بررسی Cisco WSA

Cisco payehrizan - پایه ریزان

تجهیزات امنیت شبکه ی سیسکو


در جهان شبکه ای و پر تغییر و اتصال ما، وجود تهدیدات پیچیده، بهره گیری از ترکیب مناسبی از راهکارهای امنیت را ایجاب می کنند. سیسکو با حفاظت و کنترل کامل و نیازهای مربوط به ارزش سرمایه گذاری، امنیت تمامی لایه های زیرساخت شبکه را فراهم می کند. همچنین همراه با هوش آمیز تهدید جهانی ناشی از بازار، مجموعه ی گسترده ای از گزینه های گسترش امنیت شبکه در صنعت را نیز ارائه می کنیم. تجهیزات امنیت شبکه ی سیسکو ( به اختصار WSA) توسط تجهیزات اختصاصی و پربازده کار پیاده سازی امنیت را تسهیل می کند. علاوه بر این کسب و کارها با استفاده از تجهیزات مجازی امنیت شبکه ی سیسکو ( WSAV) در هر زمان و هرمکانی که نیاز باشد، از امنیت شبکه بهره مند شوند.

مقدمه

تجهیزات امنیت شبکه ی سیسکو اولین درگاه امن شبکه بوده که با ترکیب روش های حفاظتی می تواند به سازمان ها جهت رسیدگی به چالش های رو به رشد مربوط به امن سازی و کنترل ترافیک شبکه کمک کند. تمامی موارد ذیل را می توانید در تنها یک پلتفرم در اختیار داشته باشید: حفاظت پیشرفته در برابر بد افزارها، کنترل امکان دیدن نرم افزارها، کنترل استفاده از مقررات قابل قبول، گزارش گیری واضع و گشت و گذار آزاد و امن.
با کمک تجهیزات امنیت شبکه سیسکو می توان به صورت ساده تر، سریع تر، با نیاز کمتر به تعمیر و نگهداری، با نهفتگی و هزینه ی عملیاتی کمتر به امنیت شبکه دست یافت. فناوری موسوم به “Set and forget” پس از شروع به کار کردن تنظیمات سیاست های اولیه ی خودکار و اعمال شدن به روز رسانی های امنیتی به صورت خودکار در دستگاه های شبکه که در هر ۳ تا ۵ دقیقه انجام می شوند، انرژی کمتری را از نیروهای انسانی می گیرد. با کمک گزینه های گسترش (deployment) سریع و امکان یکپارچه سازی در زیرساخت شبکه ای موجود تان می توانید نیازهای امنیتی تان که با سرعت در حال رشد هستند را برطرف کنید.

تجهیزات مجازی

با رشد بیش از پیش رسانه های ویدئویی و رسانه های پرمحتوای دیگر، پیش بینی ترافیک شبکه سخت تر شده و به دنبال آن عملکرد کاهش یافته است.
با توجه به مشکلاتی از این دست، مدیران مخصوصا مدیران سازمان های چند ملیتی حین خرید و راه اندازی سخت افزار، چالش های راه اندازی از راه دور، عوارض گمرکی و دیگر مشکلات لجستیکی شاهد تاخیر زیادی بین آغاز و اجرای فرایند خود هستند.
تجهیزات مجازی سیسکو با فراهم کردن امکان ایجاد نمونه های امنیتی در هر مکان و زمان مورد نیاز، تا حد زیادی هزینه گسترش امنیت شبکه را به ویژه در شبکه هایی که بسیار گسترش یافته هستند را کاهش می دهد. Cisco WSAV نسخه ای نرم افزاری از Cisco WSA بوده که تحت کنترل سرورهای سیستم محاسبه متحد (UCS) سیسکو و VMware ESXi hypervisor اجرا می شود. مشتریان در صورت خرید یکی از محصولات امنیت شبکه ی سیسکو، لایسنس نامحدود تجهیزات مجازی سیسکو را دریافت می کنند.
مدیران با کمک تجیزات مجازی سیسکو می توانند به سرعت به افزایش بیش از حد ترافیک پاسخ داده و برنامه ریزی ظرفیت را حذف کنند. نیازی به خرید و بار زدن این محصولات نیست، بدون آن که نیاز باشد پیچیدگی دیتاسنتر را افزایش دهید و یا کارکنان بیشتری را استخدام کنید، می توانید موقعیت های تجاری بیشتری را شاهد باشید.

ویژگی ها و فواید

هوش امنیتی Talos ء (Talos Security Intelligence)
با کمک بزرگ ترین شبکه ی شناسایی تهدیدات در جهان با پهناورترین قابلیت دید و بزرگترین ردپا به سرعت و به صورت جامع حفاظت از شبکه را دریافت کنید. این موارد را در زیر می توانید مشاهده کنید.
● ۱۰۰ ترابایت هوش امنیتی در روز
● ۱٫۶ میلیون از دستگاه های امنیتی گسترش یافته از جمله فایروال، IPS، شبکه و تجهیزات ایمیلی
● ۱۵۰ میلیون نقطه ی پایان (endpoint)
● ۱۳ میلیارد درخواست شبکه در روز
● ۳۵ درصد ترافیک ایمیل شرکتی جهان
Cisco SIO و Sourcefire دو سرویس شناسایی تهدید مجزا در cloud هستند که ترکیب این دو به Talos منجر می شود. با کمک این سیستم می توان به صورت ۲۴ ساعته و در ۷ روز هفته جهت تحلیل انحرافات، شناسایی تهدیدهای جدید و نظارت بر روند ترافیک، فعالیت ترافیک جهانی را زیر نظر گرفت. تالوس با تولید پیوسته ی قوانین جدیدی که هر ۳ تا ۵ دقیقه، بروز رسانی ها را به تجهیزات امنیت شبکه تزریق می کند از حملات لحظات بحرانی (zero hour) جلوگیری می کند تا صنایع پیشرو در مقابله با تهدیدات ساعت ها و حتی روزها از رقیبان خود پیش بیفتند.


کنترل بهره گیری از شبکه در سیسکو (Cisco Web Usage Controls)
جهت کاهش خطرات حقوقی مسئولیتی و بهره وری، فیلتر سنتی URL را با تحلیل پویای محتوا ترکیب کنید. سیسکو با به روز رسانی پیوسته دیتابیس فیلترسازی URL تا بیش از ۵۰ میلیون وب سایت های بلاک شده، وب سایت های معروف را به صورت باورنکردنی پوشش داده و موتور تحلیل پویای محتوا (DCA) در آن، به صورت دقیق ۹۰ درصد از URL های ناشناس را به صورت بی درنگ شناسایی می کند. این موتور، متن را اسکن کرده، به این متن از نظر ارتباط نمره می دهد، model document proximity را محاسبه می کند و نزدیک ترین دسته پیدا شده را برگشت می دهد. مدیران نیز می توانند برای بررسی Intelligent HTTPS ها ، دسته های خاصی را انتخاب کنند.


حفاظت در برابر بدافزارها به صورت پیشرفته (Advanced Malware Protection)
این ویژگی (AMP) ویژگی دیگری است که در اختیار تمامی مشتریان تجهیزات امنیت شبکه ی سیسکو قرار دارد. AMP یک راهکار جامع جهت غلبه بر بدافزارها بوده که با کمک آن می توان بدافزارها را شناسایی و بلاک کرد، به صورت پیوسته به تحلیل پرداخت و از هشداردهی بازنگرانه بهره برد. این ویژگی از شبکه های گسترده ی ابری هوش امنیتی سیسکو و Sourcefire ( بخش جدیدی از سیسکو) بهره می برد. این ویژگی شناسایی بدافزار و قابلیت مسدود کردن که در حال حاضر در تجهیزات سیسکو وجود دارند را با قابلیت های بهبود یافته ی شهرت فایل (file reputation) ، گزارش دهی کامل رفتار فایل، تحلیل پیوسته فایل و هشداردهی بازنگرانه تصمیمی ( verdict) ترکیب می کند. امکان جدیدی که برای مشتریان اضافه شده است این است که مشتریان حالا دیگر می توانند علاوه بر فایل های EXE موجود در اولین انتشار AMP ، به فایل های مایکروسافت آفیس و sandbox PDF نیز دسترسی داشته باشند. چهار لایه ی نظارت بر ترافیک به صورت پیوسته فعالیت را زیر نظر دارند و ارتباطات جاسوسی بین گوشی- خانه را شناسایی و مسدود می کنند. این لایه ها با ردیابی تمامی نرم افزارهای شبکه ای، به صورت موثر ، بدافزارهایی که قصد نفوذ به امنیت شبکه دارند را متوقف می کنند. این لایه ها به صورت دینامیکی آدرس های IP دامنه های شناخته شده بدافزارها را به لیست مربوط به مسدودسازی نهادهای آلوده خود اضافه می کنند.


مشهود بودن برنامه و کنترل آن (Application Visibility and Control (AVC))
به راحتی استفاده از صدها نرم افزار تحت web 2.0 و بیش از ۱۵۰۰۰۰ ریز نرم افزار را کنترل کنید. کنترل دانه ای سیاست ها (granular policy control) این امکان را به مدیران می دهد تا به کاربران خود اجازه بهره گیری از نرم افزارهایی مانند دراپ باکس یا فیس بوک را بدهند و در عین حال آن ها را از انجام فعالیت هایی مانند آپلود کردن اسناد یا کلیک کردن بر روی دکمه “لایک” منع کنند. تجهیزات امنیت شبکه در سرتاسر شبکه از مشهود بودن (visibility) فعالیت ها پشتیبانی می کنند. قابلیت جدید : مشتریان می توانند به ازای هر کاربر، هر گروه و هر سیاست سهمیه های زمانی و پهنای باند اختصاصی را گسترش دهند.


جلوگیری از هدر رفت داده (Data Loss Prevention (DLP))
با ایجاد قوانین مبتنی بر زمینه برای جلوگیری از هدر رفت داده ها، از برون رفت داده های محرمانه از شبکه جلوگیری کنید. تجهیزات امنیت شبکه ی سیسکو برای یکپارچه شدن با راهکارهای DLP شخص ثالث در راستای نظارت عمیق بر محتوا و اجرای سیاست های DLP از پروتکل اتخاذ محتوا از اینترنت (Internet Content Adaptation Protocol به اختصار ICAP) بهره می برند.


حفاظت از کاربران در حال فراگردی (Roaming-User Protection)
تجهیزات امنیت شبکه ی سیسکو از کاربران در حال فراگردی حفاظت می کنند به این صورت که با یکپارچه شدن در Cisco AnyConnect Secure Mobility Client که با آغاز سازی تونل های VPN که وظیفه ی هدایت ترافیک به راهکارهای مقدماتی ( on-premises) را برعهده دارند، برای مشتریان از راه دور امنیت شبکه را تامین می کنند. Cisco AnyConnect قبل از صدور اجازه دسترسی، به صورت بی درنگ ترافیک را تحلیل می کند. قابلیت جدید: انتشار پیش نمایش Cisco Identity Services Engine (ISE) Integration . مشتریان پس از این ارتقای هیجان انگیز می توانند پیش نمایش یکپارچه شدن Cisco WSA در Cisco ISE را مشاهده کنند. یکپارچه سازی cisco ISE این امکان را به مدیران (ادمین ها) می دهد تا بر اساس اطلاعات عضویتی یا پروفایلی گردآوری شده توسط Cisco ISE ، سیاست هایی را در Cisco WSA ایجاد کنند.


