معرفی ماژول سیسکو AMP
هر روزه شاهد خبرهایی از حملات به سازمانهای حیاتی هستیم. در حال حاضر هکرها با بهرهمندی از بدافزارهای پیشرفته، حملات هدفمند و چندوجهی انجام میدهند که بهترین ابزارهای امنیتی نیز قادر به شناسایی آنها نمیباشد. در واقع این ابزارهای امنیتی فقط در زمان ورود ترافیک، آن را بازررسی و تهدیدات شناخته شده و ناشناخته را مسدود میکنند. از طرفی این ابزارها معمولا به فایلها با وضعیت خوب (good) یا ناشناخته (unknown) اجازه ورود به شبکه را میدهند. متاسفانه اینجاست که کار تحلیل به درستی انجام نمیشود و ممکن است بدافزاری با استفاده از تکنیکهایی مانند چندریختی یا پولیمورفیسم، فایروال را دور زده و وارد شبکه شود. بنابراین با توجه به اینکه، این ابزارها دید کمی نسبت به فعالیتهای موجود در نقاط پایانی ارایه میهند، این موضوع میتواند باعث عدم تشخیص سریع بدافزار و آسیبهای جدی شود.
Advanced Malware Protection (AMP)
Advanced Malware Protection (AMP) یک راهکار امنیتی است که به چرخه کامل حیات بدافزار پیشرفته میپردازد. این راهکار نه تنها از تهدیدات شناخته شده جلوگیری میکند بلکه به شما امکان دید (visibility) کامل و کنترل رفتار فایلها درشبکه را نیز میدهد. با استفاده از این راهکار شما میتوانید بدافزارهایی که سیستم دفاعی اولیه را دور زدهاند، بدون تاثیر بر روی توان عملیاتی، به سرعت تشخیص و مهار کنید.
سیسکو AMP در سه مرحله از سازمان شما در برابر زنجیره حملات محافظت میکند.
قبل از حمله (Before Attack)
AMP در مرحله اول از اطلاعات (Threat Intelligence) ارائه شده توسط تیم Talos و تیم AMP Threat Grid، برای تقویت سیستم دفاعی و محافظت در برابر تهدیدات شناخته شده و نو ظهور استفاده میکند.
زمان حمله (During Attack)
در حین حمله سیسکو AMP از اطلاعات مربوط به Threat Intelligence همراه با signatureهای مربوط به انواع فایل و همچنین فناوری تجزیه و تحلیل پویای بدافزار توسط Cisco Threat Grid خود برای شناسایی و مسدود کردن انواع فایلهای مخرب که سیاست های امنیتی را نقض کرده و در تلاشند به شبکه نفوذ کنند، استفاده میکند.
پس از حمله (After Attack)
پس از بازرسی اولیه فایل توسط AMP، این راهکار فراتر از قابلیت تشخیص فایل مخرب در زمان حمله عمل کرده و صرف نظر از وضعیت تشخیص داده شده برای فایل در لحظه ورود، به طور مداوم تمامی اقدامات و ترافیکهای مربوط به آن را مانیتور و آنالیز میکند. AMP در واقع به طور مداوم به جستجوی نشانههایی (IoCs) از رفتار مخرب در شبکه میباشد. اگر فایلی که در وضعیت ناشناخته (unknown) یا خوب (good) قرار دارد، شروع به نشان دادن رفتارهای مخرب از خود کند، AMP آن را تشخیص داده و بلافاصله با یکی از نشانههای خطر (Indication of Compromise) به تیم امنیتی هشدار میدهد.
AMP در ادامه با ارایه قابلیت دید (visibility) گسترده از این رویداد، امکان بررسیِ منشا و دامنه تاثیر آن بر سایر سیستمها را فراهم میکند. در این راهکار واکنش سریع به نفوذ و اصلاح آن تنها با چند کلیک امکان پذیر میباشد. این راهکار در اصل یک دید گسترده، همراه با کنترل عمیق بر روی رویدادهای مربوط به نقاط پایانی، برای تیم امنیت به وجود میآورد که برای تشخیص سریع حملات و دامنه تاثیر آنها و مسدود کردن بدافزارها قبل از آسیب جددی به شبکه به آن نیاز دارند.
