معرفی راهکار Stealthwatch شرکت سیسکو

Cisco Stealthwatch

Cisco Stealthwatch یکی از محصولات امنیتی شرکت سیسکو است که وظیفه اصلی آن ایجاد و ارایه دید جامع و شفاف از کلیه زیرساخت‌های شبکه‌ای سازمان شامل شبکه داخلی، سرویس‌ها و زیرساخت‌های ابری می‌باشد. درا صل این محصول با ارایه تحلیل‌های امنیتی پیشرفته‌ به سازمان‌ها در جهت شناسایی و عکس‌العمل مناسب و بلادرنگ در برابر تهدیدات کمک می‌نماید.

Cisco Stealthwatch در واقع با استفاده از ترکیبی از عوامل و تکنیک‌های مختلف مانند مدل‌سازی رفتاری و یادگیری ماشین و استفاده از اطلاعات حملات، قادر است تهدیدات و حملاتی از نوع Command-and-control، انواع Ransomwareها، حملات DDoS، انواع نرم‌افزارهای ماینینگ، Malwareهای ناشناخته و حملات داخلی را به سرعت و با ضریب اطمینان بالا شناسایی کند. استفاده از Stealthwatch به این معنی است که می‌توان با یک راهکار Agentless، مانیتورینگ کاملی بر روی ترافیک کل شبکه حتی در صورت رمز بودن ترافیک داشت.

مشکل اصلی سازمان‌ها در حوزه امنیت

سازما‌ن‌ها با وجود اینکه سرمایه‌گذاری‌های کلانی در زیرساخت IT و امنیت خود می‌کنند، اما با پیشرفت‌هایی که در حوزه حملات و تهدیدات امنیتی اتفاق می‌افتد، این تهدیدات امنیتی هستند که همواره راهی برای نفوذ پیدا می‌کنند. مسئله زمان نیز دیگر موضوع مهم تشخیص حملات می‌باشد. یعنی ممکن است یک تهدید ماه‌ها یا حتی سال‌ها طول بکشد تا در شبکه سازمان شناسایی شود. 
با نگاهی دقیق‌تر در حوزه امنیت می‌توان متوجه شد که مهم‌ترین عامل در افزایش پیچیدگی شبکه‌ها و گسترش تهدیدات پیشرفته فقدان شفافیت می‌باشد. همچنین این موضوع را نیز باید در نظر داشته باشیم که تیم‌های امنیتی با منابع محدود و ابزارهای جداگانه‌ای که در اختیار دارند، بیش از این کاری از دست‌ شان برنمی‌آید. 
موضوع دیگری هم که می‌توان در مورد سازمان‌هایی که از محصولات امنیتی برای امن سازی زیرساخت‌های خود استفاده می‌کنند گفت این است که کارشناسان آنها از کجا باید متوجه شوند که راهکارهای امنیتی مانند فایروال‌ها، سرویس‌های احراز هویت و سایر راهکارهای امنیتی که برای افزایش امنیت زیرساخت IT سازمان خود استفاده می‌کنند به درستی تنظیم، مدیریت و عمل می‌کنند؟

شفافیت

اگر تصمیم دارید که این مشکل را به طور ریشه‌ای حل کنید_ابتدا بایستی از سرمایه‌گذاری فعلی انجام شده در زیرساخت شبکه و امنیت سازمان نهایت استفاده کرده و همه اطلاعات را ثبت و نگهداری کنید. داده‌های مربوط به سنجش و ارزیابی شبکه منبع ارزشمندی است که می‌تواند دید مناسبی از نقاط در حال اتصال به شبکه سازمان و منابعی که به دنبال دسترسی به آنها هستند به شما بدهند.در واقع شبکه سازمان به طور کلی شامل همه تجهیزات و افرادی است که با آن در ارتباطند.
این دید می‌تواند به صورت فراگیری شامل داده‌های تمامی شعبات، مراکز داده، کاربران راه دور، دستگاه‌های هوشمند و زیرساخت‌ها و سرویس‌های ابری عمومی و خصوصی باشد. بررسی و آنالیز این داده‌ها می‌تواند به تشخیص هرچه سریعتر تهدیدات و کاهش اثرات آنها کمک کند.
با بررسی قابلیت‌های محصولات مختلف موجود در بازار امنیت می‌توان به این نتیجه رسید که راهکار مورد نیاز برای داشتن شفافیت در شبکه و غلبه بر مشکلات امنیتی محصولاتی مانند Stealthwatch می‌باشد. این محصول  ما این امکان را می‌دهد تا دید جامع و شفافی نسبت به کل ترافیک موجد در زیرساخت شبکه داشته باشیم. در واقع این دید شامل شناخت کلیه نقاط متصل به شبکه با این مفهوم که چه کسی یا چه دستگاهی به چه اطلاعاتی از چه نقطه‌ای از شبکه دسترسی دارد، می‌شود. بعد از داشتن این اطلاعات آنچه نیاز است تشخیص رفتار نرمال کاربر یا  نقطه پایانی (میزبان) است تا با ایجاد پایه و اساسی قابل قبول از تفییر رفتار عادی کاربر مطلع شویم.