مدیریت و گزارش دهی مرکزی (Centralized Management and Reporting)
در سراسر تهدیدها، داده ها و نرم افزارها، اطلاعاتی کاربردی را دریافت کنید. با کمک ابزارهای مدیریت متمرکز موجود در تجهیزات امنیت شبکه ی سیسکو می توانید به راحتی عملیات ها را کنترل، سیاست ها را مدیریت کنید و گزارشات را مشاهده کنید.
سری M تجهیزات مدیریت امنیت محتوای سیسکو در تجهیزات واقع در مکان های مختلف مانند نمونه های مجازی ( virtual instances) امکان مدیریت و گزارش گیری متمرکز را فراهم می کنند. همچنین این تجهیزات برای مقیاس پذیری و انعطاف پذیری بیشتر از نرم افزار اختصاصی Splunk بهره می برند که رابط این نرم افزار مانند تجهیزات گزارش گیری می باشد.


اجرای منعطف (Flexible Deployment)
تمامی ویژگی های تجهیزات مجازی سیسکو با WSA برابری می کنند با این تفاوت که تجهیزات مجازی دردسر کمتری داشته و مقرون به صرفه تر هستند. کسب و کارها با دریافت لایسنس Cisco WSAV و به کارگیری این لایسنس در یک فایل مجازی WSAV ذخیره شده در حافظه ی محلی می توانند بدون اتصال به اینترنت، درگاه های مجازی امنیت شبکه را گسترش دهند.در صورت نیاز برای گسترش سریع درگاه های امنیت شبکه متعدد می توان image های مجازی آن را کپی کرد.
ماشین های سخت افزاری و مجازی را طی یک عمل گسترشی اجرا کنید. شرکت های کوچک و یا مکان های دور افتاده بدون نیاز به راه اندازی و پشتیبانی سخت افزار در آن محل می توانند از طریق تجهیزات امنیت شبکه ی Cisco از محافظت یکسانی بهره مند شوند. با استفاده از سری M تجهیزات مدیریت امنیت محتوا به راحتی می توان به صورت اختصاصی امور گسترش را مدیریت کرد.

گسترش

تجهیزات امنیت شبکه ی سیسکو، پروکسی های مستقیمی هستند که می توانند به صورت مستقیم (پروکسی با فایل های پیکربندی خودکار، شناسایی خودکار پروکسی شبکه (WPAD)، تنظیمات مرورگر) و یا به صورت شفاف (پروتکل ارتباطی حافظه ی پنهان شبکه (WCCP)، فراگردی مبتنی بر سیاست (PBR)، متعادل کننده های بارگیری) گسترش پیدا کنند. دستگاه هایی که دارای قابلیت WCCP هستند می توانند ترافیک شبکه را به تجهیزات امنیت شبکه ی سیسکو مجددا به جریان بیاندازند. از جمله این دستگاه ها می توان به Cisco Catalyst® ۶۰۰۰ Series Switches, Cisco ASR 1000 Series Aggregation Services Routers, Cisco Integrated Services Routers, و Cisco ASA 5500-X Series Next-Generation Firewalls اشاره کرد.
تجهیزات امنیت شبکه ی سیسکو برای دریافت قابلیت های بیشتر مانند جلوگیری از هدر رفت داده ها، امنیت کاربران تلفن همراه و قابلیت دید پیشرفته و کنترل آن به جای ترافیک های HTTP از HTTPS ، SOCKS ، FTP بومی و FTP استفاده می کند.

لایسنس

لایسنس تجهیزات مجازی امنیت شبکه سیسکو در تمامی بسته های نرم افزاری امنیت شبکه ی سیسکو (Cisco Web Security Essentials, Cisco Web Security Antimalware, و Cisco Web Security Premium) لحاظ شده است. شرایط این لایسنس با شرایط خدمات دیگر نرم افزارهای موجود در این بسته ی نرم افزاری یکسان است و به هر تعداد که نیاز باشد می توان از آن در دستگاه های مجازی استفاده کرد.
لایسنس اشتراکی بر اساس زمان
زمان این لایسنس ها ۱ ، ۳ و یا ۵ سال است.

لایسنس اشتراکی بر اساس تعداد
پرتفولیوی امنیت شبکه ی سیسکو بر اساس محدوده ی کاربران و نه دستگاه ها از قیمت گذاری لایه ای استفاده می کند. نمایندگان و همکاران فروش ما می توانند به مشتریان در تعیین اندازه و مقدار مناسب گسترش دستگاه ها کمک کنند.
لایسنس های نرم افزارهای امنیت شبکه
چهار لایسنس نرم افزار امنیت شبکه موجود است که عبارتند از : Cisco Web Security Essentials, Cisco Anti-Malware, Cisco Web Security Premium, و McAfee Anti-Malware. مولفه های اصلی هر یک از این نرم افزارها را می توانید در زیر مشاهده کنید:
نرم افزار Cisco Web Security Essentials
● هوش های تهدیدآمیز از طریق Talos
● چهار لایه از نظارت ترافیکی
● دید نرم افزار و کنترل آن (AVC)
● مدیریت سیاست
● گزارش گیری کاربردی
● فیلتر سازی URL
● یکپارچه سازی DLP سوم شخص از طریق ICAP

نرم افزار Cisco Anti-Malware
● اسکن بی درنگ بدافزارها
نرم افزار Cisco Web Security Premium
● الزامات امنیت شبکه
● اسکن بی درنگ بدافزارها
نرم افزار McAfee Anti-Malware
● اسکن بی درنگ بدافزارها که به صورت یک لایسنس جداگانه و تنها موجود است.

قرارداد لایسنس نرم افزار
در هر یک از لایسنس های نرم افزاری خریداری شده، قرارداد لایسنس کاربر نهایی (EULA) و قرارداد لایسنس تکمیلی کاربر نهایی (SEULA) ارائه می شود.
خدمات اشتراک نرم افزار
برای آنکه برنامه های تجاری در اوج کارکرد در دسترس، امن و عملیاتی باقی بمانند، تمامی لایسنس های امنیت شبکه ی سیسکو شامل پشتیبانی از اشتراک نرم افزار می شوند. در این پشتیبانی مشترکان به ازای کل دوره ی اشتراک نرم افزار خریداری شده خدمات زیر را می توانند دریافت کنند:
• ارتقا و به روز رسانی های اصلی نرم افزار برای آنکه برنامه ها عملکرد مناسبی داشته باشند.
• دسترسی به مرکز کمک های فنی سیسکو جهت دریافت پشتیبانی تخصصی و سریع
• ابزارهای آنلاین جهت ساخت و گسترش تخصص در خانه و بهبود سرعت کسب و کار
• یادگیری مشارکتی برای کسب دانش بیشتر و امکانات آموزشی

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Cisco WSA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

خدمات

خدمات مربوط به برند سیسکو (Cisco Branded Services) طراحی و برنامه ریزی امنیت سیسکو : گسترش راهکارهای امنیتی به صورت سریع و کم هزینه.
راه اندازی و پیکربندی امنیت شبکه ی سیسکو : کاهش خطرات امنیت شبکه با راه اندازی، پیکربندی و آزمایش تجهیزات جهت پیاده سازی :
• کنترل قابل قبول استفاده از مقررات
• فیلتر سازی بدافزار ها و شهرت
• امنیت داده ها
• دید نرم افزار و کنترل
خدمات بهینه سازی امنیت سیسکو : جهت بررسی تهدیدات امنیتی، به روز رسانی طراحی، تنظیم عملکرد و تغییرات سیستم از یک سیستم امنیتی در حال توسعه پشتیبانی می کند.
خدمات همکاری یا اشتراکی (Collaborative/Partner Services)

ارزیابی امنیت دستگاه های شبکه با شناسایی شکاف های موجود در زیرساخت امنیتی شبکه، محیط مقاوم شبکه را حفظ می کند.
نگهداری هوشمند : هوشی کاربردی را ارائه می کند که از دید امن موجود در عملکرد یک شبکه حاصل شده است.
خدمات بیشتر : در سرتاسر چرخه ی عمر برنامه ریزی، طراحی، پیاده سازی و بهینه سازی همکاران سیسکو طیف وسیعی از خدمات ارزشمند را ارائه می کنند.

امور مالی سیسکو (Cisco Financing)

Cisco Capital می تواند راهکارهای مالی مورد نیاز کسب و کارها را سازماندهی کند. هرچه زودتر به فناوری سیسکو دسترسی پیدا کنید، مزایای تجاری آن را زودتر خواهید دید.

خدمات پشتیبانی SMARTnet

مشتریان می توانند سیسکو SMARTnet را خریداری کنند و از آن در کنار تجهیزات امنیت شبکه سیسکو استفاده کنند. Cisco SMARTnet در برطرف سازی سریع مشکلات شبکه با دسترسی مستقیم و ۲۴ ساعته به متخصصان سیسکو، ابزارهای پشتیبانی خودکمک رسان و تعویض سریع سخت افزار به مشتریان خود کمک می کند. برای اطلاعات بیشتر به وبسایت http://www.cisco.com/go/smartnet مراجعه کنید.
سفارش تجهیزات مجازی امنیت شبکه
۱٫ به http://www.cisco.com/go/wsa بروید و در سمت راست در بخش “Support” ، بر روی “Software Downloads, Release, and General Information.” کلیک کنید. سپس بر روی “Download Software” کلیک کرده و برای مشاهده ی لینک های دانلود دستگاه های مجازی بر روی یکی از مدل ها کلیک کنید. همچنین می توانید یک لایسنس ارزیابی قابل دانلود XML را نیز مشاهده کنید. نیاز است که این دو را باهم دانلود کنید.
۲٫ آموزش های زیر را از Cisco.com دانلود کنید.
الف. آموزش راه اندازی تجهیزات مجازی امنیت سیسکو
ب. آموزش AsyncOS® ۷٫۷٫۵
۳٫ برای شروع دستورالعمل های موجود در راهنمای دانلود شده را دنبال کنید. لطفا توجه داشته باشید که SMARTnet از ارزیابی تجهیزات مجازی امنیت محتوا پشتیبانی نمی کند.


برای اطلاعات بیشتر با ما تماس بگیرید

آشنایی با سرویس Cisco WSA

Cisco Web Security Appliance WSA

امنیت شبکه ی سیسکو : حفاظت، کنترل و ارزش

شبکه ی گسترده ی جهانی پدیده ای شگفت انگیز و در عین حال نا امن است. در عین استفاده از شبکه های اجتماعی و نرم افزارهای ویندوز چگونه می توانید از دستگاه ها و منابع خود محافت کنید؟

ما بر این باوریم که یک راه حل کفایت نمی کند بلکه امروزه با وجود تهدیدات سایبری که به سرعت در حال افزایش هستند، به مجموعه ای متنوع از حفاظت نیازمند هستید. اما این کار باعث تحمیل پیچیدگی و تراکم کاری بر محیط IT شما می شود، درسته؟ این جواب با وجود تجهیزات امنیت شبکه سیسکو (wsa) (شکل ۱) منفی است. تجهیزات امنیت شبکه سیسکو ی یک درگاه بسیار امن بوده و چندین ویژگی را یکجا در خود جای داده است. این تجهیزات برای شما محافظت قوی، کنترل کامل و ارزش سرمایه گذاری به ارمغان می آورند. همچنین این تجهیزات مجموعه ی گسترده ای از امکانات رقابتی گسترش امنیت شبکه را فراهم می کنند که در هر یک از آن ها زیرساخت پیشرو در بازار هوش تهدیدآمیز سیسکو استفاده شده است.

                                                   

                                                                     شکل ۱ تجهیزات امنیت شبکه ی سیسکو

محافظت قوی

مقابله ی پیشرفته با تهدید

با کمک بزرگ ترین شبکه ی شناسایی تهدیدات در جهان با پهناورترین قابلیت دید و بزرگترین ردپا به سرعت و به صورت جامع حفاظت از شبکه را دریافت کنید. با جمع آوری تعداد بسیار زیادی از اطلاعات جهانی تمامی بردارهای حمله محل مخفی شدن تهدیدها را شناسایی می کند. این گردآوری اطلاعات را در زیر می توانید مشاهده کنید.

●۱۰۰ ترابایت هوش امنیتی در روز

●۱٫۶ میلیون از دستگاه های امنیتی گسترش یافته از جمله فایروال، IPS، شبکه و تجهیزات ایمیلی

●۱۵۰ میلیون نقطه ی پایان (endpoint)

●۱۳ میلیارد درخواست شبکه در روز

●۳۵ درصد ترافیک ایمیل شرکتی جهان

تالوس با هوش اولیه ی هشدار، تحلیل آسیب پذیری و تهدید می تواند به سازمان ها جهت مقابله با تهدیدات پیشرفته ای بحرانی کمک کند. تالوس با تولید پیوسته ی قوانین جدیدی که هر ۳ تا ۵ دقیقه، بروز رسانی ها را به تجهیزات امنیت شبکه تزریق می کند باعث می شود صنایع پیشرو در مقابله با تهدیدات ساعت ها و حتی روزها از رقبای خود پیش بیفتند.

مزایا

  • محافظت قوی: از طریق یک زیرساخت پیچیده ی هوش تهدید جهانی از تمامی دستگاه ها محافظت می کند که شامل Cisco Talos Security Intelligence  و  Talos Research Group  است.
  • کنترل کامل : در کنترل پیشرفته ی تمامی ترافیک های شبکه مانند نرم افزارهای شبکه ی اجتماعی کمک می کند.
  • ارزش سرمایه گذاری: سرمایه گذاری امنی برای شما فراهم می کند و در عین حال کل هزینه ی مالکیت (TCO) مربوط به امنیت شبکه، ارائه ی امکانات گسترش منعطف، یکپارچگی روان با زیرساخت شبکه و ایمنی موجود و بهترین پشتیبانی ۲۴ ساعته را کاهش می دهد.

 

گروه تحقیقاتی و هوش ایمنی cisco Talos
                                                                          شکل ۲ گروه تحقیقاتی و هوش ایمنی cisco

 

تحلیل شهرت بهترین وب سایت

تجهیزات امنیت شبکه ی سیسکو تهدیدات حاصل از شبکه ی سیسکو را به یکدیگر ارتباط می دهند تا برای اقدام کردن  در آن ها یک امتیاز رفتاری را تولید کند.

مقابله با بدافزارها به صورت چندلایه ای و یکپارچه برای محاظت انطباقی

در گذشته مسدود سازی دسترسی به آدرس های خراب به معنی امنیت شبکه بود. اما امروزه احتمال اینکه شما از سایت های معتبر ویروس یا بدافزاری را دانلود کنید بیشتر است. تجهیزات امنیت شبکه ی سیسکو با استفاده از لایه های متعدد فناوری های ضد بدافزار و هوش حاصل از تالوس که هر ۳ تا ۵ دقیقه به روز رسانی می شود،در برابر بدافزارها مقابله می کنند . هر محتوای اینترنتی ای که بنا باشد در دسترس قرار بگیرد (از HTML گرفته تا تصاویر و فایل های فلش)، با استفاده از موتورهای اسکن سازی آگاه از زمینه و امنیتی تحلیل می شود.

این تجهیزات ترافیک را به صورت بی درنگ تحلیل می کنند، آن را به بخش های  عملی تقسیم می کند و برای نظارت در عین حفظ سرعت بالای پردازش،این بخش ها را به بهترین موتورهای بدافزاری ارسال می کند. (شکل ۳)

 

لایه های مقابله ای تجهیزات امنیت شبکه ی سیسکو

شکل ۳ لایه های مقابله ای تجهیزات امنیت شبکه ی سیسکو

 

سندباکسینگ و تحلیل پیوسته

 

ویژگی محافطت پیشرفته در برابر بدافزار (AMP) ویژگی ای است که در اختیار تمامی مشتریان تجهیزات امنیت شبکه ی سیسکو قرار دارد. AMP یک راهکار جامع جهت غلبه بر بدافزارها بوده که با کمک آن می توان بدافزارها را شناسایی و بلاک کرد، به صورت پیوسته به تحلیل پرداخت و از هشداردهی بازنگرانه بهره برد (شکل ۴). این ویژگی شناسایی بدافزار و قابلیت مسدود کردن که در حال حاضر در تجهیزات سیسکو وجود دارند را با قابلیت های بهبود یافته ی شهرت فایل (file reputation) ، گزارش دهی کامل رفتار فایل، تحلیل پیوسته فایل و هشداردهی بازنگرانه تصمیمی ( verdict) ترکیب می کند. امکان جدیدی که برای مشتریان اضافه شده است این است که مشتریان حالا دیگر می توانند علاوه بر فایل های EXE موجود در اولین انتشار AMP ، به فایل های مایکروسافت آفیس و sandbox PDF نیز دسترسی داشته باشند.

تحلیل بازنگرانه توسط AMP

شکل ۴ تحلیل بازنگرانه توسط AMP

 

مدیریت متمرکز

رابط مدیریت شهودی تجهیزات امنیت شبکه ی سیسکو گزارش گیری و مدیریت سیاست ها را متمرکز ساخته و تنها از طریق یک رابط ساده کنترل سراسری را ارائه می کند.

بهره گیری عمیق شبکه و دید برنامه

با کمک تجهیزات امنیت شبکه ی سیسکو می توانیم نسبت به محتوای برنامه ها و ریزبرنامه های خود دید عمیقی پیدا کنیم. به بیان بهتر این تجهیزات مرتبط ترین و پرکاربردترین برنامه های ویندوز و موبایل (مانند فیسبوک و بیش از ۱۵۰ هزار ریز برنامه مانند بازی های فیسبوک) را شناسایی و طبقه بندی می کنند.این کار با ترکیب هویت، زمان، محتوا ، مکان و مطابقت خارج از مرز داده ها جهت ساخت و نگهداری سیاست های برنامه انجام شده است.

تجهیزات امنیت شبکه ی سیسکو در کنار این قابلیت دید، این امکان را می دهد تا بتوان برنامه ها و رفتار استفاده از آن ها را به صورت دقیقی کنترل کرد. این تجهیزات بر اساس مکان یا پروفایل کاربر و نوع دستگاه می توانند مصرف پهنای باند را تنظیم کرده و کنترل هایی شرطی مانند throttling را اعمال کنند. علاوه بر این بر اساس پروفایل کاربر، دستگاه و مکانیزم دسترسی این تجهیزات امکان کنترل دینامیک و مبتنی بر زمینه ی دسترسی کاربر به برنامه ها را فراهم می کند. همچنین می توانید برای کنترل کردن برنامه های اجاره ای (SaaS) مانند Salesforce.com یا WebEx سیاست هایی را تنظیم کنید.

جلوگیری از اتلاف داده

تجهیزات امنیت شبکه ی سیسکو از برون رفت اطلاعات حساس از ایمنی شبکه جلوگیری می کند. این کار انعطاف بیشتر و ریسک کمتر را تضمین می کند (شکل ۵). این قابلیت به قابلیت کنترل محتواهای خارج از مرز مانند برنامه های به اشتراک گذاری فایل اضافه شده است. می توانید در سیستم های ابری از آپلود شدن فایل ها در سرویس های به اشتراک گذاری مانند iCloud   و Dropbox جلوگیری کنید. همچنین می توانید با ایجاد قوانین مبتنی بر زمینه برای جلوگیری از اتلاف داده (DLP) و یا با استفاده از پروتکل سازشی محتوای اینترنت (ICAP) برای یکپارچه شدن با تمامی راهکارهای DLP  سوم شخص از برون رفت داده های محرمانه از شبکه جلوگیری کنید و به صورت عمیق سیاست های DLP را اجرا کرده و بر روی آن نظارت کنید.

شکل ۵ جلوگیری از اتلاف داده ها با استفاده از تجهیزات امنیت شبکه ی سیسکو

کل هزینه ی مالکیت کمتر

تجهیزات امنیت شبکه ی سیسکو برخلاف راهکارهای دیگر که برای ویژگی ها و عملیات های جدید به دستگاه های بیشتری نیاز دارند، راهکار مستحکمی را در تنها یک دستگاه ارائه می کند. در این صورت شما زمان کمتری را برای عیب یابی صرف می کنید و در ۹۹٫۹۹۹% مواقع تجهیزاتتان فعال و در دسترس هستند. با دریافت به روز رسانی های خودکار از Talos از آخرین تهدیدات بدون هیچ اقدامی مطلع شوید. در نهایت، می توانید زیرساخت VMware فعلی خود را در تعداد نامحدودی از گسترش های تجهیزات مجازی امنیت شبکه ی سیسکو (WSAV) به کار ببرید.

مدل ها و امکانات موجود

 

جدول ۱ مشخصات سخت افزاری تجهیزات امنیت شبکه ی سیسکو

Cisco S680 Cisco S380 Cisco S170
پلتفرم سخت افزاری
ضریب شکل ۲U ۲U ۱U
ابعاد ۳٫۵ x 19 x 29 in.

(۸٫۹ x 48.3 x 73.7 cm.)

۳٫۵ x 19 x 29 in.

(۸٫۹ x 48.3 x 73.7 cm.)

۱٫۶۴ x 19 x 15.25 in.

(۴٫۲ x 48.3 x 38.7 cm.)

منبع تغذیه اضافی Yes Yes No
قابل خاموش/روشن کردن از راه دور

 

Yes Yes No
امکان استفاده از برق DC Yes Yes No
هارد جایگزین Yes Yes Yes
امکان استفاده از فیبر نوری Yes (Accessory) No No
اترنت ۴ Gigabit NICs, RJ-45 ۴ Gigabit NICs, RJ-45 ۲ Gigabit NICs, RJ-45
سرعت (mbps) ۱۰/۱۰۰/۱۰۰۰, توافقی بین دو دستگاه ۱۰/۱۰۰/۱۰۰۰, توافقی بین دو دستگاه ۱۰/۱۰۰/۱۰۰۰, توافقی بین دو دستگاه

 

جدول ۲ تجهیزات مجازی امنیت شبکه ی سیسکو

کاربران شبکه
کاربران شبکه مدل فضای دیسک حافظه هسته ها
<1000 S000v ۲۵۰ GB ۴ GB ۱
۱۰۰۰-۲۹۹۹ S100v ۲۵۰ GB ۶ GB ۲
۳۰۰۰-۶۰۰۰ S300v ۱۰۲۴ GB ۸ GB ۴
سرورها
Cisco UCS ESXi 4.0 X 5.0 Hypervisor

 

جدول ۳ سری M تجهیزات مدیریت امنیت محتوا

Model Cisco M680 Cisco M380 Cisco M170
Users (approx.) ۱۰,۰۰۰ or more Up to 10,000 Up to 1,000

 

آشنایی با سرویس Splunk در AWS آمازون

PAYG for Splunk Insights on AWS

امروز در نشست AWS سانفرانسیسکو، قابلیت استفاده از Splunk Insights به منظور پایش ابر AWS در حالت PYAG انتشار می یابد. نسخه آزمایشی ۱۵ روزه و نسخه کامل نرم افزار با پرداخت $/h2 در یک مدل قیمت گذاری ساعتی در دسترس عموم قرار گرفته است.
چنین گزینه های ساعتی دارای حجم روزانه ۱۰GB است که معمولا پاسخگوی نیازهای یک محیط AWS متوسط است، ارایه می شود. همچنین امکان استفاده از قراردادهای یکساله (با حداقل قیمت) از طریق پیشنهادات ویژه مرکز فروش ممکن خواهد بود.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Splunk را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

بکارگیری Splunk Insights به منظور AWS Cloud Monitoring AMI ، یک روش تحلیلی است به منظور پایش ابر با قابلیت بررسی end-to-end زیرساخت AWS و ارزیابی لحظه ای عملکرد، صحت، پیکربندی، امنیت و هزینه های زیرساخت است.
این کار چگونه انجام می شود؟
بکارگیری Splunk Insights به منظور AWS Cloud Monitoring امکان پایش فضای ابر که شامل موارد زیر است، را فراهم می کند:

پایش منابع و بررسی میزان مصرف آنها

بررسی منابع و تغییرات آن، همچنین قابلیت پایش کلیه منابع ابر که شامل AWS Config و منابع دیتا AWS CloudTrail است، را فراهم می کند. نقشه توپولوژی Splunk’s AWS شمای کلی از وضعیت توسعه AWS موجود را نمایش می دهد؛ که قابلیت مشاهده و بررسی وضعیت مکانی و ارتباط منابع را از طریق اکانت، منطقه،virtual private cloud) VCP) ، برچسب و زمان فراهم می کند. همچنین نمای کلی از زمان ایجاد محیط تاکنون را ارایه می دهد. با استفاده از داشبوردهای پیش ساخته، مشتریان امکان مشاهده میزان مصرفEC2 instance، رهگیری و مشاهده جزئیات مصرفElastic Block Store) EBS) ، حجم ترافیکSimple Storage Service) S3 )، جریان ترافیک VCP، میزان تاخیر ELB ، میزان فعالیت Lambda و تاخیر Content Delivery Network) CloudFront CDN) ، را خواهند داشت. Visualization، دید جامعی (بر حسب اکانت، منطقه، بر چسب و زمان) از instance انحصاری تا جستجوی های اولیه و متریک های اصلی ارایه می دهد.

نحوه محاسبه صورتحساب، هزینه مصرف و بهینه سازی

قابلیت مدیریت هزینه Splunk’s AWS با استفاده از AWS instance و فهرست نمونه های پیشین آغاز شده و تا حد یک نمای کلی از هزینه منابع مورد استفاده و بلااستفاده، هزینه بر حسب اکانت و هزینه بر حسب سرویس ارایه شده، گسترش پیدا می کند. ظرفیت تعاملی و برنامه ریزی داشبوردها (صورتحساب ماهیانه و تاریخی، برنامه ریزی بودجه و RI و ظرفیت ها) امکان مدیریت صحیح هزینه ها و سرمایه ها را در طول زمان فراهم می کند. با این روش شما امکان پایش هزینه ها و میزان مصرف منابع را دارید و چنین نگرش جامعی امکان بهینه سازی هزینه های ابر موجود و یا انتقال به ابر AWS را فراهم می کند. علاوه بر این RI Planner، امکان برنامه ریزیReserved Instance) RI) موجود را از طریق ارایه دید کاملی از منابع موجود و توصیه های لازم در خصوص بهینه سازی آنها به همراه تخمین میزان صرفه جویی سالانه بر اساس داده های قبلی و یا میزان مصرف داده پیش بینی شده، ارایه می کند.

امنیت: بررسی و مدیریت Compliance

مشتریان امکان مشاهده فعالیت های حسابرسی AWS، کاربران غیر مجاز، نقض تعهدات امنیتی گروه ها و کلیدهای عمومی و خصوصی، ترافیک VCP مبدا،تهیه instance 0جدید، ارزیابی یافته های امنیتی، بررسی compliance و تغییرات AWS instance، را خواهند داشت.

پایش و عیب یابی

داشبوردهایی که از ابزار Splunk Machine Learning استفاده می کنند، قابلیت بهینه سازی هزینه های RI جامع تر، EC2 sizing، بررسی صحت ELB،Security Group orphans and Elastic IPs inactivity.. جدول زمانی منابع Splunk امکان مقایسه و ایجاد ارتباط میان AWS Cloudwatch، CloudTrail، Config Rules و بررسی رخدادها در یک نوار ابزار مبتنی سری زمانی را ارایه میدهد. از طریق تحلیل کلی رخدادها به صورت چشمگیری سرعت واکنش در مقابل آنها افزایش خواهد یافت. همچنین قابلیت شناسایی رخدادهای غیرمعمول بر کلیه داده های امنیتی و صورتحساب ها اعمال می شود.


Splunk Insights در پایش ابر AWS با مشخصه های AWS CloudTrail، AWS Config، AWS Config Rules، Amazon Inspector، Amazon RDS ، Amazon CloudWatch، Amazon VPC Flow Logs، Amazon S3، Amazon EC2، Amazon CloudFront، Amazon EBS، Amazon ELB و AWS Billing ترکیب شده و امکان پایش جامع محیط AWS را فراهم می کند.
زمانی که بار کاری خود را به ابر منتقل می کنید و به پایش اساس AWS می پردازید، بکارگیری Splunk Insights به منظور AWS Cloud Monitoring ، مشتریان را در پایش مقیاس instance و بار کاری آن که دائما در حال تغییر است، همچنین نحوه اتصال دیتا به برنامه به منظور نظارت جامع، یاری می کند. نرم افزار Splunk، تصویر کاملی از منابع و صحت کل زیرساخت ابر شامل کلیه node، معاملات و کاربران را در یک بستر فراهم می کند. این قابلیت مشتریان را در شناسایی تمام منابع توسعه یافته در زیرساخت AWS یاری می کند بدین ترتیب هر گونه مصرف غیرمتعارف و یا ابزار غیرمعمول به سادگی قابل شناسایی است.

آشنایی با ماژول SIEM و UBA سرویس Splunk

Machine-Data تولید شده یکی از رو به رشدترین و پیچیده ترین زمینه های big data است. یکی از ارزشمندترین این داده ها که شامل اطلاعات ثبت شده از تراکنش های کاربران، رفتار مشتریان، رفتار ابزارها، تهدیدات امنیتی، فعالیت های فریبکارانه و … است. Splunk این اطلاعات را بدون توجه به نوع کسب وکار به اطلاعات ارزشمندی تبدیل می کند و این مطلب به عنوان اطلاعات عملیاتی هوشمند شناخته می شوند.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Splunk را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

 

Splunk Enterprise به تحلیل و پایش machine data از منابع مختلف پرداخته و اطلاعات عملیاتی هوشمند، به منظور بهینه سازی IT، امنیت و عملکرد کسب وکار، ارایه می دهد. با وجود قابلیت هایی چون تحلیل های بصری، machine learning، open APIs و بسته های نرم افزاری، Splunk Enterprise بستری انعطاف پذیر و قابل توسعه از سطح تمرکز بر یک رخداد خاص تا تحلیل های گسترده شرکت های بزرگ، ارایه می دهد. Splunk Enterprise:
• تجمیع و تقسیم بندی وقایع ثبت شده و machine data از منابع مختلف
• توانایی جستجو، تحلیل و پایش قدرتمند در سراسر سازمان
• ارایه اکوسیستمی از برنامه های مبتنی بر Splunk، راهکاری جامع به منظور تحلیل های امنیتی، IT Ops و کسب وکار ارایه می دهد.
• امکان استقرار به عنوان یک سرویس ابری و محلی
سیستم هوشمند عملیاتی امکان درک رخدادهایی که در سراسر سیستم IT و زیرساخت سازمانی اتفاق افتاده، را می دهد؛ بنابراین می توان تصمیمات آگاهانه ای در برخورد با این رخدادها اتخاذ کرد. بستر Splunk پایه ای برای همه محصولات این شرکت، راهکارهای premium، برنامه ها و add-ons است.

Splunk به عنوان SIEM

امروزه راهکارهای امنیتی Splunk نه تنها به یک اصل برای SIEM تبدیل شده است، بلکه قابلیت هایی مانند تحلیل های امنیتی، درک کامل فضای شبکه به منظور یاری تیم های امنیتی در اتخاذ تصمیمات سریع تر و دقیق تر، را ارایه می دهد. Splunk گزینه های مختلفی برای سازمان ها به منظور استقرار SIEM و یا انتقال به SIEM مدرن معرفی می کند و همچنین گزینه های مختلفی از جمله استقرار محلی، ابری و هیبریدی را در اختیار سازمان ها قرار می دهد.
مشتریان با استفاده از Splunk Enterprise و Splunk Cloud نیازهای پایه SIEM خود را رفع می کنند. Splunk Enterprise و Splunk Cloud هسته مرکزی بستر Splunk را تشکیل می دهند که قابلیت هایی چون تجمیع، فهرست کردن، جستجو، ارایه گزارش و یا CLM را فراهم می آورند. اغلب مشتریان سرویس های امنیتی Splunk از Splunk Enterprise و یا Splunk Cloud به منظور ایجاد جستجوهای بهنگام، همبستگی اطلاعات و داشبوردهایی برای دریافت SIEM پایه، استفاده می کنند.
Splunk راهکارهای premium چون Splunk ES که قابلیت پشتیبانی از SIEM پیشرفته با داشبوردهای آماده استفاده، برقراری ارتباط جستجوها و ارایه گزارش، را دارد. امکان اجرای Splunk ES در بستر Splunk Enterprise، Splunk Cloud و یا هر دو وجود دارد. علاوه بر این Splunk ES حاوی قابلیت های بررسی رخدادها و گردش کار، دریافت اطلاعات از ۳rd party هوشمند مقابله با تهدیدات، به منظور ایجاد قوانین همبستگی پیش ساخته و هشدارهای لازم است. همچنین بیش از ۳۰۰ نرم افزار امنیتی در بستر Splunk با جستجوها، گزارش ها و سیستم های بصری پیش ساخته به منظور ارایه به فروشندگان ۳rd party امنیتی، وجود دارد. این برنامه ها، قابلیت ها و افزونه ها شامل پایش امنیتی، NGFW ، سیستم های پیشرفته مقابله با تهدیدات و … هستند که موجب افزایش پوشش امنیتی ارایه شده توسط Splunk و سایر ۳rd party ارایه دهنده سرویس امنیتی شده است.
همچنین Splunk ES یک SIEM مبتنی بر تحلیل است که از پنج چارچوب مجزا تشکیل شده است که امکان اجرای مجزای هر یک به منظور تامین دامنه وسیعی از الزامات امنیتی شامل compliance، امنیت نرم افزارها، مدیریت رخدادها، شناسایی پیشرفته تهدیدات، پایش لحظه ای و … وجود دارد. یک بستر SIEM مبتنی بر تحلیل machine learning، شناسایی رویدادهای غیر معمول و همبستگی مبتنی بر قوانین را در یک راهکار امنیتی تحلیلی ادغام می کند. Splunk ES امکان بررسی بصری ارتباطات میان رخدادها در هر زمان و به اشتراک گذاری جزئیات حملات چند مرحله ای را فراهم می کند. همچنین این بستر امکان پایش و ارایه گزارش های لحظه ای از حملات و سایر فعالیت های غیر معمول را در اختیار سازمان ها قرار می دهد. با استفاده از چنین تجزیه و تحلیل پیشرفته ای، مشتریان قادر به شناسایی سریع حملات و پاسخ مناسب در سراسر اکوسیستم امنیتی، خواهند بود.
Splunk ES به عنوان بخشی از یک پروژه امنیتی عظیم تر است که قابلیت CLM را در Splunk Enterprise و UBA پیشرفته به وسیله Splunk UBA ارایه می دهد.
چه عواملی Splunk را به عنوان SIEM مطرح می کند؟
• نرم افزار Splunk می تواند به عنوان SOC برای سازمان ها با هر ابعاد کاری (کوچک، متوسط و بزرگ) مورد استفاده قرار گیرد.
• پشتیبانی کامل از عملیات امنیت اطلاعات شامل ارزیابی وضعیت، پایش، هشدار و برخورد با رخدادها، CSIRT ، تحلیل نقض تعهدات، واکنش مناسب و بررسی ارتباط رخدادها
• SIEM قابلیت OOTB را داشته و بسیاری از موارد امنیتی آن حتی بدون نیاز به نصب قابل استفاده هستند.
• تشخیص تهدیدات شناخته شده و ناشناس، بررسی تهدیدات، تعیین compliance و استفاده از تحلیل امنیتی پیشرفته به منظور درک جزئیات
• بستر یکپارچه امنیتی هوشمند مبتنی بر big data
• استفاده از جستجوهای Ad hoc به منظور تحلیل پیشرفته هر گونه نقض تعهدات و قوانین
• قابلیت استقرار محلی، ابری و هیبریدی

