معرفی ماژول سیسکو AMP

هر روزه شاهد خبرهایی از حملات به سازمان‌های حیاتی هستیم. در حال حاضر هکرها با بهره‌مندی از بدافزارهای پیشرفته، حملات هدفمند و چندوجهی انجام می‌دهند که بهترین ابزارهای امنیتی نیز قادر به شناسایی آنها نمی‌باشد. در واقع این ابزارهای امنیتی فقط در زمان ورود ترافیک، آن را بازررسی و تهدیدات شناخته شده و ناشناخته را مسدود می‌کنند. از طرفی این ابزارها معمولا به فایل‌ها با وضعیت خوب (good) یا ناشناخته (unknown) اجازه ورود به شبکه را می‌دهند. متاسفانه اینجاست که کار تحلیل به درستی انجام نمی‌شود و ممکن است بدافزاری با استفاده از تکنیک‌هایی مانند چندریختی یا پولیمورفیسم، فایروال را دور زده و وارد شبکه شود. بنابراین با توجه به اینکه، این ابزارها دید کمی نسبت به فعالیت‌های موجود در نقاط پایانی ارایه می‌هند، این موضوع می‌تواند باعث عدم تشخیص سریع بدافزار و آسیب‌های جدی شود.

Advanced Malware Protection (AMP)

Advanced Malware Protection (AMP) یک راهکار امنیتی است که به چرخه کامل حیات بدافزار پیشرفته می‌پردازد. این راهکار نه تنها از تهدیدات شناخته شده جلوگیری می‌کند بلکه به شما امکان دید (visibility) کامل و کنترل رفتار فایل‌ها درشبکه را نیز می‌دهد. با استفاده از این راهکار شما می‌توانید بدافزارهایی که سیستم دفاعی اولیه را دور زده‌اند، بدون تاثیر بر روی توان عملیاتی، به سرعت تشخیص و مهار کنید.

سیسکو AMP در سه مرحله از سازمان شما در برابر زنجیره حملات محافظت می‌کند.

قبل از حمله (Before Attack)

AMP در مرحله اول از اطلاعات (Threat Intelligence) ارائه شده توسط تیم Talos و تیم AMP Threat Grid، برای تقویت سیستم دفاعی و محافظت در برابر تهدیدات شناخته شده و نو ظهور استفاده می‌کند.

زمان حمله (During Attack)

در حین حمله سیسکو AMP از اطلاعات مربوط به Threat Intelligence همراه با signatureهای مربوط به انواع فایل و همچنین فناوری تجزیه و تحلیل پویای بدافزار توسط Cisco Threat Grid خود برای شناسایی و مسدود کردن انواع فایل‌های مخرب که سیاست های امنیتی را نقض کرده و در تلاشند به شبکه نفوذ کنند، استفاده می‌کند.

پس از حمله (After Attack)

پس از بازرسی اولیه فایل توسط AMP، این راهکار فراتر از قابلیت تشخیص فایل مخرب در زمان حمله عمل کرده و صرف نظر از وضعیت تشخیص داده شده برای فایل در لحظه ورود، به طور مداوم تمامی اقدامات و ترافیک‌های مربوط به آن را مانیتور و آنالیز می‌کند. AMP در واقع به طور مداوم به جستجوی نشانه‌هایی (IoCs) از رفتار مخرب در شبکه می‌باشد. اگر فایلی که در وضعیت ناشناخته (unknown) یا خوب (good) قرار دارد، شروع به نشان دادن رفتارهای مخرب از خود کند، AMP آن را تشخیص داده و بلافاصله با یکی از نشانه‌های خطر (Indication of Compromise) به تیم امنیتی هشدار می‌دهد.

AMP در ادامه با ارایه قابلیت دید (visibility) گسترده از این رویداد، امکان بررسیِ منشا و دامنه تاثیر آن بر سایر سیستم‌ها را فراهم می‌کند. در این راهکار واکنش سریع به نفوذ و اصلاح آن تنها با چند کلیک امکان پذیر می‌باشد. این راهکار در اصل یک دید گسترده، همراه با کنترل عمیق بر روی رویدادهای مربوط به نقاط پایانی، برای تیم امنیت به وجود می‌آورد که برای تشخیص سریع حملات و دامنه تاثیر آنها و مسدود کردن بدافزارها قبل از آسیب جددی به شبکه به آن نیاز دارند.

اطلاعات تهدیدات جهانی (Threat Intelligence) و آنالیز پویای بدافزارها (Dyna‌mic Malware Analysis)

سیسکو AMP بر پایه هوشمندی استثنایی و تجزیه و تحلیل‌های پویای بدافزار ساخته شده است. تیم Talos و Threat Grid مجموعه real-time از اطلاعات و تحلیل‌های Big data مربوط به تهدیدات امنیتی را ارایه می‌دهند. این داده‌ها از طریق یک محیط ابری در اختیار سرویس AMP قرار می‌گیرد. با دریافت این اطلاعات، سیسکو AMP از آخرین اطلاعات و تحلیل‌ها در رابطه با تهدیدات جهت محافظت فعالانه برخوردار می‌شود. با داشتن این راهکار شما از موارد زیر بهره‌مند می‌شود.

• روزانه 1.5 میلیون نمونه بدافزار ورودی
• 1.6 میلیون حسگر جهانی
• 100 ترابایت داده در روز
• 13 میلیارد درخواست وب
• یک تیم جهانی از مهندسان، تکنسین‌ها و محققان
• مرکز عملیات 24 ساعته

Cisco AMP برای شناسایی سریع بدافزارها، فایل‌های مخرب و رفتارهای مشکوک، داده‌های جمع آوری شده و پایگاه داده‌ای غنی و قویی را با یکدیگر مرتبط می‌کند. تیم‌های امنیتی با استفاده از این راهکار، از تجزیه و تحلیل‌های خودکار AMP برای صرفه‌جویی در زمان مورد نیاز برای جستجو اقدامات نقص و نفوذ در شبکه و از آخرین اطلاعات مربوط به تهدیدات برای شناسایی، اولویت‌بندی و جلوگیری سریع حملات پیچیده بهره‌مند می‌شوند.

ویژگی‌های ارایه شده از طریق ادغام تکنولوژی Threat Grid با AMP

• ارائه فیدهای اطلاعاتی بسیار دقیق و غنی در قالب استاندارد، برای سهولت در ادغام آن با تکنولوژی‌های امنیتی موجود.
• تجزیه و تحلیل میلیون‌ها نمونه در هر ماه، در برابر بیش از 700 شاخص رفتاری، و در نتیجه میلیاردها یافته جدید.
• تخصیص امتیاز قابل درک برای تهدیدات جهت کمک به تیم امنیتی در اولویت بندی تهدیدات.

AMP از تمامی این اطلاعات و تجزیه و تحلیل‌ها برای کمک به تصمیم گیری آگاهانه شما یا واکنش خودکار در برابر تهددات و حملات امنیتی استفاده می‌کند. به عنوان مثال، سیسکو AMP می‌تواند از طریق اطلاعات بروز، بدافزارهای شناخته شده و انواع فایل‌های ناقض سیاست‌های امنیتی را مسدود کند. علاوه براین می‌تواند به صورت کاملا اتوماتیک اتصالات مخرب را مسدود کرده و از دانلود فایل‌ها از وب سایت‌ها و دامنه‌هایی را که به عنوان مخرب دسته‌بندی شده‌اند، جلوگیری کند.

تحلیل مستمر و امنیت گذشته‌نگر

بیشتر سیستم‌های Antimalware مبتنی بر شبکه و نقاط پایانی، فایل‌ها را فقط در زمان ورود به شبکه بازرسی می‌کنند، در این نقطه است که کار تجزیه و تحلیل متوقف می‌شود. اما این بدافزارها پیچیده هستند که در فرار از شناسایی در این نقاط بسیار ماهر هستند. استفاده از تکنیک‌هایی مانند sleep، چند شکلی یا پلی‌مورفیسم، رمزگذاری و استفاده از پروتکل‌های ناشناخته، تنها برخی از راه‌هایی است که یک بدافزار می‌تواند برای پنهان شدن از ابزارهای امنیتی استفاده کند. بنابراین شما نمی‌توانید در برابر چیزی که نمی‌بینید دفاعی انجام دهید. تیم‌های امنیتی بدلیل عدم وجود راهکار امنتی مناسب، قادر به شناسایی تهدیدات در هنگام ورود به شبکه نمی‌باشند. بنابراین بدلیل عدم وجود دید گسترده بر روی تهدیدات، امکان تشخیص سریع یا مهار آن وجود ندارد. به همین دلیل بدافزارها در مدت زمانی کوتاهی می‌توانند به اهداف خود برسند و خسارت جبران ناپذیری به سیستم وار نماییند.

