Secure Endpoint، راهکار جامع امنیت نقاط پایانی

Secure Endpoint

محصول Secure Endpoint شرکت سیسکو داری قابلیت‌هایی مانند پیشگیری، شناسایی، پاسخگویی و شکار تهدیدات (Threat Hunting) می‌باشد. که از آنها به همراه قدرت تجزیه و تحلیل ابری شرکت سیسکو، برای شناسایی آسیب‌پذیری‌ها و حملات استفاده می‌کند. AMP در واقع با پیاده‌سازی زیرساخت مورد نیاز خود در یک ابر عمومی یا خصوصی از ایستگاه‌های کاری ویندوزی، لینوکسی، مک و اندرویدی حفاظت می‌کند.

مزایای AMP

با توجه به پیشرفت سریع دنیای بدافزارها، شناسایی آنها بشدت سخت شده است. در اکثر مواقع فقط 1 درصد از تهدیدات پیشرفته وارد شبکه ما می‌شوند. ولی معمولا می‌توانند ویرانی گسترده‌ای ایجاد ‌کنند و مدت‌ها شناسایی نشده باقی بمانند. با این حال، این Secure Endpoint هست که در حال حاضر در برابر 1٪ تهدیدات، امنیت جامع و پایداری ایجاد می‌کند. این نرم افزار از رخنه‌های امنیتی جلوگیری و بدافزار را در نقطه ورود مسدود می‌کند. و به طور مداوم فعالیت فایل‌ها و پردازه‌های سیستم را ردیابی و تجزیه و تحلیل می‌نماید تا به سرعت، تهدیدهایی که می‌توانند از خطوط دفاعی موجود درخط مقدم فرار کنند را شناسایی، مهار و اصلاح کند.

پیشگیری (Prevention)

جلوگیری از حملات در سریع‌ترین زمان، باعث آسیب حداقلی به نقطه پایانی و کمترین میزان Downtime بعد از حمله می‌شود. محصول Secure Endpoint ازتکنیک‌های قابل اطمینان زیر برای پیشگیری از تهدیدات مربوط به بدافزارها استفاده می‌کند. و از این طریق نقطه پایانی را در مقابل بسیاری از تهدیدات خاص منظوره ایمن می‌کند.

File reputation

Secure Endpoint یا AMP شامل پایگاه داده جامعی از هر فایلی است که تاکنون دیده شده است. و یک وضعیت خوب یا بد از آن فایل را نگهداری می‌کند. بنابراین، با این تکنیک بدافزارهای شناخته شده به سرعت در نقطه ورود بدون نیاز به اسکن توسط اسکنر نیازمند منابع پردازشی، قرنطینه می‌شوند.

Antiviruse

Secure Endpoint شامل موتورهای آنتی ویروس مبتنی بر تعاریف خاص و به روز برای نقاط پایانی ویندوزی، Mac و Linux می‌باشد. با استفاده از این ماژول همه نقاط پایانی از روش تشخیص سفارشی سازی شده و مبتنی بر امضا برخوردارند. این موضوع به مدیران اجازه می‌دهد تا قابلیت‌های کنترلی قوی‌تری ارائه دهند. و لیست‌های سیاه مورد نظرشان را بر روی نقاط پایانی اعمال کنند. پایگاه داده امضای آنتی ویروس به صورت محلی در هر نقطه انتهایی قرار دارد. یعنی، آنتی ویروس برای عملکرد صحیح خود نیازی به اتصال ابر ندارد. با توجه به این موضوع، از نقاط پایانی چه به صورت آفلاین و چه به صورت آنلاین محافظت می‌شود.

Polymorphic malware detection

بازیگران حوزه بدافزار برای جلوگیری از شناسایی شدن، اغلب نسخه‌های مختلف از یک بدافزار مشابه را می‌نویسند. Secure Endpoint می‌تواند انواع بدافزارهای مختلف یا چند شکلی را از طریق انگشت نگاری از قسمت بی‌ربط آن تشخیص دهد. اگر با گرفتن اثر انگشت از فایل مشکوک، شباهتی بین محتوای آن و خانواده‌های شناخته شده از یک بدافزار پیدا شود، در صورت وجود تطابق زیاد، فایل مورد نظر در آن دسته از بدافزار قرار می‌گیرد.

Machine learning analysis

Secure Endpoint توسط الگوریتم‌های یادگیری ماشین آموزش داده می‌شود. بنابراین، می‌تواند براساس ویژگی‌های بدافزارهای شناخته شده، فایل‌ها و فعالیت‌های مخرب را شناسایی کند. قابلیت‌های یادگیری ماشین در Secure Endpoint توسط مجموعه داده‌های جامع از شبکه Cisco Talos تغذیه می‌شود تا مدل بهتر و دقیق‌تری برای شناسایی داشته باشیم. بنابراین، یادگیری ماشین به Secure Endpoint در شناسایی بدافزارهایی که قبلاً شناسایی نشده‌اند، کمک می‌کند.