اطلاعات تهدیدات جهانی (Threat Intelligence) و آنالیز پویای بدافزارها (Dynamic Malware Analysis)
سیسکو AMP بر پایه هوشمندی استثنایی و تجزیه و تحلیلهای پویای بدافزار ساخته شده است. تیم Talos و Threat Grid مجموعه real-time از اطلاعات و تحلیلهای Big data مربوط به تهدیدات امنیتی را ارایه میدهند. این دادهها از طریق یک محیط ابری در اختیار سرویس AMP قرار میگیرد. با دریافت این اطلاعات، سیسکو AMP از آخرین اطلاعات و تحلیلها در رابطه با تهدیدات جهت محافظت فعالانه برخوردار میشود. با داشتن این راهکار شما از موارد زیر بهرهمند میشود.
- روزانه 1.5 میلیون نمونه بدافزار ورودی
- 1.6 میلیون حسگر جهانی
- 100 ترابایت داده در روز
- 13 میلیارد درخواست وب
- یک تیم جهانی از مهندسان، تکنسینها و محققان
- مرکز عملیات 24 ساعته
Cisco AMP برای شناسایی سریع بدافزارها، فایلهای مخرب و رفتارهای مشکوک، دادههای جمع آوری شده و پایگاه دادهای غنی و قویی را با یکدیگر مرتبط میکند. تیمهای امنیتی با استفاده از این راهکار، از تجزیه و تحلیلهای خودکار AMP برای صرفهجویی در زمان مورد نیاز برای جستجو اقدامات نقص و نفوذ در شبکه و از آخرین اطلاعات مربوط به تهدیدات برای شناسایی، اولویتبندی و جلوگیری سریع حملات پیچیده بهرهمند میشوند.
ویژگیهای ارایه شده از طریق ادغام تکنولوژی Threat Grid با AMP
- ارائه فیدهای اطلاعاتی بسیار دقیق و غنی در قالب استاندارد، برای سهولت در ادغام آن با تکنولوژیهای امنیتی موجود.
- تجزیه و تحلیل میلیونها نمونه در هر ماه، در برابر بیش از 700 شاخص رفتاری، و در نتیجه میلیاردها یافته جدید.
- تخصیص امتیاز قابل درک برای تهدیدات جهت کمک به تیم امنیتی در اولویت بندی تهدیدات.
AMP از تمامی این اطلاعات و تجزیه و تحلیلها برای کمک به تصمیم گیری آگاهانه شما یا واکنش خودکار در برابر تهددات و حملات امنیتی استفاده میکند. به عنوان مثال، سیسکو AMP میتواند از طریق اطلاعات بروز، بدافزارهای شناخته شده و انواع فایلهای ناقض سیاستهای امنیتی را مسدود کند. علاوه براین میتواند به صورت کاملا اتوماتیک اتصالات مخرب را مسدود کرده و از دانلود فایلها از وب سایتها و دامنههایی را که به عنوان مخرب دستهبندی شدهاند، جلوگیری کند.
تحلیل مستمر و امنیت گذشتهنگر
بیشتر سیستمهای Antimalware مبتنی بر شبکه و نقاط پایانی، فایلها را فقط در زمان ورود به شبکه بازرسی میکنند، در این نقطه است که کار تجزیه و تحلیل متوقف میشود. اما این بدافزارها پیچیده هستند که در فرار از شناسایی در این نقاط بسیار ماهر هستند. استفاده از تکنیکهایی مانند sleep، چند شکلی یا پلیمورفیسم، رمزگذاری و استفاده از پروتکلهای ناشناخته، تنها برخی از راههایی است که یک بدافزار میتواند برای پنهان شدن از ابزارهای امنیتی استفاده کند. بنابراین شما نمیتوانید در برابر چیزی که نمیبینید دفاعی انجام دهید. تیمهای امنیتی بدلیل عدم وجود راهکار امنتی مناسب، قادر به شناسایی تهدیدات در هنگام ورود به شبکه نمیباشند. بنابراین بدلیل عدم وجود دید گسترده بر روی تهدیدات، امکان تشخیص سریع یا مهار آن وجود ندارد. به همین دلیل بدافزارها در مدت زمانی کوتاهی میتوانند به اهداف خود برسند و خسارت جبران ناپذیری به سیستم وار نماییند.
نحوه عملکرد سیسکو AMP
سیسکو AMP کاملا متفاوت از راهکارهای تشخیص نقطهای عمل میکند. این راهکار با درک اینکه روشهای کنترل point-in-time، تشخیص پیشگیرانه و مسدود کردن ترافیک، صد درصد موثر نیست، بنابراین بعد از بازرسی اولیه در نقطه ورودی به طور مداوم فایلها و ترافیک را تجزیه و تحلیل میکند. AMP قادر است کلیه فعالیتهای فایلها و ارتباطات را در نقاط پایانی، دستگاههای تلفن همراه و شبکه کنترل، تجزیه و تحلیل و ضبط کند تا به سرعت تهدیدات پنهان را از طریق رفتار مشکوک یا مخربی که از خود نشان میدهند، شناسایی کند. با شناسایی اولین نشانه (IoC)، AMP به تیمهای امنیتی هشدار داده و اطلاعات دقیق در مورد رفتار مربوط به تهدید شناسایی شده را ارائه میدهد. با استفاده از این اطلاعات میتوان به سوالات امنیتی مهم زیر پاسخ داد.
- منشا بدافزار کجاست؟
- به چه روشی و از چه نقطهای به شبکه وارد شده؟
- چه سیستمهایی تحت تاثیر این بدافزار قرار گرفتهاند؟
- این تهدید تا پیش از شناسایی شدن چه کاری انجام داده است و حالا چه کار میکند؟
- چگونه میتوانیم تهدید را متوقف کنیم و علت اصلی آن را از بین ببریم؟
با استفاده از اطلاعات ارائه شده توسط سیسکو AMP، تیمهای امنیتی میتوانند به سرعت آنچه که اتفاق افتاده است را درک کنند و از قابلیت مهار و اصلاح AMP برای اقدامات دفاعی استفاده نمایند. با چند کلیک از کنسول مدیریت مبتنی بر مرورگر AMP، تیمهای امنیتی به راحتی میتوانند اجرای فایل را بر روی هر نقطه پایانی متوقف نمایند. AMP میتواند در هر جایی که فایل وجود دارد، آن را از حافظه خارج کرده و برای همه کاربران قرنطینه نماید. به این ترتیب در صورت انتشار بدافزار بر روی سیستمهای مختلف، تیم امنیت دیگر نیازی به reimage کردن کامل سیستمها برای حذف بدافزار ندارد. به همین دلیل فعالیتهای مهم کسب و کار دیگر برای مدت زمان زیادی مختل نمیشود.
توان تجزیه و تحلیل مداوم، تشخیص مستمر و امنیت گذشتهنگر
توانایی ثبت فعالیت هر فایل در سیستم، کمک میکند تا AMP اگر فایلی از وضعیت “good” به وضعیت “bad” برود، آن را شناسایی و تاریخچه ثبت شده برای فایل را بازیابی و ریشه ی تهدید و رفتار آن را نشان دهد. بعد از شنایی ریشه تهدید، AMP برای مسدود کردن تهدید، قابلیت پاسخ و اصلاح سریع را در اختیار شما قرار میدهد. AMP همچنین در هنگام شناسایی همه اطلاعات، از signature تهدید گرفته تا رفتار فایل را مرور میکند و داده ها بدست آمده را در پایگاه داده Threat Intelligence خود ثبت میکند تا از این طریق سیستمهای دفاعی اولیه را تقویت نماید. در نتیجه این فایل و فایلهای مشابه آن قادر به دور زدنِ دوباره سیستم شناسایی اولیه نخواهند بود.
بنابراین تیم امنیت با بهرهمندی از سیسکو AMP از سطح بسیار بالایی از شفافت و کنترل را که برای شناسایی سریع و موثر حملات و بدافزارهای پنهان مورد نیاز است، برخودرا میشود; ابزاری برای درک ریسکها و وسعت آنها، پیشگیری سریع و اصلاحِ بدافزارها پیش از آسیب شدید و پیشگیری از وقوعِ حملات مشابه در آینده.
ویژگیهای سیسکو AMP
قابلیتهای تحلیل مستمر و امنیت گذشته نگر در راهکار سیسکو AMP، از طریق ویژگیهای مهم زیر امکان پذیر می شود.
استفاده از اطلاعات جامع و جهانی تهدیدات
فیدهای اطلاعاتی ارایه شده توسط تیم Talos و همچنین Threat Grid، مجموعه بزرگی از اطلاعات بروز و بلادرنگ در مورد تهدیدات با یک دید گسترده از تهدیدات است که امکان استفاده از این اطلاعات در پلتفرم امنیتی مختلف وجود دارد.
شاخصهای تشخیص خطر (Indications of Compromise)
فایل و دادههای سنجشی جمع آوری شده و به عنوان رخنههای بالقوه با یکدیگر مرتبط و اولویتبندی میشوند. سیسکو AMP رویدادهای امنیتی مربوط به چندین منبع امنیتی (مانند رویداهای مربوط به نفوذ و بدافزارها) را به یکدیگر ادغام میکند تا به تیم امنیت در مرتبط ساختنِ این رویدادها به حملات بزرگ و سازمان دهی شده و همچنین اولویت بندی رویدادها با ریسک بالا کمک کند.
اعتبار فایل
تجزیه و تحلیلهای پیشرفته و اطلاعات تجمعی جهت تعیین سالم یا مخرب بودن یک فایل جمع آوری شده، و از این طریق امکان شناسایی دقیقتر فراهم میشود.
Antivirus Engine
موتور آنتیویروس وظایفی مانند تشخیص آفلاین و مبتنی بر سیستم، از جمله اسکن rootkit را انجام میدهد تا از این طریق، قابلیتهای محافظت پیشرفته نقاط پایانی،مانند بررسی شاخصهای محلی خطرات (IoCs) و مانیتورینگ جریان شبکه و دستگاهها را تکمیل نماید. این قابلیت میتواند توسط مشتریانی فعال و استفاده شود که قصد دارند آنتی ویروس و محافظت پیشرفته از نقاط پایانی خود را در یک agent ادغام کنند.
آنالیز داینمایک و استاتیک بدافزار
سیسکو AMP با ارائه یک محیط sandboxing با ایمنی بالا، به شما در اجرا، تحلیل و آزمایشِ بدافزارها کمک میکند تا تهدیدات ناشناخته (zero-day) را نیز شناسایی نمایید. ادغام ویژگی sandboxing ارائه شده توسط Threat Grid و تکنولوژی تحلیل پویا و ایستای بدافزار، درون AMP منجر به تحلیل های جامعتری میشود که از مقایسه مجموعه بزرگتری از شاخصهای رفتاری جمع آوری شده به دست میآیند.
تشخیصهای گذشتهنگر (Retrospective detection)
پس از تحلیلهای مستمر، هنگامی که وضعیت فایلی تغییر میکند، سیسکو AMP هشدارهایی را ارسال میکند. این هشدارها آگاهی و دید مناسبی را از وضعیت بدافزارهایی فراهم میکند که از سیستمهای دفاعی اولیه عبور کردهاند.
رسد فایل (File trajectory)
سیسکو AMP به طور پیوسته در طول زمان، انتشار فایل در محیط شما جهت رسیدن به یک دید گسترده و شفاف و کاهش زمان لازم برای تعیین مقیاس گسترش یک بدافزار رسد و پیگیری میکند.
رسد دستگاه (Device trajectory)
سیسکو AMP با رسد پیوسته فعالیتها و ارتباطات در دستگاهها و در سطح سیستم، به درک سریعتر دلایل اصلی و تاریخچه رویدادهایی که منتهی به یک خطر میشوند، کمک میکند.
جستجوی ساده (Elastic search)
جستجوی ساده و بدون محدودیت در میان فایلها و اطلاعات و شاخصهای امنیتی جمع آور شده مرتبط با آنها کمک میکنند تا به سرعت زمینه و دامنه قرارگیری در معرض برنامههای مخرب یا شاخصهای خطرناک را درک کنید.
فایلهای رایج (Prevalence)
سیسکو AMPهمه فایلهای اجرایی در سازمان شما را طبق ترتبب رایج بودن آنها از کمتری به بیشتر نمایش می دهد تا به شما در آشکارسازی تهدیدهای ناشناخته ای کمک کند که توسط بخشی از کاربران مشاهده شدهاند. فایلهایی که توسط تعداد کمی از کاربران اجرا میشوند ممکن است بدافزار باشد.
شاخصهای محلی (Endpoint IoC)
کاربران می توانند IoC های خود را برای شناسایی حملات هدفمند ارسال کنند. IoC های نقاط پایان به تیمهای امنیتی اجازه میدهد تا تحقیقات عمیقتری را درباره تهدیدات پیشرفته و کمتر شناخته شده در خصوص برنامههای کاربردی در محیط کاری خود انجام دهند.
