4.5/2
پلتفرم Cisco Stealthwatch چیست؟ سیسکو Stealthwatch نوآوری بزرگی را در جهت شناسایی و مقابله با تهدیدات دنیای شبکه پایهگذاری کرده است و میتواند ضعف وسعت دید و شناسایی تجهیزات کنترلی موجود در ساختار شبکه را پوشش داده و همچنین در تسریع پاسخگویی به حملات و تهدیدات، کمک فراوانی به کارشناسان امنیت دهد.
رایگان
شرکت Lancop در سال 2000 تاسیس و رفته رفته به یکی از رهبران تولید راهکارهای ترکیبی هوش امنیت و visibility در شبکه تبدیل شد. این شرکت با استفاده از راهکارهای خود، محافظت شبکههای تجاری در برابر حملات روز دنیای سایبری را فراهم ساخت. پلتفرم پرچمدار این شرکت با نام Stealthwatch بوده؛ که از سال 2015 توسط شرکت سیسکو (Cisco) خریداری شده و با نام Cisco Stealthwatch شناخته میشود. البته این دو شرکت پیش از این نیز همکاری نزدیکی با یکدیگر داشتند که این امر سبب یکپارچهسازی هرچه بیشتر بر روی محصولات دو شرکت شد.
رمزنگاری یکی از اصول در مباحث امنیت است؛ اما همانطور که شما جهت محافظت و حفظ محرمانگی، دادههای خود را رمزنگاری میکنید، مهاجمین نیز جهت فرار از شناسایی شدن بدافزارهای خود توسط تجهیزات امنیتی شبکه، آنها را به صورت رمزنگاری شده ارسال میکنند. براساس گزارشات شرکت NSS در حدود 75% از جریانهای دادههای شبکهای در سال 2019 به صورت رمزنگاری بوده و همچنین براساس گزارشات شرکت Gartner حدود 70% از حملات سایبری در این سال براساس ترافیک رمزنگاری بوده است. در سال 2016 محققین امنیتی شرکت سیسکو دریافتند که بدافزارها ردپاهای قابل شناسایی را حتی در حالت رمزنگاری شده از خود به جای میگذارند. با توجه به تواناییهای تحلیلی و visibility در شبکه پلتفرم سیسکو Stealthwatch، این محققین توانستند فناوری جدیدی را به نام Encrypted Traffic Analytics ایجاد کنند که بسیار در جهت شناسایی تهدیدات کمک میکند. با استفاده از توانایی تحلیلی افزوده این پلتفرم در کنار فناوری Machine Learning، پلتفرم سیسکو Stealthwatch توانایی بیشتری را جهت شناسایی تهدیدات و ایجاد الگوی رفتارهای غیرطبیعی بدست آورده است.
همچنین این پلتفرم میتواند با متصل شدن به ساختار هوش تهدید شرکت سیسکو که با نام Talos معرفی میشود، دیگر الگوهای رفتاری بدافزارها را بدست آورده و براساس آنها پیش از رخ دادن مشکل، تهدیدات محیط داخلی شبکه را بررسی و موارد شناسایی شده را اعلام کند. همچنین این ساختار به دلیل عدم رمزگشایی ترافیک عبوری صرف نظر از سرعت بیشتر در شناسایی و عدم نیاز به منابع سختافزاری زیاد، محرمانگی اطلاعات عبوری را حفظ میکند.
هنگامی که پیرامون امنیت شبکه صبحت به میان میآید، بسیاری از افراد در مورد ابزارها و کنترل کنندههایی که امکان قرار دادن آنها در شبکه وجود دارد فکر میکنند؛ که به صورت عمومی این موارد عبارتاند از:
با توجه به اینکه این ابزار دارای تواناییهای امنیتی مناسبند اما مواردی وجود دارد که این ابزار از شناسایی آنها ناتوان هستند. جهت اینکه بتوان بخشهایی از شبکه و زیرساختهای امنیتی که تجهیزات یاد شده در آنها ضعف دارند را بهتر شناسایی کنیم، میتوانیم از پرسشهای زیر استفاده کنیم. این پرسشها بخشی از مشکلات عمده کارشناسان امنیت را شامل میشود:
زمانی که شما در مورد تهدیدات امنیتی به این صورت فکر کنید، به این نتیجه میرسید که نیاز به پلتفرم یا سرویسی است که بتواند الگوی رفتاری جریانهای ترافیکی را ایجاد کند، رفتار جریان دادهها را به صورت لحظهای مورد بررسی قرار دهد، اطلاعات بدست آمده را برای زمان طولانی ذخیره و در صورت شناسایی رفتار غیرطبیعی (Anomaly) فورا اعلام کند و در برخی موارد عملی را جهت پیشگیری از گسترش یا مسدودسازی آن انجام دهد. در این نقطه پلتفرم سیسکو Stealthwatch خودنمایی میکند. این پلتفرم میتواند ضعف وسعت دید و شناسایی (Visibility and Detection) تجهیزات کنترلی که در ساختار شبکه قرار گرفتهاند را پوشش داده و همچنین در تسریع پاسخگویی به حملات و تهدیدات، کمک فراوانی به کارشناسان امنیت دهد.
