کنترل انتقال فایل و جلوگیری از انتشار بد افزار با استفاده از File Policy در FTD
سیسکو File Policy
به عنوان یک متخصص شبکه و امنیت قطعا قصد ندارید که کاربران سازمان به صورت رندم و کنترل نشده فایلهایی را از اینترنت دانلود و اجرا نمایند. بنابراین، زمانی که به کاربران خود اجازه میدهید تا سایتهای مشخصی را دسترسی داشته باشند، این انتظار را نیز دارید که براساس File Policy، سازمان بر روی فایلهای دانلود و آپلود شده توسط کاربران کنترل بیشتری داشته باشد.
دانلود فایلهای ناامن میتواند انواع ویروسها، بدافزارها، Expliot kitها و سایر فایلهای خطرناک را بر روی شبکه منتشر کند. که این موضوع میتواند شبکه را در برابر انواع مختلف حملات آسیبپذیر نماید. علاوهبراین، طبق سیاستهای سازمان، شما نمیخواهید که کاربران فایلهایی با فرمت خاص را از طریق شبکه سازمان و با استفاده ازهر نوع پروتکلی بر روی سایتهای خارج از کنترل آپلود نمایند. با توجه به این موضوع، Cisco Firepower با ارائه قابلیت File Policy، این امکان را میدهد تا شما بتوانید با استفاده از مکانیزمهای خاص و پیشرفته بر روی آپلود و دانلود فایلها براساس ویژگیهایی مانند فرمت و میزان مشکوک بودن فعالیت یک فایل، کنترل موثرتری داشته باشید.
شما میتوانید با استفاده از File Policy هر فایلی با هر فرمتی مانند فایلهای مدیا یا اجرایی با فرمت EXE و RPM و سایر فرمتها را شناسایی نمایید.علاوهبراین، FTD میتواند فایلها را ازجهت میزان پتانسیل بدافزار بودن آنها در هنگام انتقال در شبکه آنالیز نماید. طبق طراحی در نظر گرفته شده برای FTD این سیستم میتواند قبل از بررسی فایل برای تشخیص بدافزار بودن آن، براساس فرمت فایل از ورود آن به شبکه جلوگیری نماید.
شناسایی نوع فایل (File type detection)
سیستم FTD از یکسری متا دیتا به نام Magic Number برای شناسایی فرمت فایلها استفاده میکند. Magic Number دنبالهای از اعداد منحصر به فرد میباشد که به صورت Encode شده داخل فایل قرار دارد. سیستم FTD قادر است با تطبیق Magic number با استریم بستههای عبوری فرمت فایل را شناسایی نماید. برای مثال مقدار Magic Number برای فایلهای اجرایی مایکروسافت 4D 5A میباشد. برای شناسایی فایلهای اجرای Snort از قانون زیر استفاده میکند.
file type:MSEXE:id:21;Category:Executable;Dynamic Analysis capable;Local malware Analysis capable;msg:”window/DOS executable file”; Content: |4D 5A|; offset0
تکنولوژیهای آنالیز بدافزار (Malware Analysis)
شرکت سیسکو در جهت ایجاد قدرت در امنیت شبکه با استفاده از اطلاعات تهدیدات، راهکار AMP خود را با سیستم FTD ادغام کرده است. AMP باعث شده تا FTD بتواند فایلها را در زمان عبور از شبکه شناسایی و ویروس یا بدافزار بودن آنها را آنالیز نماید.
FTD برای تسریع در آنالیز فایلها و همچنین برا صرفهجویی در مصرف منابع میتواند از روشهای آنالیز بدافزار به صورت Local و Dynamic استفاده کند. برای آنالیز یک فایل FTD ابتدا Hash فایل را محاسبه میکند و برای تصمیمگیری در مورد وضعیت آن، FMC ابتدا بین وضعیتهای کش شده جستجو میکند و در صورت عدم موفقیت آن را به AMP Cloud ارسال میکند.
سیستم FTD بسته به نوع Action انتخابی میتواند از روشهای آنالیز پیشرفته و به ترتیب زیر استفاده نماید.
آنالیز Spero: موتور آنالیز Spero فقط فایلهای MSEXE را آنالیز و Signatureهای بدست آمده را بر روی Cloud ارسال میکند.
آنالیز Local: سیستم FTD در این روش از دو مجموعه رولهای Hight-fidelity و Precalssification برای آنالیز فایلها استفاده میکند. در واقع FMC رولهای Hight-fideliy را از شبکه Talos دانلود و بر روی FTD قرار میدهد. و FTD در زمان آنالیزفایلها، الگوهای دریافتی از Talos را با الگوهای بدست آمده از فایل مطابقت داده و فایلها را براساس بدافزارهای شناخته شده آنالیز مینماید. علاوهبراین FTD از فیلترهای Preclassification برای صرفه جویی در استفاده از منابع استفاده میکند.
آنالیز Dynamic: سیستم FTD با استفاده از آنالیز Dynamic فایلهای ذخیره شده را برای آنالیز به سمت Threat Grid Sndboox ارسال میکند. فضای Sndbox میتواند بر روی Cloud قرار گرفته یا به صورت محلی راه اندازی شده باشد. در این روش علاوهبر آنالیز فایل توسط Snadbox، این سیستم عددی را تحت عنوان Threat score به آن اختصاص میدهد.
این نوع File Policy به شما اجازه میدهد که با استفاده از Threat Scoreها آستانهای برای این امتیازات در نظر بگیرید تا FTD بتواند تشخیص دهد که چه زمانی با یک فایل مورد آنالیز به عنوان یک بدافزار رفتار کند.
دیدگاهتان را بنویسید