Splunk UBA

Splunk UBA یک راهکار مبتنی بر machine learning است که به ارایه رویکردی به منظور شناسایی تهدیدات ناشناخته و رفتار غیر معمول در سطح کاربران، ابزارهای endpoint و نرم افزارها می پردازد. این راهکار نه تنها بر پاسخگوی تهدیدات خارجی است بلکه پاسخگوی تهدیدات داخلی نیز خواهد بود. الگوریتم های machine learning نتایج عملی به همراه رتبه بندی ریسک و نگهداری شواهد ارایه می دهد، این قابلیت ها امکان واکنش و پاسخ سریع تحلیلگران SOC را نشان می دهند. علاوه بر موارد این پایه و اساسی برای تحلیلگران امنیتی به منظور بررسی فعال رفتارهای غیر معمول فراهم می کنند.

Splunk UBA در یک نگاه

• ارتقا قابلیت ردیابی و شناسایی با استفاده از چارچوب رفتار محور، هدفمند و machine learning قابل تنظیم که شامل الگوریتم های کنترل نشده است.
• ارتقا قابلیت UEBA تحلیلگران SOC با استفاده از اتصال صدها رفتار غیر معمول و ارایه آن به عنوان یک تهدید مستقل
• بهبود وضعیت با استفاده از پیش بینی تهدیدات طی یک حمله چند مرحله ای
• تجمیع دو سویه با استفاده از Splunk Enterprise برای دریافت اطلاعات و همبستگی داده ها و بکارگیری Splunk ES به منظور ارزیابی و بررسی رخدادها و پاسخ خودکار

ارایه بستر هوشمند امنیتی توسط InfoTeK و Splunk به منظور استفاده در بخش عمومی

بسیاری از سازمان ها به منظور نظارت، بررسی و پاسخگویی تهدیدات به نرم افزار SIEM وابسته هستند؛ لیکن در برخی از نمایندگی های دولت امریکا، SIEM مسئولیت خود را به درستی ایفا نکرده اند و SIEM سنتی آنها از نوع HP ArcSight قادر به تامین کلیه انتظارات نبوده است. این موسسه از InfoTeK که از شرکت های پیشرو در زمینه امنیت سایبری است، خواستار مشارکت در ارایه راهکاری به منظور جایگزینی SIEM سنتی خود شده است. از زمان توسعه بستر Splunk مشتریان از مزایای زیر بهره مند شدند:
• متوقف کردن بی درنگ حملات
• کاهش ۷۵ هزینه استقرار و پشتیبانی SIEM
• کاهش ابزارهای مورد نیاز، از جمله سیستم های جمع آوری اطلاعات ثبت شده و راهکارهای مرتبط با endpoint
این موسسه با استفاده از Splunk Enterprise و Splunk ESیک SIEM مبتنی بر تحلیل به منظور ارایه سیستم هوشمند عملیاتی با قیمت مناسب، فراهم کرده است. InfoTeK نرم افزار Splunk را در مدت یک هفته برای این موسسه مستقر کرد. پس از شروع به کار، نرم افزار ارزش هزینه صرف شده را به اثبات رساند. تیم های IT قادر به جستجوی سریع رخدادهای امنیتی و متوقف ساختن بردارهای حملات هدفمند شده اند.
Jonathan Fair، مدیر ارشد بخش مهندسی امنیت شرکت InfoTeK اظهار کرد:” فرآیندی که با صرف ساعت ها و روزها و با استفاده از ابزارهای چندگانه سایر محصولات انجام می شد، اکنون با استفاده از این ابزار در عرض چند ثانیه، دقیقه و یا ساعت توسط Splunk انجام می شود. مشتری ما پیش از خریداری کامل محصول از بازده سرمایه گذاری خود بهره مند شدند، زیرا به شکل موفقیت-آمیزی حمله ای را که قادر به تخریب کامل شبکه بود، بدین وسیله متوقف کرد.”

هزینه کرد بیش از ۹۰۰ هزار دلار کابینه و ادارت دولتی امریکا به منظور نگهداری نرم افزارهای قدیمی

شهروندان ادعا می کنند نهادهای دولتی نه تنها پول مالیات دهندگان را به شکل عاقلانه ای خرج کنند، بلکه تمام تلاش خود را برای اطمینان از اجرای صحیح عملیات و ارایه موثر سرویس ها، داشته باشند. یکی از ادارات بزرگ دولتی امریکا، قبلا از HP ArcSight که ابزاری کند و پر هزینه به منظور مدیریت رخدادها است، استفاده می کرد، از طرف دیگر این ابزار پاسخگوی نیازهای سازمان مذکور نبود. این سازمان با جایگزینی Splunk Enterprise به عنوان بستر تامین کننده امنیت، از مزایای زیر بهره مند شد:

• صرفه جویی ۹۰۰،۰۰۰ دلاری در هزینه های نگهداری و پشتیبانی نرم افزارها
• بهبود قابلیت های امنیتی شامل شناسایی، پاسخگویی و بازیابی
• کاهش زمان تحقیقات امنیتی از چندین ساعت به چند دقیقه
رویکرد امنیتی فعالانه
Margulies و تیم او مسئولیت SOC این سازمان را بر عهده دارند که شامل ۴۰ تحلیلگر است که از Splunk Enterprise به منظور بررسی رخدادهای امنیتی استفاده می کنند و همچنین تیم IT که به این نرم افزار به منظور عیب یابی و ارایه گزارش وابسته است. به علاوه مشتریان شامل کارکنانی است که وظیفه تضمین مطابقت این سازمان با قوانین و استانداردهای امنیتی را بر عهده دارند.
محافظت از اعتبار برند و امنیت اطلاعات Heartland Automotive توسط بستر Splunk

dba Jiffy Lube یکی از بزرگترین دارندگان حق امتیاز خرده فروشی روغن در امریکا است. Heartland Automotive به منظور حفاظت از نام تجاری و منابع مهم خود یعنی اطلاعات، نیازمند یک زیر ساخت امنیت سایبری است. این تولیدکننده از زمان استقرار Splunk ES و Splunk UBA به عنوان بستر یکپارچه SIEM از مزایای زیر بهره مند شده است:
• تنها در مدت سه هفته اهداف این ارزش گذاری با اجرای SIEM به منظور تامین امنیت در مقابل تهدیدات داخلی مشخص شد.
• بستری به منظور اعمال نوآوری های جدید با هزینه مالکیت ۲۵ درصد کمتر از سیستم امنیتی پیشین
• تحقیقات امنیتی بهنگام و حفاظت در مقابله با تهدیدات داخلی
اغلب پیاده سازی SIEM پیچیده است، زیرا سازمان های بزرگ منابع اطلاعاتی زیادی دارند و هفته ها برای تنظیم هشدارهای لازم زمان نیاز است. با توجه به اظهارات Alams، تیم سرویس امنیتی Splunk کلیه مراحل شناسایی منابع اطلاعاتی شرکت، طراحی SIEM و پیکربندی هشدارها را بدون هیچ کم وکاستی انجام داد.
Chidi Alams، رئیس فناوری اطلاعات و امنیت اطلاعات شرکت Heartland Automotive اظهار می دارد: “زمان مهمترین عامل ارزش گذاری است. ما سیستم SIEM و تشخیص تهدیدات داخلی را که به طور معمول سه ماه زمان نیاز دارد در کمتر از سه هفته راه اندازی کردیم. سرپرست اداره مالی و دیگر اعضای تیم مدیریت ارشد شرکت، تحت تاثیر سرعت اجرا و استقرار قرار گرفتند.”

مساله بازگشت سرمایه در Splunk

راهکارهای SIEM تحلیلی، اغلب از منظر قیمت از منظر سرمایه گذاران مورد انتقاد قرار می گیرد، لیکن این هزینه ها تنها هزینه های اولیه هستند و بازده سرمایه گذاری به سرعت قابل مشاهده است. اهمیت این هزینه های بالای راهکارهای مبتنی بر تحلیل، هنگامی آشکار خواهد شد که سازمان، قربانی یک تهدید و یا باج افزاری شود. بنابراین بازده سریع سرمایه در محافظت فعال شبکه در مقابله با حملات داخلی و خارجی قابل مشاهده است لیکن این مساله تنها زمینه بازگشت سرمایه گذاری در SIEM نیست. راهکارهای SIEM مبتنی بر تحلیل، پاسخگوی رخدادهای معمول امنیتی حوزه IT همچون compliance، کلاهبرداری، شناسایی سرقت و سوءاستفاده از اطلاعات، سرویس های اطلاعاتی هوشمند، ارایه نرم افزارها و تحلیل های حوزه کسب وکار نیز هستند.
با توجه به اینکه تیم های امنیتی به صورت هماهنگ با سایر بخش های IT کار می کنند، قابلیت پایش و نظارت مرکزی بر کلیه رخدادهای سراسر شبکه نقش مهمی در بازگشت سرمایه خواهد داشت. بهترین راه برای درک بازده سرمایه گذاری ( ROI ) راهکارهای SIEM مبتنی بر تحلیل، بهره گیری از تجربیات سایر کاربران این سیستم است.

آینده SIEM

تکنولوژی های SIEM مختلفی موجود است و در این راهنما تنها به بیان تفاوت های میان صورت سنتی و راهکارهای مدرن مبتنی بر تحلیل پرداخته شده است. SIEM مبتنی بر تحلیل، رویکردی روشن در برابر بازار آتی محصولات امنیتی قرار می دهد. این راهکارهای مدرن امنیتی، روشی مطمئن در مقابله با تهدیدات شامل شناسایی، بازیابی، ارایه هشدار، گزارش compliance است و هم زمان بازده بالای سرمایه گذاری را نیز تضمین می کند. راهکاری مبتنی بر SIEM تحلیلی، در حال انطباق خود با سرعت روزافزون رشد تهدیدات هستند تا همواره یک گام پیش تر از تهدیدات بوده و بتوانند امنیت شبکه ها را تامین کنند.

آشنایی با ویندوز سرور ۲۰۱۹ windows Server 2019

معرفی ویندوز سرور ۲۰۱۹

امروز روزی بزرگ برای ویندوز سرور است. از طرف تیم فنی ویندوز سرور مفتخرم اعلام کنم که ویندوز سرور ۲۰۱۹ در نیمه دوم سال ۲۰۱۸ در دسترس عموم قرار خواهد گرفت. در حال حاضر با استفاده از برنامه Insiders، پیش نمایش آن ارایه شده است.

 تغییرات ویندوز سرور ۲۰۱۹

ویندوز سرور ۲۰۱۹ بر مبنای ویندوز سرور ۲۰۱۶ که مورد توجه مصرف کنندگان قرار گرفته است، ساخته شده است. ویندوز سرور ۲۰۱۶ سریعترین نسخه ویندوز سرور است. تیم فنی ما از زمان اعلام در اجلاس Ignite سال ۲۰۱۶ در حال دریافت بازخوردها و دیدگاههای مختلف به منظور ارتقا این نسخه است.
تیم فنی زمان زیادی را به منظور درک چالش های پیش روی کاربران و همچنین تغییرات روند صنایع و نیازهای آنها صرف کرده است. چهار موضوع مطرح در این زمینه شامل سازگاری با محیط ترکیبی، امنیت، بستر نرم افزاری و  HCI    Hyper-converged infrastructure است. ویندوز سرور ۲۰۱۹ نوآوری های بسیاری در این موارد ارایه کرده است.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای windows Server  را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

سناریوهای ابر ترکیبی

آنچه مشتریان از انتقال به محیط ابر انتظار دارند، فرآیندی است که اغلب شامل استفاده همزمان از محیط های محلی،ابری و انتقال تدریجی به محیط ابر است. گسترش سرویسهای Active Directory، سنکرون سازی فایل سرورها و پشتیبان گیری در محیط ابر تنها نمونه هایی از کاربری ابر توسط مشتریان به منظور توسعه دیتاسنترهای خود به ابرهای عمومی است. علاوه براین وجود راهکار ترکیبی، امکان استفاده از برنامه هایی را که به صورت محلی و ابری مانند IoT ارایه می شود، فراهم میکند. ابر ترکیبی رویکردی بلند مدت است که نقش مهمی در تعیین استراتژی های لازم برای پیش بینی نیازهای آتی را فراهم میکند.
در اجلاس Ignite سپتامبر ۲۰۱۷، پیش نمایش فنی پروژه Honolulu که راهکاری جدید به منظور مدیریت ویندوز و ویندوز سرور است، ارایه شد. این پرژوه بستری انعطاف پذیر، مبتنی بر مرورگرهای ساده و محلی برای مدیریت طرح های مختلف ارایه کرده است. یکی از اهداف این پروژه ارتباط ساده تر بسترهای موجود از ویندوز سرور تا سرویسهای Azure است. با استفاده از ویندوز سرور ۲۰۱۹ و پروژه Honolulu مشتریان قادر به یکپارچه سازی سرویسهای Azure مانند Azure Backup، Azure File Sync، بازیابی پس از وقوع رخدادها و سایر سرویسهای Azure بدون ایجاد خللی در فعالیت برنامه ها و زیرساخت، خواهند بود.

شکل ۱: داشبورد مدیریتی پروژه Honolulu برای سرویس Azure Backup در ویندوز سرور ۲۰۱۹


امنیت
همواره امنیت یکی از مهمترین اولویتهای مشتریان است. تعداد رخدادهای امنیتی همواره رو به رشد است و تاثیر این حوادث به شکل فزاینده ای مخرب خواهد بود. تحقیقات شرکت مایکروسافت نشان میدهد که مهاجمان به طور متوسط ۲۴ تا ۴۸ ساعت پس از نفوذ به اولین دستگاه، قابلیت تحت تاثیر قرار دادن کل محیط شبکه را دارند. علاوه براین مطابق گزارشهای FireEye/Mandiant مهاجمان به طور متوسط تا ۹۹ روز بدون اینکه شناسایی شوند، می توانند در شبکه تحت نفوذ خود فعالیت داشته باشند. تیم فنی ما مشتریان را در خصوص ارتقا وضعیت امنیتی خود از طریق ارایه آگاهی های لازم در خصوص دیتاسنترهای مقیاس جهانی مانند Microsoft Azure، Office 365 و سایر سرویسهای آنلاین، یاری میکند.
رویکرد تیم فنی ما در زمینه امنیت شامل سه بخش حفاظت، شناسای و پاسخگویی است. کلیه مشخصه های امنیتی فوق در ویندوز سرور ۲۰۱۹ مورد توجه قرار گرفته است. از منظر حفاظت، در ویندوز سرور ۲۰۱۶ مبحث Shielded VMs مطرح شد، که مورد توجه کاربران قرار گرفت. قابلیت Shielded VMs ماشین های مجازی را در مقابل compromised و یا فعالیتهای مخرب ادمین نیز محافظت میکند بنابراین ادمین ماشین مجازی، تنها در یک بستر مورد تایید و حفاظت شده قابلیت دسترسی به آن را خواهد داشت. در ویندوز سرور ۲۰۱۹ قابلیت Shielded VMs به بستر ماشین های مجازی تحت لینوکس نیز توسعه پیدا کرده است. همچنین ویژگی VMConnect به منظور ارتقا عیب یابی Shielded VMs در محیط ویندوز سرور و لینوکس تعبیه شده است. توانایی رمزنگاری شبکه به منظور ارایه قابلیت رمزنگاری بخشهای مختلف شبکه به وسیله سوئیچ های گوناگون در جهت حفاظت از ارتباط میان سرورها در اختیار ادمین قرار داده شده است.
ویندوز سرور ۲۰۱۹ در بخش شناسایی و پاسخگویی، قابلیت Windows Defender ATP را تعبیه کرده است که امکان حفاظت پیشگیرانه، شناسایی حملات و ممانعت از تهدیدات zero-day را دارد. این قابلیت امکان دسترسی به kernel و حافظه را در اختیار مشتریان قرارا میدهد و موجب ارتقا عملکرد سیستم در مقابل حملات مخرب شده و پاسخگویی سرورها را بهبود میبخشد.

شکل ۲: Windows Defender ATP در سیستمی با سیستم عامل ویندوز سرور ۲۰۱۹


بستر نرم افزاری:
پایه اصلی طرحهای تیم ویندزو سرور بر تمرکز ویژه در زمینه تجربیات توسعه استوار است. دو جنبه اصلی مورد توجه تیم در ارتقا Windows Server containers و WSL است.
با توجه به اینکه در معرفی Windows Server containers 2016 تلاش زیادی به منظور پذیرش آن صورت پذیرفت. ده ها تصویر containers از میان میلیونها تصویر Docker Hub دانلود شد. تیم فنی با توجه به بازخوردهای دریافت شده از کاربران متوجه شد، هر قدر سایز تصویر container کوچکتر باشد، توسعه دهندگان نرم افزارها و تیم های IT که در حال توسعه نرم افزارهای خود با استفاده از آن container هستند، عملکرد بهتری خواهند داشت. در ویندوز سرور ۲۰۱۹ هدف ما کاهش سایز تصویر container ویندوز سرور Core تا یک سوم حجم کنونی آن(۵GB) است. که این رویکرد موجب کاهش زمان دانلود تصویر تا ۷۲ درصد و بهینه سازی زمان توسعه و کارایی آن شده است.
همچنین تیم فنی ما در حال توسعه گزینه های موجود در هماهنگی و توسعه Windows Server container است. در حال حاضر Kubernete در نسخه بتا و ویندوز سرور ۲۰۱۹ پشتیبانی می شود و پیشرفتهای شگرفی در ارتقا پردازشها، ذخیره سازها و المان شبکه در یک Kubernetes cluster صورت پذیرفته است.
بازخوردی که همواره از توسعه دهندگان نرم افزارها دریافت می شود پیچیدگی موجود در گذار میان محیط های لینوکس و ویندوز است. به منظور پاسخگویی به این نیاز، تیم فنی قابلیت WSL را در ساختارهای درونی ویندوز سرور توسعه داده و در نتیجه مشتریان قادر به استفاده containers لینوکسی و ویندوزی به صورت همزمان در ویندوز سرور خواهند بود. همچنین تیم ما در حال توسعه WSL در ویندوز سرور ۲۰۱۹ به منظور تسهیل انتقال scripts کاربران لینکوس به محیط ویندوز در حین استفاده از استانداردهایی تجاری چون OpenSSH، Curl و Tar است.

  شکل ۳: مدیریت container که حاوی ویندوز سرور ۲۰۱۹ توسط Kubernate

 HCI

امروزه HCI یکی از آخرین پیشرفتها در حوزه سرور است. با توجه به گزارش IDC در سال ۲۰۱۶ حوزه HCI تا ۶۴ درصد رشد داشته است و باتوجه به گزارش Gartner تا پایان سال ۲۰۱۹ حجم این بازار تا ۵ بیلیون دلار خواهد بود. این گرایش عمدتا زمانیکه مشتریان اهمیت استفاده از سرورهای ۳۲ بیتی در یک دیسک محلی پرسرعت به منظور تامین همزمان نیازهای پردازشی و storage درک کردند، به وجود آمد. علاوه براین HCI انعطاف پذیری لازم به منظور توسعه چنین زیرساختی را ارایه میدهد.
در حال حاضر مشتریان به دنبال راهکارهای HCI هستند که امکان استفاده از ویندوز سرور ۲۰۱۶ و برنامه های Windows Server Software Defined) WSSD) را فراهم کند. تیم فنی ما با همکاری فروشندگان پیشرو حوزه سخت افزار راهکار HCI قوی و پایدار با طراحی معتبر را ارایه کرده است. در ویندوز سرور ۲۰۱۹ تیم فنی قابلیتهای مقیاس پذیری، اطمینان و عملکرد این بستر را ارتقا داده است. همچنین امکان مدیریت توسعه HCI در پروژه Honolulu به منظور تسهیل مدیریت و فعالیتهای روزانه در بسترHCI، افزوده شده است.

شکل ۴: داشبورد مدیریت HCI پروژه Honolulu در ویندوز سرور ۲۰۱۹


در نهایت آنچه مورد توجه کاربران ویندوز سروری که از System Center استفاده می کنند، خواهند بود پشتیبانی از System Center 2019 در ویندوز سرور ۲۰۱۹ است.
اطلاعات بیشتری تا پایان سال جاری ارایه خواهد شد که شامل جزئیات بیشتر در ارتباط با مزیتهای ویندوز سرور ۲۰۱۹ خواهد بود.

بررسی تکنیک های مقابله با جرایم سایبری مبتنی بر باج افزار

مقابله با باج افزارها

جامعه مدرن امروز در حال تبدیل شدن به یک جامعه اطلاعاتی وسیع است. در گذشته کاربران جهت انتقال اطلاعات شخصی خود از ابزارهای ذخیره سازی سنتی همچون هارد دیسک و … بهره می بردند لیکن امروزه محیط های پردازشی و فضای شبکه و همچنین تکنولوژی های ذخیره سازی remote مانند هارد درایو تحت وب و سرویس های مبتنی بر ابر، در شرف توسعه و ادغام هستند. این مساله امکان پردازش big data را فراهم کرده است.

مقابله با باج افزارها
مقابله با باج افزارها

مهمترین المان در برخورد با big data اطمینان از حفظ دیتا بدون هیچ گونه تغییر در آن است، لیکن اطمینان از صحت اطلاعات با توجه به انواع حملات ناشی از جعل اطلاعات که نمونه واضحی از حملات سایبری است، مساله ای چالش برانگیز خواهد بود. امروزه حملات سایبری به ابزاری جهت انتقام جویی، اخاذی و جنگ های سایبری تبدیل شده است، بنابراین جرایم سایبری به نوعی سرویس crime as a service) CaaS) تبدیل شده است. یکی از مهمترین نمونه های این نوع از تهدیدات در فوریه سال ۲۰۱۶ در مرکز مراقبت های پزشکی Hollywood Presbyterian اتفاق افتاد، که در این حمله اطلاعات پزشکی بیماران توسط باج افزار رمزنگاری شده و غیر قابل استفاده شدند. بنابراین با توجه اهمیت موضوع در این مقاله به بررسی تکنیک های مقابله با جرایم سایبری مبتنی بر باج افزار پرداخته شده است.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

بررسی اجمالی باج افزار

باج افزار نوعی Trojan horse است که پس از نفوذ به سیستم فایل ها و منابع، سیستم قربانی را رمزنگاری می کند. اغلب هدف از حملات باج افزارها، مسائل مالی است، عناصر پرداخت با توجه به پیچیدگی بدافزار و ضرورت بازیابی سریع اطلاعات، تعیین می شود. تسلط بر داده و روش پرداخت دو عامل مهم در حملات باج افزارها محسوب می شود. از منظر شیوه های پرداخت، حملات در گروه های پرداخت آنلاین، irregular funding و خریدهای آنلاین قرار می گیرد. در گروه پرداخت های آنلاین، از طریق اکانت های آنلاین با استفاده از PayPal, E-Gold, Bitcoin , Webmoney صورت می گیرد. در گروه irregular funding کاربر مبالغ مالی غیر قانونی را از طریق یک سرویس یا کسب و کار قانونی انتقال می دهد. در گروه بعدی یعنی گروه خریدهای آنلاین، مهاجم قربانی را وادار به خرید کالا از وب سایت های مشخص می کند. در کلیه روش های فوق از پول شویی به منظور استتار منبع مالی بدست آمده، استفاده می شود.
شکل شماره ۱ سرعت رشد باج افزارها و میزان خسارت هر یک را در بازه های زمانی سه ماهه در سال های ۲۰۱۴ و ۲۰۱۵ نمایش می دهد:

شکل شماره ۱

با توجه به اینکه پس از نفوذ باج افزار خطر رمزنگاری فایل ها، قفل سیستم وجود دارد و کاربران، کلیدی جهت بازیابی اطلاعات خود ندارند، علاوه بر این کاربران و آنتی ویروس ها به سختی قادر به شناسایی حملات و فعالیت های باج افزارها هستند، از این رو مهاجمان به سادگی خود را پنهان می کنند و تضمینی جهت بازگشت اطلاعات پس از پرداخت وجود ندارد. این مشکلات مهمترین دلایل اتخاذ رویکرد قاطعانه در برخورد با باج افزارها است.
باج افزارها از حیث عملکرد به دو دستهnon-cryptographic ransomware) NCR) و  CGR تقسیم می شوند. همان طور که در جدول شماره ۱ نمایش داده شده است، NCR برای محدودسازی تعامل میان کاربر و سیستم طراحی شده است و عمل رمزنگاری فایل ها را انجام نمی دهد. این روش ها شامل قفل صفحه و تغییر جدول پارتیشن MBR است، که در نتیجه این نوع حملات کاربر قادر به استفاده از سیستم خود نخواهد بود. CGR با استفاده از رمزنگاری داده ها دسترسی کاربر را به اطلاعات حیاتی محدود می کند. CGR در دستهprivate-key cryptosystem ransomware) PrCR) و public-key cryptosystem ransomware) PuCR)قرار می گیرد. همان گونه که در جدول شماره ۲ نشان داده است، PrCR از الگوریتم های مبتنی بر کلید خصوصی به منظور رمزنگاری دادهها استفاده می کند، در حالی که همانطور که در جدول شماره ۳ نمایش داده شده است، PuCR از الگوریتم های مبتنی بر کلید عمومی به منظور رمزنگاری بهره می گیرند.

جدول شماره ۱

Description Name
This ransomware emerged in 1989, and it is the first ransomware. This ransomware replaced the autoexec.bat file; when an infected system boots 90 times, the ransomware encrypts all of the file names of the root directory. PC CYBORG/AIDS Trojan
This ransomware displays the warning message “Your files and the software will be restricted due to violation of the law,” allegedly from a law enforcement agency, to deceive the user and demands money. This ransomware contains the Pony module. As the most used password stealing module, this module performs the theft feature of the information. This feature is able to restore various types of encrypted passwords as plain-text format. Examples include FTP password, VPN, and e-mail client.. Reveton
This ransomware emerged in 2006, and it generates password-protected zip files based on a commercial zip library without the cryptographic operation. This ransomware is a dll file, so it attaches all running processes and stores original files in the zip files protected by password. CryZip
This ransomware emerged in 2006; it demands funds for business not demanding fees from users. This ransomware generates password-protected compressed files without the cryptographic operation. MayArchive
This ransomware is trying to impersonate anti-malware software, and it displays fake scanning results. Users want to clean them, so they pay money for cleaning Fake AV
This ransomware contains malicious JavaScript code and locks the web browser with it. The locked web browser displays a warning massage containing a phone number, so users pay money to recover it. FastBsod

جدول شماره ۲

Description Name
This ransomware encrypts MS office files, document files, compressed files, video files, and picture files except system files and informs the users that their PCs are infected by generating txt or html file. After that, this ransomware displays the screen for payment. Nevertheless, it does not decrypt files even after money is paid, and an attacker demands more money. CryptoLocker
This ransomware emerged in 2005, and there are a lot of variants. The first version contains only one cryptographic algorithm, but the last version contains the RSA algorithm, which is one of the public key cryptographic algorithms. GPCoder
This ransomware is mobile ransomware, and it impersonates a normal app using iGO icon or flash player on the android platform. When the app is installed, it encrypts all of the files on the smart phone, and it demands money. In this process, the app steals the device information as IMEI; after that, it encrypts stored document files, image files, and video files based on a key as jddlasssadxc322323sfo74hr. Finally, the encrypted files are given an .enc extension, and the original files are erased. SimpleLocker
This ransomware is known as RSA-2048 encryption, but it performs encryption based actually on AES-CBC. This ransomware encrypts files with specific extensions such as .doc, .ppt, .js, and .txt on the fixed drive. TeslaCrypt
This ransomware emerged in 2013, and it encrypts the first 512 bytes of a file based on polyalphabetic substitution. CryptorBit
This ransomware performs encryption based on private key-based cryptographic algorithm. Unlike the other private key-based encryption algorithms, however, it uses parts of files as a key instead of generating the key separately. Trojan.Win32.Filecode

جدول شماره ۳

Description

Name
This ransomware emerged in March 2016, and it is the first ransomware targeting the OS X operating system. This ransomware generates a random number based on RSA, and a private key is stored in the attacker’s server. The AES key is used to combine a generated random number with IV, and it performs encryption based on the generated AES key. After that, it generates a readmetodecrypt.txt file and informs the user of the payment method, which is Bitcoin. KeRanger
This ransomware emerged in April 2014, and it propagates via spam mail, malicious Ads, infected sites, and so on. This ransomware generates a private key based on RSA-2048 and sends it to the server; after that, it encrypts files based on the generated private key. It informs the user that the “Decryption key will be deleted” after a specific period of time in order to pressure the user into paying. CryptoWall

نمونه های حملات اولیه باج افزارها با استفاده از ایمیل و ارسال اسپم صورت گرفت. با توسعه تکنولوژی، باج افزارها گسترش حملاتی مبتنی برSocial networking service) SNS) و پیغامهای تلفنهای هوشمند هستند. همچنین با استفاده از تکنیکهای مهندسی اجتماعی درصدد ایجاد حملاتی با جوامع هدف بزرگتر به منظور تحت تاثیر قرار دادن افراد بیشتری هستند. باتوجه به اینکه توسعه فناوری باج افزار سریعتر از توسعه امنیتی سیستمها به وقوع پیوسته است همواره استفاده از ضعفهای سیستم، به یکی از ابزارهای باج افزارها تبدیل شده است به عنوان مثال حملاتی با استفاده از Internet Explorer و Flash player و حملاتی ترکیبی با distributed denial-of-service) DDoS )، از آن جمله است. در این حملات مهاجم با استفاده از ارتباط با سرورهای command-and-control) C&C ) قصد توسعه حملات را دارد. با توجه با اینکه پرداختها به صورت آنلاین و اغلب بیت کوین صورت میگیرد و هویت مهاجمان فاش نمیشود انتظار میرود حملاتی از این دست توسعه و تنوع بیشتری پیدا کنند.
باج افزارها از تکنیک ها سنتی مانند انتشار کدهای مخرب در سیستم قربانی به منظور انتشار، استفاده می کنند. یکی از معمولترین این روشها از طریق دانلود صفحه وب است، زمانیکه کاربر وبسایت مخربی را باز میکند، باج افزار با استفاده از ضعف سیستم به صورت خودکار در سیستم منتشر میشود. باتوجه به اینکه باج افزارها از تکنیک های سنتی code injection بهره می برند، بنابراین حتی چنانچه قربانی تنها از وبسایت بازدید کند باج افزار در سیستم منتشر میشود.
فرآیند انتشار باج افزار شامل پنج مرحله است:
i. جستجوی قربانی، که باج افزار از طریق اسپم و یا سایر روشها منتشر شده و به شناسایی او می پردازد.
ii. مرحله اجرا، که در آن باج افزار منتشر شده با استفاده از تکنیک های مهندسی اجتماعی بدون آگاهی قربانی، در سیستم او اجرا میشود؛ به عنوان مثال CryptoLocker بصورت آیکون فایلهای PDF نمایش داده شده درحالیکه یک فایل اجرایی است و با کلیک بر آن فایلی نمایش داده نمی شود بلکه باج افزار اجرا شده و شروع به فعالیت می کند. زمانیکه باج افزار اجرا میشود یک Session key و Internal Verification) IV )به منظور ایجاد ارتباط با تهیه کننده حمله ایجاد میشود.
iii. مرحله سوم تولید کلید رمزنگاری فایلها است. در روش رمزنگاری بر مبنای کلید عمومی، باج افزار secret key ای جهت رمزنگاری فایلها تولید و کلید تولید شده بر مبنای کلید عمومی مهاجم رمزنگاری و به او ارسال می شود. سپس مهاجم با استفاده از آن secret key فایلهای قربانی را رمزنگاری میکند. در حالت رمزنگاری بر مبنای کلید خصوصی، باج افزار بر مبنای secret key تولید شده فایلها را رمزنگاری کرده و secret key را از طریق session key تولید شده رمزنگاری کرده و به مهاجم ارسال میکند.
iv. مرحله اصلی رمزنگاری است که در آن باج افزار بر مبنای کلید رمزنگاری تولید شده فایلها را رمزگذاری میکند.
v. نمایش پیغام درخواست پرداخت است. معمولا به صورت یک فایل متنی و یا به صورت یک تصویر در صفحه نمایش قربانی دیده میشود.
 