سیستم سیسکو Stealthwatch با استفاده از NetFlow ،IPFIX و انواع دیگر پروتکلهای سنجش جریانهای دادهای و ترافیکی شبکه، میتواند محدوده وسیعی از حملات و تهدیدات مانند ATPها، DDoS، حملات روز صفرم و دیگر بدافزارها را شناسایی کند. در حقیقت پلتفرم سیسکو Stealthwatch نوآوری بزرگی را در جهت شناسایی و مقابله با تهدیدات دنیای شبکه پایهگذاری کرد؛ این پلتفرم به شما کمک میکند تا تمامی Hostهای متصل به شبکه را شناسایی، تمامی صحبتهای میانشان را رکورد و آماری از وضعیت نرمال شبکه ایجاد کنید؛ همچنین این پلتفرم هرگونه تغییرات در شبکه را به شما اطلاع داده و برای شما توانایی پاسخگویی سریع به تهدیدات را فراهم میسازد.
پلتفرم سیسکو Stealthwatch اطلاعاتی که به آن telemetry نیز گفته میشود را از تمامی شبکه جمعآوری میکند و سپس رفتار و ارتباط آنها را مورد بررسی قرار میدهد. با این روش لاگ رخدادها و دادهها ذخیره میشود؛ که این امر یکی از ابزارهای مناسب جهت Forensic را در اختیار کارشناسان امنیت قرار میدهد.
با توجه به اینکه پلتفرم سیسکو StealthWatch نیاز به جمعآوری دادههای مورد نیاز از سراسر شبکه دارد و این دادهها جهت جمعآوری انواع گوناگونی دارند، این پلتفرم نیاز به اجزای مختلفی جهت جمعآوری و یکسانسازی دادههای مورد نیاز دارد. این دیاگرام یک طراحی کلان از پلتفرم سیسکو Stealthwatch را به همراه اجزای آن نمایش داده است.
جهت راهاندازی ساختار سیسکو Stealthwatch حداقل اجزای مورد نیاز Stealthwatch Management Console و Flow Collector است.
پلتفرم Stealthwatch Management Console جهت مدیریت، بررسی وضعیت، شناسایی و انجام عملیات بر روی دادههای جمعآوری شده توسط سنسورهای قرار گرفته در شبکه مورد استفاده قرار میگیرد. SMC میتواند به صورت یک ماشین مجازی و یا فیزیکی راهاندازی شود و قابلیت مدیریت تمامی ساختار و همچنین امکان یکپارچهسازی با دیگر پلتفرمها را از طریق یک پنجره یا مرکز کنترل برای ما فراهم میسازد. یکی از وظایف مهم SMC جلوگیری از نمایش تکراری اطلاعات است. با توجه به آنکه در ساختار سیسکو Stealthwatch سنسورهای مختلفی اطلاعات را از سراسر شبکه جمعآوری کرده و برای مرکز کنترل ارسال میکند و همچنین جریان ترافیکی در طول مسیر حرکت خود از چندین سنسور عبور میکند، احتمال وجود لاگ تکراری بسیار زیاد است. SMC وظیفه جلوگیری از این رویداد را با استفاده از روشهای Deduplication دارد. این پلتفرم لاگهای تکراری را حذف نمیکند و تنها از نمایش تکراری آنها جلوگیری میکند. SMC میتواند اطلاعات موردنیاز خود را از اجزای مختلفی مانند Flow Collectorها، فایروالها، پروکسیهای وب، IDS/IPSها، و سیستمهای NAC جمعآوری کند. به صورت کلی SMC موارد زیر را انجام میدهد:
و همچنین SMC میتواند ویژگیهای زیر را جهت استفاده کارشناسان امنیت فراهم سازد:
این جز از راهکار Stealthwatch وظیفه جمعآوری و تحلیل دادهها از زیرساخت شبکه موجود جهت تکمیل تصویری از تمامی رخدادهای محیط را برعهده دارد. Flow Collector که آن را به اختصار SFC نیز مینامند به دو صورت مجازی و فیزیکی قابل پیادهسازی است. برخی از ویژگیهای Flow Collector عبارت است از:
