Secure Endpoint، راهکار جامع امنیت نقاط پایانی
Secure Endpoint
محصول Secure Endpoint شرکت سیسکو داری قابلیتهایی مانند پیشگیری، شناسایی، پاسخگویی و شکار تهدیدات (Threat Hunting) میباشد. که از آنها به همراه قدرت تجزیه و تحلیل ابری شرکت سیسکو، برای شناسایی آسیبپذیریها و حملات استفاده میکند. AMP در واقع با پیادهسازی زیرساخت مورد نیاز خود در یک ابر عمومی یا خصوصی از ایستگاههای کاری ویندوزی، لینوکسی، مک و اندرویدی حفاظت میکند.
مزایای AMP
با توجه به پیشرفت سریع دنیای بدافزارها، شناسایی آنها بشدت سخت شده است. در اکثر مواقع فقط 1 درصد از تهدیدات پیشرفته وارد شبکه ما میشوند. ولی معمولا میتوانند ویرانی گستردهای ایجاد کنند و مدتها شناسایی نشده باقی بمانند. با این حال، این Secure Endpoint هست که در حال حاضر در برابر 1٪ تهدیدات، امنیت جامع و پایداری ایجاد میکند. این نرم افزار از رخنههای امنیتی جلوگیری و بدافزار را در نقطه ورود مسدود میکند. و به طور مداوم فعالیت فایلها و پردازههای سیستم را ردیابی و تجزیه و تحلیل مینماید تا به سرعت، تهدیدهایی که میتوانند از خطوط دفاعی موجود درخط مقدم فرار کنند را شناسایی، مهار و اصلاح کند.
پیشگیری (Prevention)
جلوگیری از حملات در سریعترین زمان، باعث آسیب حداقلی به نقطه پایانی و کمترین میزان Downtime بعد از حمله میشود. محصول Secure Endpoint ازتکنیکهای قابل اطمینان زیر برای پیشگیری از تهدیدات مربوط به بدافزارها استفاده میکند. و از این طریق نقطه پایانی را در مقابل بسیاری از تهدیدات خاص منظوره ایمن میکند.
File reputation
Secure Endpoint یا AMP شامل پایگاه داده جامعی از هر فایلی است که تاکنون دیده شده است. و یک وضعیت خوب یا بد از آن فایل را نگهداری میکند. بنابراین، با این تکنیک بدافزارهای شناخته شده به سرعت در نقطه ورود بدون نیاز به اسکن توسط اسکنر نیازمند منابع پردازشی، قرنطینه میشوند.
Antiviruse
Secure Endpoint شامل موتورهای آنتی ویروس مبتنی بر تعاریف خاص و به روز برای نقاط پایانی ویندوزی، Mac و Linux میباشد. با استفاده از این ماژول همه نقاط پایانی از روش تشخیص سفارشی سازی شده و مبتنی بر امضا برخوردارند. این موضوع به مدیران اجازه میدهد تا قابلیتهای کنترلی قویتری ارائه دهند. و لیستهای سیاه مورد نظرشان را بر روی نقاط پایانی اعمال کنند. پایگاه داده امضای آنتی ویروس به صورت محلی در هر نقطه انتهایی قرار دارد. یعنی، آنتی ویروس برای عملکرد صحیح خود نیازی به اتصال ابر ندارد. با توجه به این موضوع، از نقاط پایانی چه به صورت آفلاین و چه به صورت آنلاین محافظت میشود.
Polymorphic malware detection
بازیگران حوزه بدافزار برای جلوگیری از شناسایی شدن، اغلب نسخههای مختلف از یک بدافزار مشابه را مینویسند. Secure Endpoint میتواند انواع بدافزارهای مختلف یا چند شکلی را از طریق انگشت نگاری از قسمت بیربط آن تشخیص دهد. اگر با گرفتن اثر انگشت از فایل مشکوک، شباهتی بین محتوای آن و خانوادههای شناخته شده از یک بدافزار پیدا شود، در صورت وجود تطابق زیاد، فایل مورد نظر در آن دسته از بدافزار قرار میگیرد.
Machine learning analysis
Secure Endpoint توسط الگوریتمهای یادگیری ماشین آموزش داده میشود. بنابراین، میتواند براساس ویژگیهای بدافزارهای شناخته شده، فایلها و فعالیتهای مخرب را شناسایی کند. قابلیتهای یادگیری ماشین در Secure Endpoint توسط مجموعه دادههای جامع از شبکه Cisco Talos تغذیه میشود تا مدل بهتر و دقیقتری برای شناسایی داشته باشیم. بنابراین، یادگیری ماشین به Secure Endpoint در شناسایی بدافزارهایی که قبلاً شناسایی نشدهاند، کمک میکند.
