معرفی Cisco Cognitive Threat Analytics

Cognitive Threat Analytics (CTA)

در حال حاضر هدف هکرها از انجام حملات به جای کسب شهرت، بیشتر انگیزه‌های سیاسی و اقتصادی می‌باشد. با توجه به مشوق‌های مالی و سیاسی موجود برای حملات موفق، امروزه جرایم اینترنتی پیچیده و مخفیانه‌تر شده‌اند. از طرفی هکرها برای بهره برداری از آسیب پذیری‌ها، مهارت زیادی پیدا کرده‌اند. اکثراً آنها از تکنیک‌های جدید برای پنهان کردن فعالیت‌های خود استفاده می‌کنند. پس در حال حاضر برای مقابله با هکرهای ماهر نیازمند راهکارهای پیشرفته مانند Cisco Cognitive Threat Analytics می‌باشیم.

طبق تحقیقات تیم Conitive Threat Analytics بیش از 90 درصد هکرها بعد از یک حمله موفق و تثبیت جایگاه خود در سازمان، از ترافیک وب برای ارسال دستورات خط فرمان و کنترل (Command-and-Control) و سرقت اطلاعات حساس استفاده می‌کنند.

Cognitive Threat Analytics کمک می‌کند تا به سرعت حملات و تهدیدات پیچیده و مخفیانه را شناسایی و به آنها پاسخ دهیم. این راهکار به صورت کاملا اتوماتیک ترافیک‌های مشکوک و مخرب را شناسایی و بررسی می‌کند. Cognitive Threat Analytics قادر است تهدیدات تایید شده و بالقوه را شناسایی و به ما کمک کند تا با رفع آسیب پذیری و آلودگی، دامنه و میزان آسیب آن را حداقل برسانیم. سرویس ابری Cognitive Threat Analytics اطلاعات تولید شده توسط راهکارهای امنیتی وب را بدون نیاز به هیچگونه سخت افزار و نرم افزار اضافی پردازش می‌کند. این راهکار بسیار قوی، ساده و موثر می‌باشد.

ویژگی‌های اصلی Cognitive Threat Analytics

Cognitive Threat Analytics به صورت اتوماتیک روزانه حدود 10 بیلیون درخواست را آنالیز می‌کند. این راهکار فعالیت‌های مخربی که سایر کنترل‌های امنیتی را دور زده‌اند و از ارتباطات وب برای انتقال اطلاعات و دستورات خود استفاده می‌کنند، به صفر می‌رساند.

در واقع Cognitive Threat Analytics با استفاده از یادگیری ماشین و مدل سازی آماری، یک مدل پایه رفتاری نرمال ایجاد و با استفاده از آن رفتارهای مشکوک در شبکه را شناسایی می‌کند.

موتورهای شناسایی و آنالیز CTA

Data Exfiltration

Cognitive Threat Analytics از طریق مدل سازی آماری ترافیک شبکه سازمان قادر است ترافیک‌های ناشناس را شناسایی و نشت اطلاعات حساس را تشخیص دهد. CTA می‌تواند حتی خروج اطلاعات از طریق ترافیک‌های رمز شده با پروتکل HTTPS را نیز بدون نیاز به رمزگشایی تشخیص دهد.

Domain generation algorithm

هکرها برای ناشناس نگه داشتن هاست‌هایی که بدافزارها را منتشر می کنند و برای جلوگیری از مسدود شدن آنها، معمولا از تعداد زیادی نام دامنه برای آن‌ها استفاده می‌کنند. CTA برای جلوگیری از این کار نام‌ دامنه‌های مخرب و بی معنی و مبهم را شناسایی و علاوه بر این توالی ارتباطات، محتوای Headerها و صدها ویژگی درخواست HTTP یا HTTPS را نیز آنالیز و بررسی می‌کند.

Expliot kit

آنالیز و بررسی درخواست‌های وب به CTA اجازه می‌دهد تا آلودگی‌های نوع Exploit kit که شامل بازدید یک صفحه آلوده، هدایت درخواست‌های وب به یک دامنه میزبان Exploit، دانلود فایل‌های ناشناس توسط کاربران، نفوذ موفق و دانلود محتوای مخرب را شناسایی کند.

Tunneling thrugh HTTP and HTTPS requests

هکرها اغلب به دنبال انتقال اطلاعات حساس شامل اطلاعات کاربری از طریق درخواست‌های HTTP و HTTPS می‌باشند. CTA از چندین شاخص‌ شناسایی (Indicators of compromise)، از جمله آمارهای جهانی و امتیازات ناهنجاری‌های داخلی برای تمایز بین استفاده درست و نادرست از تکنیک تونلینگ استفاده می‌کند.

Commnad-and-control (C2) comunication

CTA طیف وسیعی از اطلاعات شامل اطلاعات آماری در سطح اینترنت و امتیازات ناهنجاری‌های مربوط به میزبان را با هم ترکیب می‌کند. ترکیب این اطلاعات داخل الگوریتم‌های آماری به ما این اجازه را می‌دهد تا ارتباطات C2 را از ترافیک‌های مجاز و سایر فعالیت‌های مخرب تشخیص دهیم. CTA می‌تواند بدون نیاز به رمزگشایی ارتباطات، دامنه وسیعی از تهدیدات مربوط به ارتباطات C2 را با وجود استفاده آنها از HTTPS یا ترافیک ناشناس یا ترافیک Tor تشخیص دهد.

اطلاعات بصری مربوط به CTA از طریق پرتال وب آن قابل دسترسی می‌باشد. که از طریق آن می‌توانیم موراد زیر را انجام دهیم.

1. شدت و دامنه حملات را ارزیابیی کنیم.
2. هدف حمله و نحوه کار آن را متوجه شویم.
3. اقدام فوری در برابر آن انجام دهیم.