موارد استفاده از سیسکو Stealthwatch

گزارشات نشان می‌دهد شفافیت و اطلاعات به دست آماده از آنالیز ترافیک شبکه توسط سیسکو Stealthwatch موراد زیر را به طور چشمگیری بهبود داده است.

• تشخیص بلادرنگ تهدیدات و حملات
• پاسخ مناسب به حوادث و کارهای فارنزیک
• بخش‌بندی شبکه
• توانایی برآورده کردن نیازمندی‌های نظارتی
• افزایش کارایی شبکه و داشتن اطلاعات کافی در مورد ظرفیت منابع شبکه جهت برنامه‌ریزی‌ها آتی

مزایای اصلی راهکار Stealwatch

• دیگر هیچ نقطه کوری در شبکه وجود ندارد: سیسکو Stealthwatch تنها راهکار آنالیز امنیتی است که می‌تواند دید کاملی در شبکه‌های خصوصی و همچنین ابر عمومی و بدون نیاز به نصب سنسور ارایه دهد.
• تمرکز بر روی حادثه: با استفاده از قدرت مدل‌سازی رفتاری، یادگیری ماشین چندلایه‌ای، اطلاعت مربوط به تهدیدات، Stealthwatch قادر است میزان تشخیص‌های غلط را کاهش و در مواقعی که تهدیدات خطرناکی سازمان شما را تهدید می‌کند، هشدارهای لازم را ایجاد کند.
• تشخیص تهدیدات در حین فعالیت: Stealthwatch به طور مداوم شبکه را برای تشخیص تهدیدات پیشرفته و به صورت بلادرنگ مانیتور می‌کند.هکرها معمولا فعالیت خود را با اقداماتی مانند اسکن پورت‌ها، پینگ‌های دائمی و غیره شروع می‌کنند. Stealthwatch می‌تواند این علایم را به سرعت تشخیص و قبل از اینکه تاثیر عمیقی داشته باشند از آنها جلوگیری کند. زمانی که حمله شناسایی شد، شما می‌توانید با تحقیقات فارنزیکی منبع حمله را شناسایی و جاهایی که این حمله ممکن است گسترش یافته باشد را شناسایی کنید.
• نهایت استفاده از سرمایه‌گذاری انجام شده: با یک راهکار Agentless شما می‌توانید از اطلاعات غنی ایجاد شده از شبکه‌تان را برای بهبود امنیت سازمان استفاده کنید.
• مقیاس پذیری امنیت با رشد کسب‌و‌کار: در حال حاضر دیگر نیازی به تغییر در ساختار امنیتی سازمان با تغییر در کسب‌و‌کار نمی‌باشد. چه شما بخواهید شبعه یا دیتا سنتر جدیدی راه‌اندازی کنید یا اینکه فضای کاریتان را بر روی ابر انتقال دهید یا تجهیزات جدیدی به شبکه‌تان اضافه کنید. سیسکو Stealthwatch می‌تواند به راحتی برای پوشش ناحیه جدید توسعه داده شود. راهکار سیسکو Stealthwatch می‌توان به صورت اختصاصی و در دیتاسنتر سازمان یا به صورت یک راه حل SaaS و بروی ابر و مبتنی بر مجوز خریداری استفاده نمود. در صورت استفاده از سرویس ابری، راهکار ارایه شده دارای قابلیت طبقه بندی خودکار نقش‌ها برای طبقه بندی خودکار دستگاه های جدید اضافه شده به شبکه خواهد بود.

