Stealthwatch شرکت سیسکو می‌باشد که به ما اجازه می‌دهد دید جامع و شفافی از ترافیک داشته باشیم. این دید شامل شناخت کلیه نقاط متصل به شبکه به این مفهوم که چه کسی یا چه دستگاهی به چه اطلاعاتی از چه نقطه‌ای از شبکه دسترسی دارد. بعد از داشتن این اطلاعات آنچه نیاز داریم تشخیص رفتار نرمال یک کاربر یا یک نقطه پایانی (میزبان) است تا با ایجاد پایه و اساسی قابل قبول از تعییر رفتار عادی کاربر مطلع شویم.

موارد استفاده از سیسکو Stealthwatch

 گزارشات نشان می‌دهد شفافیت و اطلاعات به دست آماده از آنالیز ترافیک شبکه توسط سیسکو Stealthwatch موراد زیر را به طور چشمگیری بهبود داده است:

  • تشخیص بلادرنگ تهدیدات
  • پاسخ مناسب به حوادث و کارهای فارنزیک
  • بخش‌بندی شبکه
  • توانایی برآورده کردن نیازمندی‌های نظارتی
  • افزایش کارایی شبکه و داشتن اطلاعات کافی در مورد ظرفیت منابع شبکه جهت برنامه‌ریزی‌ها آتی

مزایای اصلی راهکار Stealwatch

  •  دیگر هیچ نقطه کوری در شبکه وجود ندارد: سیسکو Stealthwatch تنها راهکار آنالیز امنیتی است که می‌تواند دید کاملی در شبکه‌های خصوصی و همچنین ابر عمومی و بدون نیاز به نصب سنسور ارایه دهد.
  • تمرکز بر روی حادثه: با استفاده از قدرت مدل‌سازی رفتاری، یادگیری ماشین چندلایه‌ای، اطلاعت مربوط به تهدیدات، Stealthwatch قادر است میزان تشخیص‌های غلط را کاهش و در مواقعی که تهدیدات خطرناکی سازمان شما را تهدید می‌کند، هشدارهای لازم را ایجاد کند.
  • تشخیص تهدیدات در حین فعالیت: Stealthwatch به طور مداوم شبکه را برای تشخیص تهدیدات پیشرفته و به صورت بلادرنگ مانیتور می‌کند. هکرها معمولا فعالیت خود را با اقداماتی مانند اسکن پورت‌ها، پینگ‌های دائمی و غیره شروع می‌کنند. Stealthwatch می‌تواند این علایم را به سرعت تشخیص و قبل از اینکه تاثیر عمیقی داشته باشند از آنها جلوگیری کند. زمانی که حمله شناسایی شد، شما می‌توانید با تحقیقات فارنزیکی منبع حمله را شناسایی و جاهایی که این حمله ممکن است گسترش یافته باشد را شناسایی کنید.
  •  نهایت استفاده از سرمایه‌گذاری انجام شده: با یک راهکار Agentless شما می‌توانید از اطلاعات غنی ایجاد شده از شبکه‌تان برای بهبود امنیت سازمان استفاده کنید.
  • مقیاس پذیری امنیت با رشد کسب‌و‌کار: در حال حاضر دیگر نیازی به تغییر در ساختار امنیتی سازمان با تغییر در کسب‌و‌کار نمی‌باشد. چه شما بخواهید شبعه یا دیتا سنتر جدیدی راه‌اندازی کنید یا اینکه فضای کاریتان را بر روی ابر انتقال دهید یا تجهیزات جدید به شبکه‌تان اضافه کنید. سیسکو Stealthwatch می‌تواند به راحتی برای پوشش ناحیه جدید توسعه داده شود. راهکار سیسکو Stealthwatch می‌توان به صورت اختصاصی و در دیتاسنتر سازمان یا به صورت یک راه حل SaaS و بروی ابر و مبتنی بر مجوز خریداری استفاده نمود. در صورت استفاده از سرویس ابری، راهکار ارایه شده دارای قابلیت طبقه بندی خودکار نقش‌ها برای طبقه بندی خودکار دستگاه های جدید اضافه شده به شبکه خواهد بود.