Exploit prevention

مهاجمان اکثرا با استفاده از حملات حافظه به نقاط پایانی نفوذ می‌کنند. و با استفاده از بدافزارها و ضعف موجود در برنامه‌ها و فرایندهای سیستم عامل، نقاط دفاعی امنیتی را دور می‌زنند. بنابراین ماژول پیشگیری از Exploit می‌تواند از نقاط پایانی در برابر حملات مبتنی بر تزریق حافظه و Exploit محافظت کند.

Script protection

Secure Endpoint از طریق این قابلیت شفافیت بالایی در مورد اسکریپت‌هایی که در نقاط پایانی اجرا می‌شوند، ایجاد می‌کند. و از حملات مبتنی بر اسکریپت که عموما توسط بدافزارها استفاده می‌شود جلوگیری می‌کند. کنترل‌های مربوط به اسکریپت‌ها علاوه بر فراهم کردن حفاظت مورد نیاز، با اجازه دادن به موتور پیشگیری از Exploit جهت جلوگیری از بارگیری برخی DLLها توسط بعضی از برنامه‌های کاربردی دسکتاپ و فرآیندهای زیر مجموعه‌شان، محافظت بیشتری ایجاد می‌کند.

Behavioral protection

تجزیه و تحلیل رفتاری تقویت شده Security Endpoint با مانتورینگ مداوم فعالیت‌های کاربران و نقاط پایانی، امکان حفاظت از آنها در برابر رفتارهای بدافزارگونه را فراهم می‌کند. این ماژول وظیفه خود را به صورت بلادرنگ و با تطبیق جریانی از فعالیت‌های ثبت شده با مجموعه‌ای از الگوهای مربوط به حملات انجام می‌دهد. این الگوها با تکامل تهدیدات به صورت اتوماتیک به روز می‌شوند. به عنوان مثال، این ویژگی امکان کنترل دقیق و محافظت در برابر سوء استفاده از ابزارهای موجود را نیز فراهم می کند.

شناسایی (Detection)

اگرچه تکنیک‌های پیشگیری از بدافزار برای رسیدن به یک راهکار جامع امنیت نقاط پایانی نسل جدید ضروری است.اما، مقابله با تهدیدات پیشرفته نیازمند اقدامات دیگری نیز می‌باشد. به همین دلیل، Secure Endpoint به طور مداوم نقاط انتهایی را مانیتور می‌کند تا از این طریق به شناسایی تهدیدات جدید و ناشناخته کمک کند.

Malicious activity protection

Secure Endpoint به طور مداوم همه فعالیت‌های نقطه پایانی را مانیتور می‌کند. بنابراین، امکان تشخیص و جلوگیری از رفتارهای غیرعادی یک برنامه کاربردی در زمان اجرای آن بر روی نقطه پایانی را فراهم می‌کند. به عنوان مثال، زمانی که تحلیل رفتاری یک نقطه پایانی، رفتاری مشابه یک باج افزار را نشان دهد، Secure Endpoint فرآیندهای مشکوک مربوط به رفتار شناسایی شده را سریعا خاتمه می‌دهد. و عملیات رمزگذاری نقطه پایانی را متوقف می‌نماید.

Cloud-based indicators of compromise

تیم مدیریت اطلاعات تهدیدات شرکت سیسکو یا همان Talos، به عنوان پیشرو در این صنعت، برای کشف انواع جدید تهدیدات، به طور مداوم بدافزارها را مورد تجزیه و تحلیل قرار می‌دهد. Talos به طور مداوم برای تهدیدات جدید، پروفایل‌های رفتاری و فارنزیکی ایجاد می‌نماید. داده فارنزیکی مانند مکان فایل یا مقادیر اصلاح شده کلیدی رجیستری، همه داده‌هایی هستند که Secure Endpoint می‌تواند با استفاده از آنها به مدیران در شناسایی سیستم‌های آلوده کمک کند.

Host-based IoCs

AMP به مدیران امنیت این امکان را می‌دهد تا بتوانند شاخص‌های شناسایی(IoC) سفارشی خود را برای استفاده در پاسخ به حوادث و برای اسکن شاخص‌های IoC بعد حادثه در سرتاسر نقطه پایانی بنویسند. این شاخص‌ها در قالب استاندارد متن باز (OpenIOC) نوشته می‌شوند. و امکان استفاده از داده‌ها از هر منبع اطلاعاتی موجود در اینترنت را فراهم می‌کند.

