کنترل انتقال فایل و جلوگیری از انتشار بد افزار با استفاده از File Policy در FTD

سیسکو File Policy

به عنوان یک متخصص شبکه و امنیت قطعا قصد ندارید که کاربران‌ سازمان به صورت رندم و کنترل نشده فایل‌هایی را از اینترنت دانلود و اجرا نمایند. بنابراین، زمانی که به کاربران خود اجازه می‌دهید تا سایت‌های مشخصی را دسترسی داشته باشند، این انتظار را نیز دارید که براساس File Policy، سازمان بر روی فایل‌های دانلود و آپلود شده توسط کاربران کنترل بیشتری داشته باشد.

دانلود فایل‌های ناامن می‌تواند انواع ویروس‌ها، بدافزارها، Expliot kitها و سایر فایل‌های خطرناک را بر روی شبکه منتشر کند. که این موضوع می‌تواند شبکه را در برابر انواع مختلف حملات آسیب‌پذیر نماید. علاوه‌براین، طبق سیاست‌های سازمان، شما نمی‌خواهید که کاربران فایل‌هایی با فرمت خاص را از طریق شبکه سازمان و با استفاده ازهر نوع پروتکلی بر روی سایت‌های خارج از کنترل آپلود نمایند. با توجه به این موضوع، Cisco Firepower با ارائه قابلیت File Policy، این امکان را می‌دهد تا شما بتوانید با استفاده از مکانیزم‌های خاص و پیشرفته بر روی آپلود و دانلود فایل‌ها براساس ویژگی‌هایی مانند فرمت و میزان مشکوک بودن فعالیت‌ یک فایل، کنترل موثرتری داشته باشید.

شما می‌توانید با استفاده از File Policy هر فایلی با هر فرمتی مانند فایل‌های مدیا یا اجرایی با فرمت EXE و RPM و سایر فرمت‌ها را شناسایی نمایید.علاوه‌براین، FTD می‌تواند فایل‌ها را ازجهت میزان پتانسیل بدافزار بودن آنها در هنگام انتقال در شبکه آنالیز نماید. طبق طراحی در نظر گرفته شده برای FTD این سیستم می‌تواند قبل از بررسی فایل برای تشخیص بدافزار بودن آن، براساس فرمت فایل از ورود آن به شبکه جلوگیری نماید.

شناسایی نوع فایل (File type detection)

سیستم FTD از یکسری متا دیتا به نام Magic Number برای شناسایی فرمت فایل‌ها استفاده می‌کند. Magic Number دنباله‌ای از اعداد منحصر به فرد می‌باشد که به صورت Encode شده داخل فایل قرار دارد. سیستم FTD قادر است با تطبیق Magic number با استریم بسته‌های عبوری فرمت فایل را شناسایی نماید. برای مثال مقدار Magic Number برای فایل‌های اجرایی مایکروسافت 4D 5A می‌باشد. برای شناسایی فایل‌های اجرای Snort از قانون زیر استفاده می‌کند.

file type:MSEXE:id:21;Category:Executable;Dynamic Analysis capable;Local malware Analysis capable;msg:”window/DOS executable file”; Content: |4D 5A|; offset0

تکنولوژی‌های آنالیز بدافزار (Malware Analysis)

شرکت سیسکو در جهت ایجاد قدرت در امنیت شبکه با استفاده از اطلاعات تهدیدات، راهکار AMP خود را با سیستم FTD ادغام کرده است. AMP باعث شده تا FTD بتواند فایل‌ها را در زمان عبور از شبکه شناسایی و ویروس یا بدافزار بودن آنها را آنالیز نماید.

FTD برای تسریع در آنالیز فایل‌ها و همچنین برا صرفه‌جویی در مصرف منابع می‌تواند از روش‌های آنالیز بدافزار به صورت Local و Dynamic استفاده کند. برای آنالیز یک فایل FTD ابتدا Hash فایل را محاسبه می‌کند و برای تصمیم‌گیری در مورد وضعیت آن، FMC ابتدا بین وضعیت‌های کش شده جستجو می‌کند و در صورت عدم موفقیت آن را به AMP Cloud ارسال می‌کند.

سیستم FTD بسته به نوع Action انتخابی می‌تواند از روش‌های آنالیز پیشرفته و به ترتیب زیر استفاده نماید.

آنالیز Spero: موتور آنالیز Spero فقط فایل‌های MSEXE را آنالیز و Signatureهای بدست آمده را بر روی Cloud ارسال می‌کند.

آنالیز Local: سیستم FTD در این روش از دو مجموعه رول‌های Hight-fidelity و Precalssification برای آنالیز فایل‌ها استفاده می‌کند. در واقع FMC رول‌های Hight-fideliy را از شبکه Talos دانلود و بر روی FTD قرار می‌دهد. و FTD در زمان آنالیزفایل‌ها، الگوهای دریافتی از Talos را با الگوهای بدست آمده از فایل مطابقت داده و فایل‌ها را براساس بدافزارهای شناخته شده آنالیز می‌نماید. علاوه‌براین FTD از فیلترهای Preclassification برای صرفه جویی در استفاده از منابع استفاده می‌کند.

آنالیز Dynamic: سیستم FTD با استفاده از آنالیز Dynamic فایل‌های ذخیره شده را برای آنالیز به سمت Threat Grid Sndboox ارسال می‌کند. فضای Sndbox می‌تواند بر روی Cloud قرار گرفته یا به صورت محلی راه اندازی شده باشد. در این روش علاوه‌بر آنالیز فایل توسط Snadbox، این سیستم عددی را تحت عنوان Threat score به آن اختصاص می‌دهد.

این نوع File Policy به شما اجازه می‌دهد که با استفاده از Threat Scoreها آستانه‌ای برای این امتیازات در نظر بگیرید تا FTD بتواند تشخیص دهد که چه زمانی با یک فایل مورد آنالیز به عنوان یک بدافزار رفتار کند.