آنالیز ترافیک رمز شده

 نکته قابل توجه در مورد ترافیک‌های رمز شده این است که رشد سریع ترافیک‌های رمز شده این روزها دامنه حملات را نیز به طور قابل توجهی گسترش داده اند. این روزها اکثر کسب‌و‌کارها الکترونیکی شده‌اند و تعداد زیادی از سرویس‌ها و برنامه‌های کاربردی حساس از رمزنگاری به عنوان متد اصلی برای امن کردن اطلاعات خود استفاده می‌کنند. به همین دلیل تکنولوژی‌های رمزنگاری فضای امنیتی و حریم خصوصی مناسبی برای سازمان‌ها جهت استفاده از اینترنت برای برقراری ارتباطات و تجارت آنلاین خود فراهم کرده‌اند. با این حال عاملین تهدید نیز از مزایای مشابهی جهت پنهان ماندن از شناسایی شدن و امن کردن فعالیت‌های خود بهره می‌برند.
 روش‌های سنتی بازرسی ترافیک رمزشده، آنالیز و رمزکردن مجدد این ترافیک به دلیل مسائلی مانند کارایی و منابع پردازشی موجود همیشه عملی نمی‌باشد. از طرفی دیگر این کار حریم خصوصی و یکپارچگی داده‌ها را نیز به خطر می‌اندازد.
 سیسکو با حضور تخصصی در بازاز محصولات زیرساخت شبکه‌ای و انجام تحقیقات گسترده‌ و به کارگیری فناوری‌های نوآورانه و انقلابی، روشی نو جهت آنالیز ترافیک رمزشده (ETA) ارایه کرده است. این فناوری با استفاده ازنوع جدیدی از عناصر داده یا عناصر سنجشی به روشن شدن نقاط تاریک مربوط به ترافیک رمزشده بدون نیاز به رمزگشایی این ترافیک کمک می‌کند. این تله‌متری پیشرفته ETA  توسط نسل جدید روترها، سوئیچ‌ها و کنترلرهای وایرلس و همچنین سنسور Flow محصول Stealthwatch تولید می‌شود. Stealthwatch از تله‌متری ETA جهت شناسایی تهدیدات در ترافیک‌های رمز شده و اطمینان از انطباق رمزنگاری استفاده می‌کند.
 در هسته اصلی Stealthwatch اجزای مورد نیاز قرار دارد: لایسنس ریت Flow، کنترلر Flow، کنسول مدیریتی. علاوه براین شامل اجزایی مانند سنسور Flow و هدایت کننده UDP نیز می‌شوند. موارد زیر سایر لایسنس‌های اختیاریی هستند که ویژگی‌های عملکردی دیگری را به سیستم اضافه می‌کنند.
  •  Cisco Stealthwatch Endpoint Lincense:  به صورت لایسنس افزودنی برای افزایش دید بر روی تجهیزات کاربرنهایی ارایه شده است (نیاز به خرید AnyConnect Network Visibility می‌باشد).
  • Cisco Stealthwatch Cloud: به صورت یک محصول SaaS و در زیرساخت‌های ابری مانند Amazon web service، سرویس Microsoft Azure و زیرساخت ابری Google جهت شناسایی تهدیدات و فراهم کردن دید کامل نسبت به شبکه ارایه شده است.
  • Cisco Stealthwatch Treat Intelligence License: فید جهانی اطلاعات تهدیدات که توسط گروه اطلاعات تهدیدات و پیشرو این صنعت، Cisco Talos ارایه شده، لایه جدیدی از امنیت را در مقابل Botnetها و سایر حملات پیچیده ارایه کرده است. این سیستم فعالیت‌های مشکوک در محیط شبکه داخلی را با داده‌های موجود بر روی هزارن سرور کنترلی برای شناسایی و عکس‌العمل سریع مقایسه می‌کند. Cisco Talos تعداد 1.5 میلیون بدافزار منحصربه‌فرد را مشاهده و روزانه بیش از 20 میلیون تهدید را مسدود می‌کند.