Vulnerabilities

Secure Endpoint با شناسایی نرم افزارهای آسیب‌پذیر در سراسر محیط نقاط پایانی به کاهش سطح و دامنه حمله کمک می‌کند. این ماژول همه نقاط پایانی که نرم افزارهای آسیب پذیر بر روی آنها اجرا می‌شود را لیست کرده و براساس امتیازدهی CVE (آسیب پذیری‌ها و مصارف مشترک)، آنها را اولویت بندی می‌کند. هرچه آسیب پذیری شدیدتر باشد، برجستگی بیشتری در لیست خواهد داشت. در واقع، Secure Endpoint لیستی از میزبانانی را که برای جلوگیری از سوء‌استفاده در آینده باید وصله شوند، به مدیران ارایه می‌دهد.

Low prevalence

Secure Endpoint به طور خودکار فایل‌های اجرایی را که در نقاط پایانی و به تعداد کم وجود دارد شناسایی کرده و برای کشف تهدیدات جدید، آنها را در sandbox مبتنی بر ابر شرکت سیسکو تجزیه و تحلیل می‌کند. بدافزارهای هدفمند یا تهدیدهای پیشرفته دائمی (APT) اغلب زیر رادار پرواز می‌کنند و فقط در چند نقطه پایانی شروع به فعالیت می‌کنند. اما، با همین شیوع کم نیز Secure Endpoint قادر است به طور خودکار آنها را شکار و کمک ‌کند تا به راحتی 1٪ تهدیداتی که در شرایط عدم وجود AMP مورد توجه قرار نمی‌گرفتند را شناسایی نماییم.

شکار تهدیدات (Threat Hunting)

SecureX Threat Hunting یک رویکرد تحلیل محور فعالانه برای تشخیص تهدیدات پیشرفته پنهان می‌باشد. این قابلیت، منحصراً به عنوان بخشی مهم در لایسنس جدید Secure Endpoint ارائه می‌شود. این قابلیت به پاسخ دهندگان حادثه چگونگی جلوگیری از حمله، تکامل آن و اقدامات بعدی برای پاسخگویی را مشخص می‌کند. هدف این ماژول کشف و خنثی‌سازی حملات قبل از متحمل شدن صدمات جدی می‌باشد. به عنوان یک اثر جانبی، استفاده از امکان شکار تهدیدات به صورت منظم و مستمر، افزایش دانش سازمان را در مورد آسیب پذیری‌ها و خطرات می‌باشد. که این امر باعث قوی‌تر شدن محیط امنیتی آنها می‌شود.

SecureX Threat Hunting در اصل از تجربه و خبرگی تیم Talos و تیم تحقیق وتوسعه Cisco برای کمک به شناسایی تهدیدات موجود در محیط مشتری استفاده می‌کند. این فرایند از ترکیبی از فناوری جستجوی پیشرفته Orbital با تخصص شکارچیان تهدیدات، برای شناسایی فعالانه تهدیدات پیچیده‌تر استفاده می‌کند.

رسیدگی (Response)

با توجه به این که تعداد و تنوع تهدیدات پیشرفته با هدف به اشتباه انداختن اقدامات پیشگیرانه افزایش یافته است. بنابراین، بایستی احتمالات مربوط به امکان نقض اقدامات پیشگیرانه نیز در بررسی‌های امنیتی مدنظر قرار گیرد. بنابراین برای جواب به این طرز تفکر، بایستی علاوه بر ابزاهای بالا، مجموعه‌ای از ابزار قدرتمند دیگری نیز برای کمک به شناسایی سریع و آسان نقاط انتهایی آلوده و درک دامنه حملات به کار گرفته شود. Secure Endpoint علاوه بر قابلیت‌های پیشگیری و شناسایی خود، ابزارهای دیگری نیز برای مشاهده و پاسخگویی سریع و مستمر به تخلفات امنیتی در اختیار نقاط پایانی قرار می‌دهد.

Dashboards and inbox

در داشبورد مربوط به Secure Endpoint گزارشات فقط محدود به شمارش و جمع آوری رویدادها نمی‌شود. داشبوردهای عملیاتی که در Secure Endpoint تعبیه شده‌اند علاوه بر اینکه امکان مدیریت ساده و پاسخ سریع را فراهم می‌کنند. بلکه رویدادها و نقاط پایانی را نیز بر اساس اولویت طبقه‌بندی کرده و آنها را در حین بررسی‌ها به گردش کار مرتبط می‌کند.

