پلتفرم سیسکو Stealthwatch چیست؟

شرکت Lancop در سال 2000 تاسیس و رفته رفته به یکی از رهبران تولید راهکارهای ترکیبی هوش امنیت و visibility در شبکه تبدیل شد. این شرکت با استفاده از راهکارهای خود، محافظت شبکه­‌های تجاری در برابر حملات روز دنیای سایبری را فراهم ساخت. پلتفرم پرچم‌دار این شرکت با نام Stealthwatch بوده؛ که از سال 2015 توسط شرکت سیسکو (Cisco) خریداری شده و با نام Cisco Stealthwatch شناخته می‌­شود. البته این دو شرکت پیش از این نیز همکاری نزدیکی با یکدیگر داشتند که این امر سبب یکپارچه­‌سازی هرچه بیشتر بر روی محصولات دو شرکت شد.
رمزنگاری یکی از اصول در مباحث امنیت است؛ اما همانطور که شما جهت محافظت و حفظ محرمانگی، داده­‌های خود را رمزنگاری می‌کنید، مهاجمین نیز جهت فرار از شناسایی شدن بدافزارهای خود توسط تجهیزات امنیتی شبکه، آن­ها را به صورت رمزنگاری شده ارسال می­‌کنند. براساس گزارشات شرکت NSS در حدود 75% از جریان­‌های داده­‌های شبکه­‌ای در سال 2019 به صورت رمزنگاری بوده و همچنین براساس گزارشات شرکت Gartner حدود 70% از حملات سایبری در این سال براساس ترافیک رمزنگاری بوده است. در سال 2016 محققین امنیتی شرکت سیسکو دریافتند که بدافزارها ردپاهای قابل شناسایی را حتی در حالت رمزنگاری شده از خود به جای می­‌گذارند. با توجه به توانایی­‌های تحلیلی و visibility در شبکه پلتفرم سیسکو Stealthwatch،  این محققین توانستند فناوری جدیدی را به نام Encrypted Traffic Analytics ایجاد کنند که بسیار در جهت شناسایی تهدیدات کمک می‌کند. با استفاده از توانایی تحلیلی افزوده این پلتفرم در کنار فناوری Machine Learning، پلتفرم سیسکو Stealthwatch توانایی بیشتری را جهت شناسایی تهدیدات و ایجاد الگو­ی رفتار­های غیرطبیعی بدست آورده است.
همچنین این پلتفرم می­‌تواند با متصل شدن به ساختار هوش تهدید شرکت سیسکو که با نام Talos معرفی می‌شود، دیگر الگوهای رفتاری بدافزارها را بدست آورده و براساس آن‌­ها پیش از رخ دادن مشکل، تهدیدات محیط داخلی شبکه را بررسی و موارد شناسایی شده را اعلام کند. همچنین این ساختار به دلیل عدم رمزگشایی ترافیک عبوری صرف نظر از سرعت بیشتر در شناسایی و عدم نیاز به منابع سخت­‌افزاری زیاد، محرمانگی اطلاعات عبوری را حفظ می‌کند.

سیسکو Stealthwatch چگونه عمل می­‌کند؟

هنگامی که پیرامون امنیت شبکه صبحت به میان می­‌آید، بسیاری از افراد در مورد ابزارها و کنترل­ کننده­‌هایی که امکان قرار دادن آن­ها در شبکه وجود دارد فکر می­‌کنند؛ که به صورت عمومی این موارد عبارت‌­اند از:

• فایروال­‌ها
• سیستم­‌های تشخیص و پیشگیری از نفوذ ( IDS/IPS )
• لیست­‌های کنترلی ( ACLs )
• سرویس­‌های کنترل ورود به شبکه ( NAC )
• آنتی ویروس‌­ها
• SIEM ها

با توجه به اینکه این ابزار دارای توانایی­‌های امنیتی مناسبند اما مواردی وجود دارد که این ابزار از شناسایی آن­ها ناتوان هستند. جهت اینکه بتوان بخش‌هایی از شبکه و زیرساخت‌­های امنیتی که تجهیزات یاد شده در آن­ها ضعف دارند را بهتر شناسایی کنیم، می‌­توانیم از پرسش‌­های زیر استفاده کنیم. این پرسش‌ها بخشی از مشکلات عمده کارشناسان امنیت را شامل می‌­شود:

• اگر کاربری در داخل شبکه نرم‌­افزارهای بررسی و شناسایی شبکه مانند Ping Sweep را در داخل Subnet خود راه­‌اندازی کند، چگونه امکان شناسایی آن را داریم؟
•  اگر کاربری حمله DDoS را در داخل شبکه و با استفاده از ترافیک‌­های سالم بر روی سرور انجام دهد، آیا امکان شناسایی آن برای شما وجود دارد؟
•  اگر کاربری اجازه دسترسی به سروری که دارای اطلاعات خصوصی سازمان یا کسب و کار است را داشته باشد و به صورت عمومی هر روز 10M از این اطلاعات را دانلود یا بارگذاری ­کند، به صورت ناگهانی روزی 100G اطلاعات را دانلود کند، چگونه شما متوجه خواهید شد که این کاربر رفتاری خارج از رفتار نرمال، انجام داده است؟ چگونه نشت اطلاعات پیرامون این وضعیت را متوجه و آن را رفع خواهید کرد؟
• اگر کاربری لپ‌تاپ کاری خود را به منزل برده و این لپ‌تاپ در هنگام کار در خارج از سازمان Worm دریافت کرده باشد؛ روز بعد هنگامی که کاربر به شبکه متصل شود Worm شروع به گسترش در شبکه خواهد کرد. اگر Signature و الگوی رفتار این Worm پیش از این شناسایی نشده باشد، چگونه شما امکان شناسایی Worm و سیستم‌­هایی که مصموم شده‌­اند را خواهید داشت؟
• اگر کاربری در حال دزدی اطلاعات و ارسال آن­ها به خارج از شبکه باشد؛ و جهت اینکه این ترافیک ارسالی به خارج از شبکه، قانونی جلوه کند از Tunnel بر روی پروتکل­‌ها یا پورت‌­های متفاوت و قانونی مانند پورت UDP/53 استفاده کند، چگونه شما متوجه خواهید شد؟
• چگونه وجود تهدید بدافزار در شبکه خود را بررسی می­‌کنید؟
• چگونه جریان ترافیکی داخل شبکه را بررسی می­‌کنید اگر تنها المان موجود برای شناسایی و تفکیک جریان­‌ها نام کاربری باشد؟
• در حال حاضر چگونه تهدیدات داخلی شبکه خود را بررسی یا شناسایی می‌کنید؟
• اگر در حال حاضر حمله به ساختار شبکه­‌ای شما انجام شود چه اطلاعاتی را جهت بررسی یا Forensic در اختیار دارید؟

زمانی که شما در مورد تهدیدات امنیتی به این صورت فکر ­کنید، به این نتیجه می‌­رسید که نیاز به پلتفرم یا سرویسی است که بتواند الگوی رفتاری جریان­‌های ترافیکی را ایجاد کند، رفتار جریان داده­‌ها را به صورت لحظه­‌ای مورد بررسی قرار دهد، اطلاعات بدست آمده را برای زمان طولانی ذخیره و در صورت شناسایی رفتار غیرطبیعی (Anomaly) فورا اعلام کند و در برخی موارد عملی را جهت پیشگیری از گسترش یا مسدودسازی آن انجام دهد. در این نقطه پلتفرم سیسکو Stealthwatch خودنمایی می­‌کند. این پلتفرم می‌­تواند ضعف وسعت دید و شناسایی (Visibility and Detection) تجهیزات کنترلی که در ساختار شبکه قرار گرفته­‌اند را پوشش داده و همچنین در تسریع پاسخ­گویی به حملات و تهدیدات، کمک فراوانی به کارشناسان امنیت دهد.
سیستم سیسکو Stealthwatch با استفاده از NetFlow ،IPFIX و انواع دیگر پروتکل­‌های سنجش جریان­‌های داده‌­ای و ترافیکی شبکه، می­‌تواند محدوده وسیعی از حملات و تهدیدات مانند ATPها، DDoS، حملات روز صفرم و دیگر بدافزارها را شناسایی کند. در حقیقت پلتفرم سیسکو Stealthwatch نوآوری بزرگی را در جهت شناسایی و مقابله با تهدیدات دنیای شبکه پایه­‌گذاری کرد؛ این پلتفرم به شما کمک می­‌کند تا تمامی Hostهای متصل به شبکه را شناسایی، تمامی صحبت‌های میان‌شان را رکورد و آماری از وضعیت نرمال شبکه ایجاد کنید؛ همچنین این پلتفرم هرگونه تغییرات در شبکه را به شما اطلاع داده و برای شما توانایی پاسخگویی سریع به تهدیدات را فراهم می‌­سازد.
 

پلتفرم سیسکو Stealthwatch اطلاعاتی که به آن telemetry نیز گفته می­‌شود را از تمامی شبکه جمع‌­آوری می­‌کند و سپس رفتار و ارتباط آن­ها را مورد بررسی قرار می‌­دهد. با این روش لاگ رخدادها و داده‌­ها ذخیره می‌­شود؛ که این امر یکی از ابزارهای مناسب جهت Forensic را در اختیار کارشناسان امنیت قرار می­‌دهد.

اجزای سیسکو Stealthwatch

با توجه به اینکه پلتفرم سیسکو StealthWatch نیاز به جمع‌­آوری داده­‌های مورد نیاز از سراسر شبکه دارد و این داده‌­ها جهت جمع­‌آوری انواع گوناگونی دارند، این پلتفرم نیاز به اجزای مختلفی جهت جمع‌­آوری و یکسان­‌سازی داده­‌های مورد نیاز دارد. این دیاگرام یک طراحی کلان از پلتفرم سیسکو Stealthwatch را به همراه اجزای آن نمایش داده است.

جهت راه­‌اندازی ساختار سیسکو Stealthwatch حداقل اجزای مورد نیاز Stealthwatch Management Console و Flow Collector است.

(Stealthwatch Management Console (SMC

پلتفرم Stealthwatch Management Console جهت مدیریت، بررسی وضعیت، شناسایی و انجام عملیات بر روی داده­‌های جمع‌­آوری شده توسط سنسور­های قرار گرفته در شبکه مورد استفاده قرار می‌گیرد. SMC می­‌تواند به صورت یک ماشین مجازی و یا فیزیکی راه‌­اندازی شود و قابلیت مدیریت تمامی ساختار و همچنین امکان یکپارچه­‌سازی با دیگر پلتفرم­‌ها را از طریق یک پنجره یا مرکز کنترل برای ما فراهم می­‌سازد. یکی از وظایف مهم SMC جلوگیری از نمایش تکراری اطلاعات است. با توجه به آنکه در ساختار سیسکو Stealthwatch سنسورهای مختلفی اطلاعات را از سراسر شبکه جمع‌آوری کرده و برای مرکز کنترل ارسال می‌کند و همچنین جریان ترافیکی در طول مسیر حرکت خود از چندین سنسور عبور می­‌کند، احتمال وجود لاگ تکراری بسیار زیاد است. SMC وظیفه جلوگیری از این رویداد را با استفاده از روش­‌های Deduplication دارد. این پلتفرم لاگ­‌های تکراری را حذف نمی­‌کند و تنها از نمایش تکراری آن­ها جلوگیری می­‌کند. SMC می‌تواند اطلاعات موردنیاز خود را از اجزای مختلفی مانند Flow Collectorها، فایروال­‌ها، پروکسی­‌های وب، IDS/IPSها، و سیستم‌­های NAC جمع­‌آوری کند. به صورت کلی SMC موارد زیر را انجام می­‌دهد:

• مدیریت داده‌­ها
• مختصات­‌دهی داده‌­ها
• پیکربندی داده‌­ها
• چیدمان قرارگیری داده‌­ها برای تمامی تجهیزات Stealthwatch
• عمیق شدن در رفتار غیرمعمول بر روی رکورد خاص

و همچنین SMC می‌­تواند ویژگی­‌های زیر را جهت استفاده کارشناسان امنیت فراهم سازد:

• رهگیری کاربران
• تحلیل ریشه مشکل در عیب‌­یابی
• ارتباط ­دهی Flowهای جمع­‌آوری شده
• NAT Stitching
• ایجاد داشبورد­های مورد نیاز
• ایجاد گزارشات مورد نیاز
• مسدود­سازی یا محدودسازی
• گزارشاتی براساس Top Nها
• تجزیه ترکیب ترافیک
• تصویرسازی پیشرفته جریان ترافیک
• مانیتورینگ­‌های جریان­‌های داخلی و خارجی
• تصویرسازی انتشار Wormها

Flow Collector

این جز از راهکار Stealthwatch وظیفه جمع­‌آوری و تحلیل داده‌­ها از زیرساخت شبکه موجود جهت تکمیل­ تصویری از تمامی رخدادهای محیط را برعهده دارد. Flow Collector که آن را به اختصار SFC نیز می­‌نامند به دو صورت مجازی و فیزیکی قابل پیاده­‌سازی است. برخی از ویژگی‌­های Flow Collector عبارت است از:

• ایجاد baseline برای تمامی ترافیک‌­های IP
• شناسایی Anomaly در جریان ترافیک
• شناسایی Anomaly در لایه 7
• شناسایی اشتراک­‌گذاری فایل­ میان کاربران نهایی
• پروفایل‌­سازی براساس Host و سرویس
• اولیت­‌بندی
• شناسایی سیستم­‌عامل­‌های مورد استفاده
• پشتبانی از شناسایی ترافیک براساس Applicationها
• پشتیبانی از شناسایی نرم‌­افزارهای شخصی‌­سازی شده
• شناسایی تکرار Flowها
• مانیتورینگ محیط­‌های مجازی
• رهگیری گروهی و ارائه گزارش
• بررسی پهنای باند مورد استفاده و ارائه گزارش
• مانیتورینگ کیفیت سرویس (QoS)
• بررسی توان عملیاتی در سطح Packet
• ایجاد اعلان براساس میزان مصرف Interface
• شناسایی دسترسی Hostهای غیرمجاز
• شناسایی دسترسی Web Serverهای غیرمجاز
• شناسایی عدم پیکربندی صحیح فایروال‌­ها
• شناسایی Worm
• شناسایی Botnet
• شناسایی DoS و DDoS ( براساس SYN ،ICMP یا UDP Flood )
• شناسایی حملات Fragmentation
• شناسایی انجام Scan در شبکه جهت جمع آوری اطلاعات (Recognition)
• شناسایی جا­به­‌جایی فایل­‌های حجیم

(Flow Sensor (FS

Flow Sensor وظیفه جمع‌­آوری داده­‌ها را با جزییات بیشتر از تجهیزاتی که امکان ارسال Flow را دارند، برعهده دارد. این پلتفرم می­‌تواند بسته­‌های داده را براساس Application ID ،Packet Header ،URL data و زمان پاسخگویی شبکه یا سرور مانیتور کند. همچنین این پلتفرم می­‌تواند داده­‌ها را از تجهیزاتی که امکان ارسال Flow را به تنهایی ندارند جمع­‌آوری کرده و براساس استاندارد موجود آن را برای Flow Collector ارسال کند. در مجموع Flow Sensor وظایف زیر را برای ما انجام می­‌دهد:

• شناسایی نرم­‌افزارها و پروتکل­‌ها صرف نظر از اینکه چگونه ارسال می­‌شوند:
•  Plain text
• Advanced encryption
• Obfuscation techniques
• جمع‌­آوری متریک­‌هایی در سطح Header بسته­‌هایی مانند HTTP/HTTPS و Payload آن­ها
• توانایی ایجاد NetFlow در محیط­‌هایی که امکان ارسال NetFlow را ندارند.

UDP Director

UDP Director یک تجهیز فیزیکی با توان عملیاتی بسیار بالا است؛ که وظیفه دریافت اطلاعات Flowها و لاگ­‌ها را از چندین محل مختلف دارد. این تجهیز پس از جمع‌­آوری داده‌­ها می‌­تواند آن­ها را در یک قالب واحد به یک یا چند مقصد متفاوت ارسال کند. به عنوان مثال شما نیاز دارید که داده‌­های NetFlow را به سمت LiveAction ،Stealthwatch ،SolarWinds و Prime Infrastructure ارسال کنید؛ در این حالت شما می‌­توانید چهار Exporter روی هر تجهیز زیرساختی تعریف نموده و با این ساختار پهنای باند و منابع زیادی از تجهیز و شبکه را مصرف کنید یا اینکه با استفاده از UDP Director یکبار داده­‌ها را جمع‌آوری و به هرتعداد مقصد که نیاز دارید ارسال کنید. به صورت خلاصه UDP Director می‌­تواند فرایند­های زیر را برای شما انجام دهد:

• ساده‌­سازی جمع­‌آوری داده‌­های شبکه­‌ای و امنیتی
• کاهش نقاط ضریب خطا (Single Point Of Failure) روی شبکه
• ایجاد یک نقطه مرکزی جهت ارسال تمامی داده­‌های UDP روی شبکه مانند NetFlow ،SNMP و Syslog
• کاهش ازدحام در شبکه جهت بهینه‌­سازی توان عملیاتی آن

(Stealthwatch Labs Intelligence Center (SLIC

این ویژگی یک لایسنس است که می‌­تواند امکان اتصال به هوش تهدیدی که وظیفه جمع­‌آوری اطلاعات تهدیدات و حملات از سراسر دنیا را برعهده دارد، را برای راهکار Stealthwatch فراهم سازد. این ویژگی یک لایه امنیتی بیشتر را جهت محافظت از دارایی­‌های سازمانی در برابر Botnetها، CnCها و حملات پیچیده دیگر فراهم می‌­سازد. به عبارت دیگر می‌­توان به آن به صورت یک Feed نگاه کرد که به صورت لحظه‌­ای در حال به‌­ روزرسانی است. این آگاهی از الگوهای رفتاری دیگر تهدیدات سبب می‌­شود تا کارشناسان امنیت پیش از رویداد خطر، پتانسیل­‌های آن را شناسایی و این تهدیدات را از میان بردارند.

ProxyWatch

این ویژگی نیز یک لایسنس بوده و زمانی مورد نیاز است که شما در داخل شبکه خود از ساختار Proxy استفاده می‌کنید. در این ساختار تمامی Hostها و کاربران درخواست­‌های خود را با آدرس‌های مختلف به سمت Proxy Server ارسال کرده و در نهایت Proxy Server وظیفه ارسال این درخواست‌­ها را با آدرس خود دارد. این ویژگی بسیار شبیه به NAT Stitching بوده و برای درخواست­‌های Proxy مورد استفاده قرار می­‌گیرد. این ویژگی امکان مرتبط­‌ سازی درخواست­‌ها قبل و بعد از Proxy Server را ایجاد ­می­‌کند؛ که در صورت عدم ایجاد این مرتبط­ سازی بخشی از رکوردها ناقص بوده و امکان تصمیم‌­گیری و رهگیری برای آن­ها فراهم نخواهد بود. به صورت کلی این لایسنس موارد زیر را برای ما فراهم می­‌سازد:

• افزایش visibility در بخش­‌هایی از شبکه که نیاز به تغییر آدرس وجود دارد.
• اضافه نمودن Contextهای بیشتر پیرامون نقاط نهایی شبکه
• رهگیری Flowها از مبدا اصلی تا مقصد نهایی

مزایای استفاده از سیسکو Stealthwatch

ویژگی که در آن پلتفرم سیسکو Stealthwatch می­‌تواند سرویس­‌های امنیتی دیگر را به چالش بکشد و شکست دهد، بخش visibility و میزان عمق آن در شبکه و رایانش­‌های ابری است. با استفاده از این فناوری، سطح visibility بر روی جریان­‌های ترافیکی شبکه و رایانش ابری بسیار افزایش یافته و همچنین شما در کمتر از یک دقیقه می‌­توانید وضعیت، رفتار و چگونگی عبور داد‌ه‌­ها را بررسی کنید. با توجه به پیشرفت زمان و استفاده روزافزون از ساختارهای شبکه‌ای، تجهیزات بسیاری به شبکه داخلی یا شبکه رایانش ابری شما متصل خواهد شد که شناسایی تک تک این تجهیزات به روش­‌های سنتی غیرممکن است، به همین علت این پلتفرم یک ابزار بسیار مناسب بوده که می‌­تواند شبکه سازمان و کسب و کار شما را به بالاترین سطح از امنیت برساند. از مزایای و ارزش‌­های افزوده این ساختار می‌­توان به صورت خلاصه به موارد زیر اشاره کرد:

• یکپارچه‌­سازی با پلتفرم Cisco Identity Service Engine) ISE) که امکان جمع­‌آوری اطلاعات پیرامون Endpointها، کاربرانی که از آن­ها استفاده می­‌کنند و همچنین امکان مسدود سازی آن­ها در صورت انجام رفتار غیرطبیعی
• امکان ایجاد visibility بر روی تمامی ارتباطات شبکه­‌ای، شامل جریان­‌های شرق/غرب و شمال/جنوب
• ساده­‌سازی بسیار مناسب در تقسیم‌­بندی شبکه، مانیتورینگ توان عملیاتی و محاسبه ظرفیت شبکه
• هدایت تحلیل­‌های امنیتی پیشرفته و بدست آوردن اطلاعات بسیار عمیق از داده‌­های عبوری جهت شناسایی رفتارهای طبیعی و غیرطبیعی
• تسریع و بهبود در روند شناسایی تهدیدات، Forensic و پاسخگویی به Incidentها در سراسر زیرساخت شبکه و حتی بر روی جریان­‌های ترافیکی رمزنگاری شده
• ایجاد اطمینان از سازگاری تجهیزات و سرویس‌­دهنده‌­های موجود در شبکه با سیاست­‌های امنیتی سازمانی
• ایجاد امکان بررسی Forensic به صورت کاملا عمیق به همراه تاریخچه کاملی از جریان‌­های ترافیکی
• شناسایی تهدیدات داخلی با جمع‌­آوری اطلاعات متنی از داخل شبکه­‌های رایانش ابری