Exploit prevention
مهاجمان اکثرا با استفاده از حملات حافظه به نقاط پایانی نفوذ میکنند. و با استفاده از بدافزارها و ضعف موجود در برنامهها و فرایندهای سیستم عامل، نقاط دفاعی امنیتی را دور میزنند. بنابراین ماژول پیشگیری از Exploit میتواند از نقاط پایانی در برابر حملات مبتنی بر تزریق حافظه و Exploit محافظت کند.
Script protection
Secure Endpoint از طریق این قابلیت شفافیت بالایی در مورد اسکریپتهایی که در نقاط پایانی اجرا میشوند، ایجاد میکند. و از حملات مبتنی بر اسکریپت که عموما توسط بدافزارها استفاده میشود جلوگیری میکند. کنترلهای مربوط به اسکریپتها علاوه بر فراهم کردن حفاظت مورد نیاز، با اجازه دادن به موتور پیشگیری از Exploit جهت جلوگیری از بارگیری برخی DLLها توسط بعضی از برنامههای کاربردی دسکتاپ و فرآیندهای زیر مجموعهشان، محافظت بیشتری ایجاد میکند.
Behavioral protection
تجزیه و تحلیل رفتاری تقویت شده Security Endpoint با مانتورینگ مداوم فعالیتهای کاربران و نقاط پایانی، امکان حفاظت از آنها در برابر رفتارهای بدافزارگونه را فراهم میکند. این ماژول وظیفه خود را به صورت بلادرنگ و با تطبیق جریانی از فعالیتهای ثبت شده با مجموعهای از الگوهای مربوط به حملات انجام میدهد. این الگوها با تکامل تهدیدات به صورت اتوماتیک به روز میشوند. به عنوان مثال، این ویژگی امکان کنترل دقیق و محافظت در برابر سوء استفاده از ابزارهای موجود را نیز فراهم می کند.
شناسایی (Detection)
اگرچه تکنیکهای پیشگیری از بدافزار برای رسیدن به یک راهکار جامع امنیت نقاط پایانی نسل جدید ضروری است.اما، مقابله با تهدیدات پیشرفته نیازمند اقدامات دیگری نیز میباشد. به همین دلیل، Secure Endpoint به طور مداوم نقاط انتهایی را مانیتور میکند تا از این طریق به شناسایی تهدیدات جدید و ناشناخته کمک کند.
Malicious activity protection
Secure Endpoint به طور مداوم همه فعالیتهای نقطه پایانی را مانیتور میکند. بنابراین، امکان تشخیص و جلوگیری از رفتارهای غیرعادی یک برنامه کاربردی در زمان اجرای آن بر روی نقطه پایانی را فراهم میکند. به عنوان مثال، زمانی که تحلیل رفتاری یک نقطه پایانی، رفتاری مشابه یک باج افزار را نشان دهد، Secure Endpoint فرآیندهای مشکوک مربوط به رفتار شناسایی شده را سریعا خاتمه میدهد. و عملیات رمزگذاری نقطه پایانی را متوقف مینماید.
Cloud-based indicators of compromise
تیم مدیریت اطلاعات تهدیدات شرکت سیسکو یا همان Talos، به عنوان پیشرو در این صنعت، برای کشف انواع جدید تهدیدات، به طور مداوم بدافزارها را مورد تجزیه و تحلیل قرار میدهد. Talos به طور مداوم برای تهدیدات جدید، پروفایلهای رفتاری و فارنزیکی ایجاد مینماید. داده فارنزیکی مانند مکان فایل یا مقادیر اصلاح شده کلیدی رجیستری، همه دادههایی هستند که Secure Endpoint میتواند با استفاده از آنها به مدیران در شناسایی سیستمهای آلوده کمک کند.
Host-based IoCs
AMP به مدیران امنیت این امکان را میدهد تا بتوانند شاخصهای شناسایی(IoC) سفارشی خود را برای استفاده در پاسخ به حوادث و برای اسکن شاخصهای IoC بعد حادثه در سرتاسر نقطه پایانی بنویسند. این شاخصها در قالب استاندارد متن باز (OpenIOC) نوشته میشوند. و امکان استفاده از دادهها از هر منبع اطلاعاتی موجود در اینترنت را فراهم میکند.