نحوه عملکرد سیسکو AMP

سیسکو AMP کاملا متفاوت از راهکارهای تشخیص نقطه‌ای عمل می‌کند. این راهکار با درک اینکه روش‌های کنترل point-in-time، تشخیص پیشگیرانه و مسدود کردن ترافیک، صد درصد موثر نیست، بنابراین بعد از بازرسی اولیه در نقطه ورودی به طور مداوم فایل‌ها و ترافیک را تجزیه و تحلیل می‌کند. AMP قادر است کلیه فعالیت‌های فایل‌ها و ارتباطات را در نقاط پایانی، دستگاههای تلفن همراه و شبکه کنترل، تجزیه و تحلیل و ضبط کند تا به سرعت تهدیدات پنهان را از طریق رفتار مشکوک یا مخربی که از خود نشان می‌دهند، شناسایی کند. با شناسایی اولین نشانه (IoC)، AMP به تیم‌های امنیتی هشدار داده و اطلاعات دقیق در مورد رفتار مربوط به تهدید شناسایی شده را ارائه می‌دهد. با استفاده از این اطلاعات می‌توان به سوالات امنیتی مهم زیر پاسخ داد.

• منشا بدافزار کجاست؟
• به چه روشی و از چه نقطه‌ای به شبکه وارد شده؟
• چه سیستم‌هایی تحت تاثیر این بدافزار قرار گرفته‌اند؟
• این تهدید تا پیش از شناسایی شدن چه کاری انجام داده است و حالا چه کار می‌کند؟
• چگونه می‌توانیم تهدید را متوقف کنیم و علت اصلی آن را از بین ببریم؟

با استفاده از اطلاعات ارائه شده توسط سیسکو AMP، تیم‌های امنیتی می‌توانند به سرعت آنچه که اتفاق افتاده است را درک کنند و از قابلیت مهار و اصلاح AMP برای اقدامات دفاعی استفاده نمایند. با چند کلیک از کنسول مدیریت مبتنی بر مرورگر AMP، تیم‌های امنیتی به راحتی می‌توانند اجرای فایل را بر روی هر نقطه پایانی متوقف نمایند. AMP می‌تواند در هر جایی که فایل وجود دارد، آن را از حافظه خارج کرده و برای همه کاربران قرنطینه نماید. به این ترتیب در صورت انتشار بدافزار بر روی سیستم‌های مختلف، تیم امنیت دیگر نیازی به reimage کردن کامل سیستم‌ها برای حذف بدافزار ندارد. به همین دلیل فعالیت‌های مهم کسب و کار دیگر برای مدت زمان زیادی مختل نمی‌شود.

توان تجزیه و تحلیل مداوم، تشخیص مستمر و امنیت گذشته‌نگر

توانایی ثبت فعالیت هر فایل در سیستم، کمک می‌کند تا AMP اگر فایلی از وضعیت “good” به وضعیت “bad” برود، آن را شناسایی و تاریخچه ثبت شده برای فایل را بازیابی و ریشه ی تهدید و رفتار آن را نشان دهد. بعد از شنایی ریشه تهدید، AMP برای مسدود کردن تهدید، قابلیت پاسخ و اصلاح سریع را در اختیار شما قرار می‌دهد. AMP همچنین در هنگام شناسایی همه اطلاعات، از signature تهدید گرفته تا رفتار فایل را مرور می‌کند و داده ها بدست آمده را در پایگاه داده Threat Intelligence خود ثبت می‌کند تا از این طریق سیستم‌های دفاعی اولیه را تقویت نماید. در نتیجه این فایل و فایل‌های مشابه آن قادر به دور زدنِ دوباره سیستم شناسایی اولیه نخواهند بود.

بنابراین تیم امنیت با بهره‌مندی از سیسکو AMP از سطح بسیار بالایی از شفافت و کنترل را که برای شناسایی سریع و موثر حملات و بدافزارهای پنهان مورد نیاز است، برخودرا می‌شود; ابزاری برای درک ریسک‌ها و وسعت آنها، پیشگیری سریع و اصلاحِ بدافزارها پیش از آسیب شدید و پیشگیری از وقوعِ حملات مشابه در آینده.

ویژگی‌های سیسکو AMP

قابلیت‌های تحلیل مستمر و امنیت گذشته نگر در راهکار سیسکو AMP، از طریق ویژگی‌های مهم زیر امکان پذیر می شود.

استفاده از اطلاعات جامع و جهانی تهدیدات

فیدهای اطلاعاتی ارایه شده توسط تیم Talos و همچنین Threat Grid، مجموعه بزرگی از اطلاعات بروز و بلادرنگ در مورد تهدیدات با یک دید گسترده از تهدیدات است که امکان استفاده از این اطلاعات در پلتفرم امنیتی مختلف وجود دارد.

شاخص‌های تشخیص خطر (Indications of Compromise)

فایل و داده‌های سنجشی جمع آوری شده و به عنوان رخنه‌های بالقوه با یکدیگر مرتبط و اولویت‌بندی می‌شوند. سیسکو AMP رویدادهای امنیتی مربوط به چندین منبع امنیتی (مانند رویداهای مربوط به نفوذ و بدافزارها) را به یکدیگر ادغام می‌کند تا به تیم امنیت در مرتبط ساختنِ این رویدادها به حملات بزرگ و سازمان دهی شده و همچنین اولویت بندی رویدادها با ریسک بالا کمک کند.

اعتبار فایل

تجزیه و تحلیل‌های پیشرفته و اطلاعات تجمعی جهت تعیین سالم یا مخرب بودن یک فایل جمع آوری شده، و از این طریق امکان شناسایی دقیق‌تر فراهم می‌شود.

Antivirus Engine

موتور آنتی‌ویروس وظایفی مانند تشخیص آفلاین و مبتنی بر سیستم، از جمله اسکن rootkit را انجام می‌دهد تا از این طریق، قابلیت‌های محافظت پیشرفته نقاط پایانی،مانند بررسی شاخص‌های محلی خطرات (IoCs) و مانیتورینگ جریان شبکه و دستگاه‌ها را تکمیل نماید. این قابلیت می‌تواند توسط مشتریانی فعال و استفاده شود که قصد دارند آنتی ویروس و محافظت پیشرفته از نقاط پایانی خود را در یک agent ادغام کنند.

آنالیز داینمایک و استاتیک بدافزار

سیسکو AMP با ارائه یک محیط sandboxing با ایمنی بالا، به شما در اجرا، تحلیل و آزمایشِ بدافزارها کمک می‌کند تا تهدیدات ناشناخته (zero-day) را نیز شناسایی نمایید. ادغام ویژگی sandboxing ارائه شده توسط Threat Grid و تکنولوژی تحلیل پویا و ایستای بدافزار، درون AMP منجر به تحلیل های جامع‌تری می‌شود که از مقایسه مجموعه بزرگتری از شاخص‌های رفتاری جمع آوری شده به دست می‌آیند.

تشخیص‌های گذشته‌نگر (Retrospective detection)

پس از تحلیل‌های مستمر، هنگامی که وضعیت فایلی تغییر می‌کند، سیسکو AMP هشدارهایی را ارسال می‌کند. این هشدارها آگاهی و دید مناسبی را از وضعیت بدافزارهایی فراهم می‌کند که از سیستم‌های دفاعی اولیه عبور کرده‌اند.

رسد فایل (File trajectory)

سیسکو AMP به طور پیوسته در طول زمان، انتشار فایل در محیط شما جهت رسیدن به یک دید گسترده و شفاف و کاهش زمان لازم برای تعیین مقیاس گسترش یک بدافزار رسد و پیگیری می‌کند.

رسد دستگاه (Device trajectory)

سیسکو AMP با رسد پیوسته فعالیت‌ها و ارتباطات در دستگاه‌ها و در سطح سیستم، به درک سریعتر دلایل اصلی و تاریخچه رویدادهایی که منتهی به یک خطر می‌شوند، کمک می‌کند.

جستجوی ساده (Elastic search)

جستجوی ساده و بدون محدودیت در میان فایل‌ها و اطلاعات و شاخص‌های امنیتی جمع آور شده مرتبط با آنها کمک می‌کنند تا به سرعت زمینه و دامنه قرارگیری در معرض برنامه‌های مخرب یا شاخص‌های خطرناک را درک کنید.

فایل‌های رایج (Prevalence)

سیسکو AMPهمه فایل‌های اجرایی در سازمان شما را طبق ترتبب رایج بودن آنها از کمتری به بیشتر نمایش می دهد تا به شما در آشکارسازی تهدیدهای ناشناخته ای کمک کند که توسط بخشی از کاربران مشاهده شده‌اند. فایل‌هایی که توسط تعداد کمی از کاربران اجرا می‌شوند ممکن است بدافزار باشد.

شاخص‌های محلی (Endpoint IoC)

کاربران می توانند IoC های خود را برای شناسایی حملات هدفمند ارسال کنند. IoC های نقاط پایان به تیم‌های امنیتی اجازه می‌دهد تا تحقیقات عمیق‌تری را درباره تهدیدات پیشرفته و کمتر شناخته شده در خصوص برنامه‌های کاربردی در محیط کاری خود انجام دهند.

آسیب‌پذیری‌ها (Vulnerabilities)

AMP با استفاده از این قابلیت لیستی از برنامه‌های آسیب پذیر موجود در سیستم را نشان می‌دهد. همچنین این ماژول هاست‌هایی که شامل نرم افزارهای آسیب‌پذیر می‌شوند و بیشتر در معرض خطر قرار دارند را نمایش می‌دهد. سیسکو AMP در اصل با اتکا بر تحلیل‌ها و اطلاعات امنیتی، نرم افزارهای آسیب‌پذیر را که بیشتر هدف حملات بدافزارها هستند را لیست می‌کند.

Outbreak control

کنترل فایل‌های مشکوک و یا کنترل شیوع یک بدافزار و اصلاح آلودگی بدون نیاز به انتظار برای بروزرسانی محتوا.

ویژگی کنترل شیوع

• تشخیص‌های سفارشی ساده می‌توانند به سرعت یک فایل خاص را در تمام سیستم‌ها یا سیستم‌های منتخب مسدود کند.
• Signiture های پیشرفته می‌توانند خانواده‌های بدافزارهای چند شکلی (پلی مورفیسم) را مسدود کند.
• لیست نرم افزارهای مسدود شده می‌تواند منجر به اعمال سیاست‌ها امنیتی بر روی نرم افزارها شود یا نرم افزارهای در معرض خطر که به عنوان دروازه ورود بدافزارها استفاده می‌شوند را محدود و نفوذ مجدد در آنها را متوقف نماید.

گزینه‌های گوناگون برای استقرار سیسکو AMP

سیسکو AMP برای Endpoint

سیسکو AMP از کامپیوترهای شخصی که سیستم عامل‌های ویندوز، لینوکس و مک بر روی آنها اجرا می‌شود، پشتیبانی می‌کند. همچنین برای دستگاه‌های موبایل اندروید می‌توانیم از کانکتور کم حجم AMP بر روی Anyconnect v4.1 استفاده کنیم.

سیسکو AMP برای شبکه

برای استقرار AMP به عنوان یک راه حل مبتنی بر شبکه بایستی از دستگاه‌های امنیتیی مانند Cisco Firepower NGIPS که با این راهکار یکپارچه شده‌اند، استفاده کنیم.

استفاده از سیسکو AMP بر روی فایروال ASA دارای سرویس FirePOWER

از قابلیت‌های AMP در فایروال Cisco NGFW یا ASA Adaptive Security Appliance نیز می‌توانیم استفاده کنیم.

استفاده از ماشین مجازی سیسکو AMP در یک ابر خصوصی

استقرار AMP به عنوان یک راهکار air-gapped برای سازمان‌هایی با محرمانگی بالا که به دلیل مسائل امنیتی نباید به یک محیط ابر عمومی متصل شوند.

استفاده از سیسکوAMP بر روی ESA یا WSA

قابلیت‌های AMP بر روی (Cisco Email Security Appliance (ESA یا (Web Security Appliance (WSA نیز قابل استفاده می‌باشند.

استفاده از سیسکو AMP همراه Meraki MX

استقرار AMP به عنوان بخشی از راهکار Meraki MX به منظور مدیریت هرچه ساده‌تر امنیت بر پایه ابر.

نتیجه‌گیری

به واقع سیسکو AMP در حال حاضر در همه جا حضور دارد. قابلیت دید جامع (visibility) و کنترل بردارها مختلف حملات، از لبه شبکه گرفته تا نقاط پایانی، دقیقا همان چیزی است که به آن برای شناسایی سریع و پایان دادن به بدافزارهای پنهان نیاز داریم. همچنین برای واکنش سریع به حملات، نیازمند قابلیت اشتراک گذاری این اطلاعات در کل زیرساخت‌های امنیت خودمی‌باشیم. توجه به اتصال، ارتباط و یکپارچگی میانِ تمامیِ این راهکارها مهم است. این محصولات نباید به صورت مجزا در نظر گرفته شوند. هنگامی که این راهکارها با یکدیگر در شبکه به صورت یکپارچه استفاده شوند، باعث ایجاد سیستم دفاعی یکپارچه‌ای می‌شوند که به طور سیستماتیک و سریع به تهدیدات واکنش نشان می‌دهد.

اکوسیستم ایجاد شده با استفاده از راهکارهای AMP به طور خودکار اطلاعات تهدیدات، نشانه‌های مصالحه (IoCs)، اطلاعات رویداد و اطلاعات قرنطینه را در سراسر راهکار یکپارچه به اشتراک می گذارد. بنابراین با “eyes everywhere” راهکار AMP، سازمان‌ها می‌توانند زمان شناسایی و زمان اصلاح بدافزار را به شدت کاهش دهند.