آنالیز ترافیک رمز شده

نکته قابل توجه در مورد ترافیک‌های رمز شده این است که رشد سریع ترافیک‌های رمز شده این روزها دامنه حملات را نیز به طور قابل توجهی گسترش داده اند. اکثر کسب‌ و ‌کارها الکترونیکی شده‌اند و تعداد زیادی از سرویس‌ها و برنامه‌های کاربردی حساس از رمزنگاری به عنوان متد اصلی برای امن کردن اطلاعات خود استفاده می‌کنند. به همین دلیل تکنولوژی‌های رمزنگاری فضای امنیتی و حریم خصوصی مناسبی برای سازمان‌ها جهت استفاده از اینترنت برای برقراری ارتباطات و تجارت آنلاین خود فراهم کرده‌اند. با این حال عاملین تهدید نیز از مزایای مشابهی جهت پنهان ماندن از شناسایی شدن و امن کردن فعالیت‌های خود بهره می‌برند.
روش‌های سنتی بازرسی ترافیک رمزشده، آنالیز و رمزکردن مجدد این ترافیک به دلیل مسائلی مانند کارایی و منابع پردازشی موجود مثل همیشه عملی نمی‌باشد. از طرفی دیگر این کار حریم خصوصی و یکپارچگی داده‌ها را نیز به خطر می‌اندازد.
سیسکو با حضور تخصصی در بازاز محصولات زیرساخت شبکه‌ای و انجام تحقیقات گسترده‌ و به کارگیری فناوری‌های نوآورانه و انقلابی، روشی نو جهت آنالیز ترافیک رمزشده (ETA) ارایه کرده است. این فناوری با استفاده ازنوع جدیدی از عناصر داده یا عناصر سنجشی به روشن شدن نقاط تاریک مربوط به ترافیک رمزشده و بدون نیاز به رمزگشایی این ترافیک کمک می‌کند.
این تله‌متری پیشرفته ETA  توسط نسل جدید روترها، سوئیچ‌ها و کنترلرهای وایرلس و همچنین سنسور Flow محصول Stealthwatch تولید می‌شود. Stealthwatch از تله‌متری ETA جهت شناسایی تهدیدات در ترافیک‌های رمز شده و اطمینان از انطباق رمزنگاری استفاده می‌کند.

هسته اصلی Stealthwatch

ماژول‌های اصلی

• Flow Rate license
• Flow Controller
• Stealthwatch Management Console
• Flow Sensore
• UDP Direcore

موارد زیر سایر لایسنس‌های اختیاریی هستند که ویژگی‌های عملکردی دیگری را به سیستم اضافه می‌کنند.

• Cisco Stealthwatch Endpoint Lincense:  به صورت لایسنس افزودنی برای افزایش دید بر روی تجهیزات کاربرنهایی ارایه شده است (نیاز به خرید AnyConnect Network Visibility می‌باشد).
• Cisco Stealthwatch Cloud: به صورت یک محصول SaaS و در زیرساخت‌های ابری مانند Amazon web service، سرویس Microsoft Azure و زیرساخت ابری Google جهت شناسایی تهدیدات و دید کامل شبکه ارایه شده است.
• Cisco Stealthwatch Treat Intelligence License: فید جهانی اطلاعات تهدیدات که توسط گروه اطلاعات تهدیدات و پیشرو این صنعت، Cisco Talos ارایه شده، لایه جدیدی از امنیت را در مقابل Botnetها و سایر حملات پیچیده ارایه کرده است. این سیستم فعالیت‌های مشکوک در محیط شبکه داخلی را با داده‌های موجود بر روی هزارن سرور کنترلی برای شناسایی و عکس‌العمل سریع مقایسه می‌کند. Cisco Talos تعداد 1.5 میلیون بدافزار منحصربه‌فرد را مشاهده و روزانه بیش از 20 میلیون تهدید را مسدود می‌کند.