Endpoint forensics

در فرآیند جمع آوری اطلاعات مربوط به حملات ابزارهای قدرتمندی مانند file trajectory و device trajectory از قابلیت تجزیه و تحلیل مداوم Secure Endpoint برای نشان دادن دامنه کامل تهدید استفاده می‌کنند. Secure Endpoint برای شناسایی آلودگی روز صفر و همچنین روش و نقطه ورود آلودگی، همه اطلاعات مربوط به برنامه‌ها، فرآیندها و سیستم‌های آسیب دیده را شناسایی و نگهداری می‌کند. این قابلیت کمک می کند تا با شناسایی دروازه‌های ورودی بدافزارها و مسیری که مهاجمان برای دستیابی به دیگر سیستم‌ها استفاده می کنند، دامنه حملات به سرعت مشخص شود.

Dynamic analysis

Secure Endpoint به صورت buit-in دارای یک محیط امن Sandboxing است که توسط تیم Cisco Threat Grid طراحی شده است. وظیفه این ماژول تجزیه و تحلیل رفتار فایل‌های مشکوک می‌باشد. تجزیه و تحلیل یک فایل‌، اطلاعات دقیقی در مورد شدت رفتار، نام اصلی، تاریخچه اجرایی و نمونه‌ای از بسته‌های تولید شده توسط آن را در اختیار ما قرار می‌دهد. بنابراین، ما درک بهتری از اقدامات ضروری مورد نیاز برای مهار شیوع بدافزار و جلوگیری از حملات آینده خواهیم داشت.

Retrospective security

Secure Endpoint در واقع از یک تکنولوژی ثبت شده برای شناسایی تهدیدات پیشرفته‌ای که به محیط وارد شده‌اند، استفاده می‌کند. Secure Endpoint با استفاده از نظارت مستمر، اطلاعات مربوط به تهدیدات جدید را با سوابق گذشته مرتبط کرده و از این طریق به طور خودکار فایل‌های مشکوک را در لحظه شروع رفتارهای مخرب قرنطینه می‌کند. این پاسخ خودکار به تهدیدات از سرعت تکثیر بدافزارها تا حد زیادی می‌کاهد.

Command line visibility

امکان مشاهده آرگومان‌ها و دستورات خط فرمان، بیشتر در تشخیص موارد استفاده از برنامه‌های قانونی، از جمله برنامه‌های کاربردی ویندوزی برای اهداف خرابکارانه کمک می‌کند. Secure Endpoint می‌تواند رفتارهایی مانند استفاده از vssadmin برای حذف نسخه‌های Shadow copy یا غیرفعال کردن Safe boot، بهره برداری‌های مبتنی بر PowerShell، بالا بردن سطح مجوزها، تغییر در لیست‌های کنترل دسترسی و تلاش برای ارزیابی و سرشماری سیستم‌ها را که با استفاده از روش‌های معمول به سختی قابل تشخیص هستند به راحتی شناسایی کند.

Endpoint isolation

ایزوله‌ سازی نقاط پایانی آلوده برای جلوگیری از گسترش تهدیدات و برقراری ارتباط با سرور C&C خود و ایجاد امکان تبادل اطلاعات با منابع معتبر مانند ابر Secure Endpoint امری بسیار مهم و حیاتی است. ماژول ایزوله سازی Endpoint با قرار دادن منابع مورد اعتماد شبکه در لیست سفید، امکان ایزوله سازی یک نقطه پایانی آلوده را فراهم می‌کند. همچنین، نقطه پایانی می‌تواند با یک کلیک توسط مدیر یا با اجرای یک کد دستوری توسط کاربر از حالت ایزوله خارج شود.

Advanced search

Advanced Search یک قابلیت پیشرفته در Cisco Secure Endpoint است. که به منظور ساده سازی تحقیقات امنیتی و شکار تهدیدات با بیش از صد پرس‌و‌جوی از قبل طراحی شده می‌باشد. این ماژول این امکان را می‌دهد تا به سرعت پرس‌وجوهای پیچیده‌ای بر روی یک یا تمام نقاط پایانی اجرا کنیم. بنابراین، با داشتن نسخه‌ای از وضعیت فعلی، می‌توانیم دید عمیق‌تری نسبت به هر آنچه که در هر لحظه از زمان رخ می‌دهد، داشته باشیم. این که جستجوی شما به عنوان بخشی از پاسخ به حادثه، شکار تهدید، عملیات IT یا شناسایی آسیب پذیری و یا مسائل انطباق‌سنجی باشد، جستجوی پیشرفته سریعاً پاسخ‌های لازم و مورد نیاز در مورد نقاط نهایی را در اختیار شما قرار خواهد داد.