Vulnerabilities
Secure Endpoint با شناسایی نرم افزارهای آسیبپذیر در سراسر محیط نقاط پایانی به کاهش سطح و دامنه حمله کمک میکند. این ماژول همه نقاط پایانی که نرم افزارهای آسیب پذیر بر روی آنها اجرا میشود را لیست کرده و براساس امتیازدهی CVE (آسیب پذیریها و مصارف مشترک)، آنها را اولویت بندی میکند. هرچه آسیب پذیری شدیدتر باشد، برجستگی بیشتری در لیست خواهد داشت. در واقع، Secure Endpoint لیستی از میزبانانی را که برای جلوگیری از سوءاستفاده در آینده باید وصله شوند، به مدیران ارایه میدهد.
Low prevalence
Secure Endpoint به طور خودکار فایلهای اجرایی را که در نقاط پایانی و به تعداد کم وجود دارد شناسایی کرده و برای کشف تهدیدات جدید، آنها را در sandbox مبتنی بر ابر شرکت سیسکو تجزیه و تحلیل میکند. بدافزارهای هدفمند یا تهدیدهای پیشرفته دائمی (APT) اغلب زیر رادار پرواز میکنند و فقط در چند نقطه پایانی شروع به فعالیت میکنند. اما، با همین شیوع کم نیز Secure Endpoint قادر است به طور خودکار آنها را شکار و کمک کند تا به راحتی 1٪ تهدیداتی که در شرایط عدم وجود AMP مورد توجه قرار نمیگرفتند را شناسایی نماییم.
شکار تهدیدات (Threat Hunting)
SecureX Threat Hunting یک رویکرد تحلیل محور فعالانه برای تشخیص تهدیدات پیشرفته پنهان میباشد. این قابلیت، منحصراً به عنوان بخشی مهم در لایسنس جدید Secure Endpoint ارائه میشود. این قابلیت به پاسخ دهندگان حادثه چگونگی جلوگیری از حمله، تکامل آن و اقدامات بعدی برای پاسخگویی را مشخص میکند. هدف این ماژول کشف و خنثیسازی حملات قبل از متحمل شدن صدمات جدی میباشد. به عنوان یک اثر جانبی، استفاده از امکان شکار تهدیدات به صورت منظم و مستمر، افزایش دانش سازمان را در مورد آسیب پذیریها و خطرات میباشد. که این امر باعث قویتر شدن محیط امنیتی آنها میشود.
SecureX Threat Hunting در اصل از تجربه و خبرگی تیم Talos و تیم تحقیق وتوسعه Cisco برای کمک به شناسایی تهدیدات موجود در محیط مشتری استفاده میکند. این فرایند از ترکیبی از فناوری جستجوی پیشرفته Orbital با تخصص شکارچیان تهدیدات، برای شناسایی فعالانه تهدیدات پیچیدهتر استفاده میکند.
رسیدگی (Response)
با توجه به این که تعداد و تنوع تهدیدات پیشرفته با هدف به اشتباه انداختن اقدامات پیشگیرانه افزایش یافته است. بنابراین، بایستی احتمالات مربوط به امکان نقض اقدامات پیشگیرانه نیز در بررسیهای امنیتی مدنظر قرار گیرد. بنابراین برای جواب به این طرز تفکر، بایستی علاوه بر ابزاهای بالا، مجموعهای از ابزار قدرتمند دیگری نیز برای کمک به شناسایی سریع و آسان نقاط انتهایی آلوده و درک دامنه حملات به کار گرفته شود. Secure Endpoint علاوه بر قابلیتهای پیشگیری و شناسایی خود، ابزارهای دیگری نیز برای مشاهده و پاسخگویی سریع و مستمر به تخلفات امنیتی در اختیار نقاط پایانی قرار میدهد.
Dashboards and inbox
در داشبورد مربوط به Secure Endpoint گزارشات فقط محدود به شمارش و جمع آوری رویدادها نمیشود. داشبوردهای عملیاتی که در Secure Endpoint تعبیه شدهاند علاوه بر اینکه امکان مدیریت ساده و پاسخ سریع را فراهم میکنند. بلکه رویدادها و نقاط پایانی را نیز بر اساس اولویت طبقهبندی کرده و آنها را در حین بررسیها به گردش کار مرتبط میکند.
Endpoint forensics
در فرآیند جمع آوری اطلاعات مربوط به حملات ابزارهای قدرتمندی مانند file trajectory و device trajectory از قابلیت تجزیه و تحلیل مداوم Secure Endpoint برای نشان دادن دامنه کامل تهدید استفاده میکنند. Secure Endpoint برای شناسایی آلودگی روز صفر و همچنین روش و نقطه ورود آلودگی، همه اطلاعات مربوط به برنامهها، فرآیندها و سیستمهای آسیب دیده را شناسایی و نگهداری میکند. این قابلیت کمک می کند تا با شناسایی دروازههای ورودی بدافزارها و مسیری که مهاجمان برای دستیابی به دیگر سیستمها استفاده می کنند، دامنه حملات به سرعت مشخص شود.
Dynamic analysis
Secure Endpoint به صورت buit-in دارای یک محیط امن Sandboxing است که توسط تیم Cisco Threat Grid طراحی شده است. وظیفه این ماژول تجزیه و تحلیل رفتار فایلهای مشکوک میباشد. تجزیه و تحلیل یک فایل، اطلاعات دقیقی در مورد شدت رفتار، نام اصلی، تاریخچه اجرایی و نمونهای از بستههای تولید شده توسط آن را در اختیار ما قرار میدهد. بنابراین، ما درک بهتری از اقدامات ضروری مورد نیاز برای مهار شیوع بدافزار و جلوگیری از حملات آینده خواهیم داشت.
Retrospective security
Secure Endpoint در واقع از یک تکنولوژی ثبت شده برای شناسایی تهدیدات پیشرفتهای که به محیط وارد شدهاند، استفاده میکند. Secure Endpoint با استفاده از نظارت مستمر، اطلاعات مربوط به تهدیدات جدید را با سوابق گذشته مرتبط کرده و از این طریق به طور خودکار فایلهای مشکوک را در لحظه شروع رفتارهای مخرب قرنطینه میکند. این پاسخ خودکار به تهدیدات از سرعت تکثیر بدافزارها تا حد زیادی میکاهد.
Command line visibility
امکان مشاهده آرگومانها و دستورات خط فرمان، بیشتر در تشخیص موارد استفاده از برنامههای قانونی، از جمله برنامههای کاربردی ویندوزی برای اهداف خرابکارانه کمک میکند. Secure Endpoint میتواند رفتارهایی مانند استفاده از vssadmin برای حذف نسخههای Shadow copy یا غیرفعال کردن Safe boot، بهره برداریهای مبتنی بر PowerShell، بالا بردن سطح مجوزها، تغییر در لیستهای کنترل دسترسی و تلاش برای ارزیابی و سرشماری سیستمها را که با استفاده از روشهای معمول به سختی قابل تشخیص هستند به راحتی شناسایی کند.
Endpoint isolation
ایزوله سازی نقاط پایانی آلوده برای جلوگیری از گسترش تهدیدات و برقراری ارتباط با سرور C&C خود و ایجاد امکان تبادل اطلاعات با منابع معتبر مانند ابر Secure Endpoint امری بسیار مهم و حیاتی است. ماژول ایزوله سازی Endpoint با قرار دادن منابع مورد اعتماد شبکه در لیست سفید، امکان ایزوله سازی یک نقطه پایانی آلوده را فراهم میکند. همچنین، نقطه پایانی میتواند با یک کلیک توسط مدیر یا با اجرای یک کد دستوری توسط کاربر از حالت ایزوله خارج شود.
Advanced search
Advanced Search یک قابلیت پیشرفته در Cisco Secure Endpoint است. که به منظور ساده سازی تحقیقات امنیتی و شکار تهدیدات با بیش از صد پرسوجوی از قبل طراحی شده میباشد. این ماژول این امکان را میدهد تا به سرعت پرسوجوهای پیچیدهای بر روی یک یا تمام نقاط پایانی اجرا کنیم. بنابراین، با داشتن نسخهای از وضعیت فعلی، میتوانیم دید عمیقتری نسبت به هر آنچه که در هر لحظه از زمان رخ میدهد، داشته باشیم. این که جستجوی شما به عنوان بخشی از پاسخ به حادثه، شکار تهدید، عملیات IT یا شناسایی آسیب پذیری و یا مسائل انطباقسنجی باشد، جستجوی پیشرفته سریعاً پاسخهای لازم و مورد نیاز در مورد نقاط نهایی را در اختیار شما قرار خواهد داد.
دیدگاهتان را بنویسید