Flow Sensor وظیفه جمعآوری دادهها را با جزییات بیشتر از تجهیزاتی که امکان ارسال Flow را دارند، برعهده دارد. این پلتفرم میتواند بستههای داده را براساس Application ID ،Packet Header ،URL data و زمان پاسخگویی شبکه یا سرور مانیتور کند. همچنین این پلتفرم میتواند دادهها را از تجهیزاتی که امکان ارسال Flow را به تنهایی ندارند جمعآوری کرده و براساس استاندارد موجود آن را برای Flow Collector ارسال کند. در مجموع Flow Sensor وظایف زیر را برای ما انجام میدهد:
UDP Director یک تجهیز فیزیکی با توان عملیاتی بسیار بالا است؛ که وظیفه دریافت اطلاعات Flowها و لاگها را از چندین محل مختلف دارد. این تجهیز پس از جمعآوری دادهها میتواند آنها را در یک قالب واحد به یک یا چند مقصد متفاوت ارسال کند. به عنوان مثال شما نیاز دارید که دادههای NetFlow را به سمت LiveAction ،Stealthwatch ،SolarWinds و Prime Infrastructure ارسال کنید؛ در این حالت شما میتوانید چهار Exporter روی هر تجهیز زیرساختی تعریف نموده و با این ساختار پهنای باند و منابع زیادی از تجهیز و شبکه را مصرف کنید یا اینکه با استفاده از UDP Director یکبار دادهها را جمعآوری و به هرتعداد مقصد که نیاز دارید ارسال کنید. به صورت خلاصه UDP Director میتواند فرایندهای زیر را برای شما انجام دهد:
این ویژگی یک لایسنس است که میتواند امکان اتصال به هوش تهدیدی که وظیفه جمعآوری اطلاعات تهدیدات و حملات از سراسر دنیا را برعهده دارد، را برای راهکار Stealthwatch فراهم سازد. این ویژگی یک لایه امنیتی بیشتر را جهت محافظت از داراییهای سازمانی در برابر Botnetها، CnCها و حملات پیچیده دیگر فراهم میسازد. به عبارت دیگر میتوان به آن به صورت یک Feed نگاه کرد که به صورت لحظهای در حال به روزرسانی است. این آگاهی از الگوهای رفتاری دیگر تهدیدات سبب میشود تا کارشناسان امنیت پیش از رویداد خطر، پتانسیلهای آن را شناسایی و این تهدیدات را از میان بردارند.
این ویژگی نیز یک لایسنس بوده و زمانی مورد نیاز است که شما در داخل شبکه خود از ساختار Proxy استفاده میکنید. در این ساختار تمامی Hostها و کاربران درخواستهای خود را با آدرسهای مختلف به سمت Proxy Server ارسال کرده و در نهایت Proxy Server وظیفه ارسال این درخواستها را با آدرس خود دارد. این ویژگی بسیار شبیه به NAT Stitching بوده و برای درخواستهای Proxy مورد استفاده قرار میگیرد. این ویژگی امکان مرتبط سازی درخواستها قبل و بعد از Proxy Server را ایجاد میکند؛ که در صورت عدم ایجاد این مرتبط سازی بخشی از رکوردها ناقص بوده و امکان تصمیمگیری و رهگیری برای آنها فراهم نخواهد بود. به صورت کلی این لایسنس موارد زیر را برای ما فراهم میسازد:
ویژگی که در آن پلتفرم سیسکو Stealthwatch میتواند سرویسهای امنیتی دیگر را به چالش بکشد و شکست دهد، بخش visibility و میزان عمق آن در شبکه و رایانشهای ابری است. با استفاده از این فناوری، سطح visibility بر روی جریانهای ترافیکی شبکه و رایانش ابری بسیار افزایش یافته و همچنین شما در کمتر از یک دقیقه میتوانید وضعیت، رفتار و چگونگی عبور دادهها را بررسی کنید. با توجه به پیشرفت زمان و استفاده روزافزون از ساختارهای شبکهای، تجهیزات بسیاری به شبکه داخلی یا شبکه رایانش ابری شما متصل خواهد شد که شناسایی تک تک این تجهیزات به روشهای سنتی غیرممکن است، به همین علت این پلتفرم یک ابزار بسیار مناسب بوده که میتواند شبکه سازمان و کسب و کار شما را به بالاترین سطح از امنیت برساند. از مزایای و ارزشهای افزوده این ساختار میتوان به صورت خلاصه به موارد زیر اشاره کرد:
نظرات کاربران: