معرفی راهکار Stealthwatch شرکت سیسکو
Cisco Stealthwatch
Cisco Stealthwatch یکی از محصولات امنیتی شرکت سیسکو میباشد که وظیفه اصلی آن ایجاد و ارایه دید جامع و شفاف از کلیه زیرساختهای شبکه سازمان از جمله شبکه داخلی، سرویسها و زیرساختهای ابری میباشد. این محصول در اصل با ارائه تحلیلهای امنیتی پیشرفته، به سازمان کمک میکند تا به سرعت تهدیدات را شناسایی و عکسالعمل مناسب و بلادرنگی در برابر آنها داشته باشد.
Cisco Stealthwatch با استفاده از ترکیبی از عوامل و تکنیکهای مختلف، ازجمله مدلسازی رفتاری، یادگیری ماشین و استفاده از اطلاعات حملات، میتواند تهدیدات و حملاتی از نوع Command-and-control، انواع Ransomwareها، حملات DDoS، انواع نرمافزارهای ماینینگ، Malwareهای ناشناخته و حملات داخلی را به سرعت و با ضریب اطمینان بالا شناسایی کند. استفاده از Stealthwatch به این معنی است که میتوان با یک راهکار Agentless، مانیتورینگ کاملی بر روی ترافیک کل شبکه حتی در صورت رمز بودن آنها داشت.
مشکل اصلی سازمانها در حوزه امنیت
سازمانها با وجود اینکه سرمایهگذاریهای کلانی در زیرساخت IT و امنیت خود میکنند، اما با پیشرفتهایی که در حوزه حملات و تهدیدات امنیتی اتفاق میافتد، همیشه این تهدیدات امنیتی هستند که همواره راهی برای نفوذ به شبکه سازمانها پیدا میکنند. همچین مسئله مهم دیگر مسئله زمان لازم برای تشخیص حملات میباشد. تجربه نشان داده است، یک تهدید ممکن است بدون شناسایی شدن ماهها یا حتی سالها در یک شبکه ناشناس باقی بماند.
بررسی دقیق مسائل موجود در حوزه امنیت این را نشان میدهد که مهمترین عامل افزایش پیچیدگی در شبکهها و گسترش تهدیدات پیشرفته، فقدان شفافیت است. البته در مورد فقدان شفافیت این موضوع را نیز باید در نظر داشته باشیم که تیمهای امنیتی با منابع محدود و ابزارهای جزیرهای که در اختیار دارند، بیش از این کاری از دستشان برنمیآید.
علاوه بر این کارشناسان امنیت هیچ ابزاری ندارند که متوجه شوند راهکارهای امنیتی مورد استفاده توسط آنها از جمله فایروال، سرویسهای احراز هویت و سایر راهکارهای امنیتی به درستی تنظیم، مدیریت و عمل میکنند یا نه؟
شفافیت
اگر قصد دارید مشکل شفافیت در شبکه خود را به طور ریشهای حل کنید_نیاز است ابتدا از سرمایهگذاری فعلی انجام شده در زیرساخت شبکه و امنیت سازمان خود نهایت استفاده کرده و همه اطلاعات را ثبت و نگهداری کنید. زیرا دادههای مربوط به سنجش و ارزیابی شبکه منبع ارزشمندی است که میتواند دید مناسبی از نقاط در حال اتصال به شبکه سازمان و منابعی که این نقاط به دنبال دسترسی به آنها هستند در اختیار شما قرار دهند.
شبکه سازمان به طور کلی شامل همه تجهیزات و افرادی است که با آن در ارتباطند. بنابراین دید شفاف میتواند به صورت فراگیری شامل دادههای تمامی شعبات، مراکز داده، کاربران راه دور، دستگاههای هوشمند و زیرساختها و سرویسهای ابری عمومی و خصوصی باشد. به همین دلیل بررسی و آنالیز این دادهها میتواند به تشخیص هرچه سریعتر تهدیدات و کاهش اثرات آنها کمک کند.
با بررسی قابلیتهای محصولات مختلف موجود در بازار برای آنالیز اطلاعات جمع آوری شده از شبکه میتوان به این نتیجه رسید که در حال حاضر بهترین راهکار برای ایجاد شفافیت در شبکه و غلبه بر مشکلات امنیتی، محصولاتی مانند Stealthwatch میباشند.
محصولات موجود در این رده به ما این امکان را میدهند تا دید جامع و شفافی نسبت به کل ترافیک شبکه خود داشته باشیم. در واقع این دید شفاف شامل شناخت کلیه نقاط متصل به شبکه با مفهوم چه کسی یا چه دستگاهی به چه اطلاعاتی از چه نقطهای از شبکه دسترسی دارد، میشود. بعد از داشتن این اطلاعات آنچه نیاز است، تشخیص رفتار نرمال کاربر یا نقطه پایانی (میزبان) است. سیستمهای موجود در این رده امنیتی می توانند با ایجاد پایه و اساسی برای رفتارهای نرمال کاربران و نقاط پایانی، ما را از تفییر در رفتار آنها مطلع کنند.
[aparat id='mUIce']
موارد استفاده از سیسکو Stealthwatch
گزارشات نشان میدهد شفافیت و اطلاعات به دست آمده از آنالیز ترافیک شبکه توسط سیسکو Stealthwatch موراد زیر را به طور چشمگیری بهبود داده است.
- تشخیص بلادرنگ تهدیدات و حملات
- پاسخ مناسب به حوادث و کارهای فارنزیک
- بخشبندی شبکه
- توانایی برآورده کردن نیازمندیهای نظارتی
- افزایش کارایی شبکه و داشتن اطلاعات کافی در مورد ظرفیت منابع شبکه جهت برنامهریزیها آتی
مزایای اصلی راهکار Stealwatch
- دیگر هیچ نقطه کوری در شبکه وجود ندارد: سیسکو Stealthwatch تنها راهکار آنالیز امنیتی است که میتواند دید کاملی در شبکههای خصوصی و همچنین ابر عمومی و بدون نیاز به نصب سنسور ارایه دهد.
- تمرکز بر روی حادثه: با استفاده از قدرت مدلسازی رفتاری، یادگیری ماشین چندلایهای، اطلاعت مربوط به تهدیدات، Stealthwatch قادر است میزان تشخیصهای غلط را کاهش و در مواقعی که تهدیدات خطرناکی سازمان شما را تهدید میکند، هشدارهای لازم را ایجاد کند.
- تشخیص تهدیدات در حین فعالیت: Stealthwatch به طور مداوم شبکه را برای تشخیص تهدیدات پیشرفته و به صورت بلادرنگ مانیتور میکند.هکرها معمولا فعالیت خود را با اقداماتی مانند اسکن پورتها، پینگهای دائمی و غیره شروع میکنند. Stealthwatch میتواند این علایم را به سرعت تشخیص و قبل از اینکه تاثیر عمیقی داشته باشند از آنها جلوگیری کند. زمانی که حمله شناسایی شد، شما میتوانید با تحقیقات فارنزیکی منبع حمله را شناسایی و جاهایی که این حمله ممکن است گسترش یافته باشد را شناسایی کنید.
- نهایت استفاده از سرمایهگذاری انجام شده: با یک راهکار Agentless شما میتوانید از اطلاعات غنی ایجاد شده از شبکهتان، برای بهبود امنیت سازمان خود استفاده کنید.
- مقیاس پذیری امنیت با رشد کسبوکار: در حال حاضر دیگر نیازی به تغییر در ساختار امنیتی سازمان با تغییر در کسبوکار نمیباشد. چه شما بخواهید شبعه یا دیتا سنتر جدیدی راهاندازی کنید یا اینکه فضای کاریتان را به روی ابر انتقال دهید یا تجهیزات جدیدی به شبکهتان اضافه کنید. سیسکو Stealthwatch میتواند به راحتی برای پوشش ناحیه جدید توسعه داده شود. راهکار سیسکو Stealthwatch میتواند به صورت اختصاصی و در دیتاسنتر سازمان راه اندازی شود یا به صورت یک راهکار SaaS و بروی ابر خریداری و استفاده شود. در صورت استفاده از سرویس ابری، راهکار ارایه شده دارای قابلیت طبقه بندی خودکار نقشها برای طبقه بندی خودکار دستگاه های جدید اضافه شده به شبکه خواهد بود.
آنالیز ترافیک رمز شده
روشهای سنتی بازرسی ترافیک رمزشده، آنالیز و رمزکردن مجدد این ترافیک به دلیل مسائلی مانند کارایی و منابع پردازشی موجود مثل همیشه عملی نمیباشد. از طرفی دیگر این کار حریم خصوصی و یکپارچگی دادهها را نیز به خطر میاندازد.
سیسکو با حضور تخصصی در بازار محصولات زیرساخت شبکهای و انجام تحقیقات گسترده و به کارگیری فناوریهای نوآورانه و انقلابی، روشی نو جهت آنالیز ترافیک رمزشده (ETA) ارایه کرده است.
این تلهمتری پیشرفته ETA توسط نسل جدید روترها، سوئیچها و کنترلرهای وایرلس و همچنین سنسور Flow محصول Stealthwatch تولید میشود. Stealthwatch از تلهمتری ETA جهت شناسایی تهدیدات در ترافیکهای رمز شده و اطمینان از انطباق رمزنگاری استفاده میکند.
هسته اصلی Stealthwatch
- Flow Rate license
- Flow Controller
- Stealthwatch Management Console
- Flow Sensore
- UDP Direcore
موارد زیر لایسنسهای اختیاریی هستند که ویژگیهای عملکردی دیگری را به سیستم اضافه میکنند.
- Cisco Stealthwatch Endpoint Lincense: به صورت لایسنس افزودنی برای افزایش دید بر روی تجهیزات کاربر نهایی ارایه شده است (نیاز به خرید AnyConnect Network Visibility میباشد).
- Cisco Stealthwatch Cloud: به صورت یک محصول SaaS و در زیرساختهای ابری مانند Amazon web service، سرویس Microsoft Azure و زیرساخت ابری Google جهت شناسایی تهدیدات و ایجاد دید کامل از شبکه ارایه شده است.
- Cisco Stealthwatch Treat Intelligence License: فید جهانی اطلاعات تهدیدات که توسط گروه اطلاعات تهدیدات و پیشرو این صنعت، Cisco Talos ارایه شده، لایه جدیدی از امنیت را در مقابل Botnetها و سایر حملات پیچیده ارایه کرده است. این سیستم فعالیتهای مشکوک در محیط شبکه داخلی را با دادههای موجود بر روی هزارن سرور کنترلی برای شناسایی و عکسالعمل سریع مقایسه میکند. Cisco Talos تعداد 1.5 میلیون بدافزار منحصربهفرد را مشاهده و روزانه بیش از 20 میلیون تهدید را مسدود میکند.
مطالب زیر را حتما مطالعه کنید
رمزگشایی ترافیکهای SSL/TLS و SSH شبکه با استفاده از فایروال PaloAlto
معرفی اسپلانک (Splunk)
معرفی ماژول سیسکو AMP
معرفی ماژول ETA سیسکو Stealthwatch
معرفی سیسکو Firepower Threat Defence یا FTD
دیدگاهتان را بنویسید