آسیبپذیریها (Vulnerabilities)
AMP با استفاده از این قابلیت لیستی از برنامههای آسیب پذیر موجود در سیستم را نشان میدهد. همچنین این ماژول هاستهایی که شامل نرم افزارهای آسیبپذیر میشوند و بیشتر در معرض خطر قرار دارند را نمایش میدهد. سیسکو AMP در اصل با اتکا بر تحلیلها و اطلاعات امنیتی، نرم افزارهای آسیبپذیر را که بیشتر هدف حملات بدافزارها هستند را لیست میکند.
Outbreak control
کنترل فایلهای مشکوک و یا کنترل شیوع یک بدافزار و اصلاح آلودگی بدون نیاز به انتظار برای بروزرسانی محتوا.
ویژگی کنترل شیوع
- تشخیصهای سفارشی ساده میتوانند به سرعت یک فایل خاص را در تمام سیستمها یا سیستمهای منتخب مسدود کند.
- Signiture های پیشرفته میتوانند خانوادههای بدافزارهای چند شکلی (پلی مورفیسم) را مسدود کند.
- لیست نرم افزارهای مسدود شده میتواند منجر به اعمال سیاستها امنیتی بر روی نرم افزارها شود یا نرم افزارهای در معرض خطر که به عنوان دروازه ورود بدافزارها استفاده میشوند را محدود و نفوذ مجدد در آنها را متوقف نماید.
گزینههای گوناگون برای استقرار سیسکو AMP
سیسکو AMP برای Endpoint
سیسکو AMP از کامپیوترهای شخصی که سیستم عاملهای ویندوز، لینوکس و مک بر روی آنها اجرا میشود، پشتیبانی میکند. همچنین برای دستگاههای موبایل اندروید میتوانیم از کانکتور کم حجم AMP بر روی Anyconnect v4.1 استفاده کنیم.
سیسکو AMP برای شبکه
برای استقرار AMP به عنوان یک راه حل مبتنی بر شبکه بایستی از دستگاههای امنیتیی مانند Cisco Firepower NGIPS که با این راهکار یکپارچه شدهاند، استفاده کنیم.
استفاده از سیسکو AMP بر روی فایروال ASA دارای سرویس FirePOWER
از قابلیتهای AMP در فایروال Cisco NGFW یا ASA Adaptive Security Appliance نیز میتوانیم استفاده کنیم.
استفاده از ماشین مجازی سیسکو AMP در یک ابر خصوصی
استقرار AMP به عنوان یک راهکار air-gapped برای سازمانهایی با محرمانگی بالا که به دلیل مسائل امنیتی نباید به یک محیط ابر عمومی متصل شوند.
استفاده از سیسکوAMP بر روی ESA یا WSA
قابلیتهای AMP بر روی (Cisco Email Security Appliance (ESA یا (Web Security Appliance (WSA نیز قابل استفاده میباشند.
استفاده از سیسکو AMP همراه Meraki MX
استقرار AMP به عنوان بخشی از راهکار Meraki MX به منظور مدیریت هرچه سادهتر امنیت بر پایه ابر.
نتیجهگیری
به واقع سیسکو AMP در حال حاضر در همه جا حضور دارد. قابلیت دید جامع (visibility) و کنترل بردارها مختلف حملات، از لبه شبکه گرفته تا نقاط پایانی، دقیقا همان چیزی است که به آن برای شناسایی سریع و پایان دادن به بدافزارهای پنهان نیاز داریم. همچنین برای واکنش سریع به حملات، نیازمند قابلیت اشتراک گذاری این اطلاعات در کل زیرساختهای امنیت خودمیباشیم. توجه به اتصال، ارتباط و یکپارچگی میانِ تمامیِ این راهکارها مهم است. این محصولات نباید به صورت مجزا در نظر گرفته شوند. هنگامی که این راهکارها با یکدیگر در شبکه به صورت یکپارچه استفاده شوند، باعث ایجاد سیستم دفاعی یکپارچهای میشوند که به طور سیستماتیک و سریع به تهدیدات واکنش نشان میدهد.
اکوسیستم ایجاد شده با استفاده از راهکارهای AMP به طور خودکار اطلاعات تهدیدات، نشانههای مصالحه (IoCs)، اطلاعات رویداد و اطلاعات قرنطینه را در سراسر راهکار یکپارچه به اشتراک می گذارد. بنابراین با “eyes everywhere” راهکار AMP، سازمانها میتوانند زمان شناسایی و زمان اصلاح بدافزار را به شدت کاهش دهند.
دیدگاهتان را بنویسید