اقداماتی که در گدشته صورت می گرفت

آنتی ویروس های سنتی از روشهای مبتنی بر امضا به منظور شناسایی و مقابله با بدافزارها استفاده می کنند، به همین علت شناسایی کدهای مخرب جدید در این محصولات مشکل خواهد بود.در عمل شناسایی باج افزارها به دلیل عملیت رمزنگاری پس از اجرا و نصب مشکل است. در این بخش به معرفی اقداماتی که به منظور حل مسایل بیان شده ارایه شده است، پرداخته می شود.
– شناسایی مبتنی بر فایل: این روش بر مبنای شناسایی امضا منحصربفرد برخی اقدامات مخرب در فرمت خاص است( به عنوان مثال فایلهای Portable excutable) PE) ). مزیت این روش شناسایی سریع است لیکن احتمال تشخیص نادرست، عدم شناسایی فرمت های جدید و کدهای مخرب ناشناخته وجود دارد.
– شناسایی مبتنی بر سیستم: در این روش به شناسایی رفتارهای مخرب در یک سیستم پرداخته و همچنین بررسی های یکپارچگی و بلوکه سازی برخی رفتارها نیز صورت میگیرد. بررسی های یکپارچگی به صورت تست دوره ای فایلها به منظور تایید یکپارچگی آنها، با توجه به مقدار هش فایلهای اجرایی و دایرکتوری های یک سیستم پاک صورت می گیرد. بلوکه سازی رفتارهای مخرب، بر مبنای پایش رفتار کل سیستم انجام می شود. بنابراین زمانیکه رفتار مخربی شناسایی می شود، با استفاده از یک آنتی ویروس فرآیند ردیابی و بلوکه می شود.
– روشهای تشخیص مبتنی بر منابع: این روش شامل پایش یک منبع مشخص، به منظور شناسایی رفتارهای مخرب است. منابع هدف پایش شامل میزان مصرف پردازنده و I/O است. شناسایی رفتار مخرب از طریق بررسی اطلاعات منابع در یک سیستم پاک توسط آنتی ویروس و جمع آوری آنها و سپس شناسایی رفتارهایی که مطابق با این الگو نبوده است.
– روشهای شناسایی مبتنی بر ارتباطات: این روش شامل بررسی وضعیت اتصالات است. در باج افزارهای مبتنی بر کلید عمومی، باج افزار یک secret key رمزنگاری از سرور مهاجم مانند C&C دریافت میکند؛ بنابراین باج افزار درصدد برقراری ارتباط با این سرور خواهد بود. چنانچه آنتی ویروس این ارتباطات را شناسایی و مسدود کند، باج افزار امکان ارتباط با سرور و رمزنگاری فایلها را نخواهد داشت زیرا کلید رمزنگاری دریافت نشده است.
– مهندسی معکوس: این روش شامل بازیابی فایلهای رمزنگاری شده و یا کشف کلید ذخیره شده در باج افزار با استفاده از مهندسی معکوس آن است. مزیت این روش در بازیابی فایلهایی است که مورد هجوم باج افزارهایی که آنتی ویروسها قادر به شناسایی آن نبوده اند، است. ایراد بزرگ ایم روش در عدم امکان بازیابی فایلهایی است که حاوی کلید رمزنگاری نیستند.

روشهای پیشنهادی مقابله با باج افزارها

در بخش پیش در ارتباط با مشکلاتی که در مقابله با باج افزارها مطرح است، پرداخته شد. یک روش برای کاهش آسیب ها، بازیابی کلید رمزنگاری است. باج افزار رمزنگاری و رمزگشایی فایلها را براساس یک کلید اشتراکی انجام میدهد، معمولا با توجه به مشکلات پیاده سازی دو کلید از یک کلید مجزا برای رمزنگاری و رمزگشایی استفاده نمیکند. علت این امر مشکلات مهاجمان در مدیریت کلیدهای مختلف در زمان حملات گسترده ایست که تعداد قربانیان بالایی دارد. بنابراین چنانچه یکی از قربانیان با پرداخت مبلغ مورد نظر مهاجم کلید رمزنگاری را دریافت کند، با به اشتراک گذاشتن کلید سایر قربانیان نیز امکان رمزگشایی فایلهای خود را خواهند داشت. برای حل این مشکل تکنیک پیشگیری از طریق کلید پشتیبان ارایه شده است.

مفاهیم و ساختار این رویکرد

مهاجمان برای اجرای حمله باج افزاری موفق ملزم به تامین پیش نیازهایی هستند. اولین مساله وجود یک راه مطمعن جهت ورود به سیستم قربانی است. معمولا افراد با استفاده از نصب آنتی ویروسها از سیستم خود محافظت میکنند، بنابراین سازندگان باج افزار ملزم به استفاده از تکنیک های خاصی مانند zero-day attack و یا استفاده از ضعفهای سیستم به منظور عبور از سیستم های دفاعی هستند. مساله دوم، پس از ورود باج افزار، رمزنگاری فایلها و یا Rootkit، باید بگونه ای که صورت گیرد که آنتی ویروسها قادر به شناسایی آن نباشند. سوم، سازندگان باج افزار معمولا از کدهای ساخت خود و یا از library سیستم عامل به منظور رمزنگاری فایلها استفاده می کنند. الگوریتمی رمزنگاری مهمترین بخش این حمله است. به عنوان مثال الگوریتم های رمزگذاری و رمزگشایی سیستم ها، قابلیت بازیابی کلید در صورت پیاده سازی نارکارآمد رمزنگاری. با توجه با اینکه تامین الزامات براس سازندگان باج افزار مشکل است برخی از آنها جهت اطمینان از cryptography libraries استفاده می کنند. گام نهایی، تعداد کلیدها تولید شده معادل تعداد سیستمهای آلوده خواهد بود، البته سازندگان از یک کلید برای مدیریت ساده کلیدها استفاده می-کنند.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

فرض

در این بخش تمرکز ویژه، بر تامین الزامات مراحل سوم و چهارم بیان شده در مرحله پیش است. همانگونه که پیشتر بیان شد، سازندگان باج افزارها به دلیل اطمینان بالاتر استفاده از cryptography libraries، تمایل به استفاده از آنها در عوض کدهای خود دارند. سیستم های مبتنی بر ویندوز از چندین cryptography libraries تجاری استفاده می کنند و جدیدترین نسخه آن CNG library است که در نسخه های ویندوز ۷، vista و ۸ استفاده شده است. با این فرض باج افزار با استفاده از CNG library و یا دانلود کدهای رمزنگاری از یک سرور خارجی، فایلها را رمزگذاری میکند. از منظر کلید رمزنگاری باج افزار ملزم به تولید یک کلید و یا دریافت کلید از یک سرور خارجی است.
– تولید و ورود توابع مورد نیاز جهت ایجاد کلید: BCryptGenerateSymmetricKey و BCryptGenerateKeyPair توابعی به منظور تولد کلید و BCryptImportKey و BCryptImportKeyPair توابعی به منظور ورود کلید مورد استفاده قرار میگیرد
– رمزنگاری و رمزگشایی:تابع BCryptEncrypt function به منظور رمزگذاری و تابع BCryptDecrypt به منظور رمزگشایی مورد استفاده قرار میگیرد. در این مقاله فرض بر استفاده از CNG library به منظور رمزنگاری استفاده شده است، بنابراین برنامه های مقابله با باج افزار، از کلید تولید شده و تابع ورود کلید پشتیبان گیری کرده و کلید بدست آمده در محلی امن در سیستم قربانی و یا به سرور احراز هویت و یا CA ارسال میشود. چنانچه مراحل تولید کلید و ورود آن اجرا نشوند، در اینصورت باج افزار کلید رمزنگاری را در داخل فایل خود قرار دهد، بنابراین برنامه های مقابله با این قبیل حملات از کلیدها در حین رمزنگاری پشتیبان تهیه می کنند. شکل شماره ۲ ساختار رمزنگاری باج افزار مبتنی بر استفاده ازCNG library نمایش میدهد.
• گام اول: باج افزار نفوذ به سیستم قربانی را آغاز و روند رمزنگاری را آغاز میکند
• گام دوم: باج افزار CNG library را جهت اجرای روند رمزنگاری لود میکند، این مرحله با تولید کلد رمزنگاری ادامه می یابد.
• گام سوم: باج افزار فایلهای سیستم قربانی مانند فرمتهای .JPG و .DOC را رمزنگاری میکند.

 راهکاری مقابله با باج افزارها
ساختار باج افزار در بخش پیشین شرح داده شد. این ساختار بر مبنای استفاده از تابع BCryptGenerateSymmetricKey از CNG library، secret key را تولید و یا با استفاده از تابع BCryptGenerateKeyPair از CNG library یک جفت کلید عمومی خصوصی تولید میشود. راهکارهای مقابله با استفاده از جستجوی CNG library به تهیه فایل پشتیبان از secret key از تابع BCryptGenerateSymmetricKey function و همچنین تهیه پشتیبان از کلید عمومی-خصوصی از تابع BCryptGenerateKeyPair می پردازند. سپس زمانیکه باج افزار کلید رمزنگاری را اجرا کند، کد به دست آمده توسط برنامه های پیشگیری شناسایی میشود. درصورتیکه باج افزار کلیدی تولید نکرده و از کلید داخلی خود استفادذه کند، برنامه ها در حین عملیات رمزنگاری کلید را شناسایی و ذخیره میکنند. به منظور ورود کلید، باج افزار توابع BCryptImportKey در شرایط رمزنگاری بر مبنای secret-key و تابع BCryptImportKeyPair در شرایط رمزنگاری public-key، فراخوانی میکند، بنابراین برنامه ها دسترسی باج افزار به این توابع را در شرایط فراخوانی تابع مسدود میکنند. با این حال چنانچه برنامه های پیشگیری کلید رمزنگاری را در مراحل فوق به دست نیاورند، سعی در کسب آن درحین عملیت رمزنگاری خواهند داشت. شکل شکاره ۳ تکنیک مورد استفاده برنامه های پیشگیری را نمایش میدهد:
• گام اول:در این مرحله نفوذ باج افزار در سیستم قربانی و اجرای عملیات رمزنگاری آغاز شده است، در این مرحله برنامه های پیشگیری اجازه اجرای عملیات رمزنگاری را میدهند و تلاشی برای مسدودسازی آن انجام نمی دهند زیرا امکان تشخیص برنامه های سیستم مانند IE و Outlook از برنامه های باج افزار در این مرحله ممکن نیست.
• گام دوم: زمانیکه باج افزار درصدد تولید کلید و یا ورود آن توابع موجود در CNG library را فراخوانی میشود، در این مرحله کد دریافتی توسط باج افزار وارد فرآیند کنترل و پیشگیری میشود. کلید ایجاد شده در بخش امن ( که میتواند بصورت یک ماژول در آنتی ویروس باشد) نگهداری میشود. کلید استخراج شده که در محلی امن همچون سرورهای احراز هویت و یا CA نگهداری شده .و الگوریتم های مبتنی بر رمزنگاری و یا certificate، به منظور حفاظت از آن استفاده میشود. حال سیستم قربانی با استفاده از این کلید امکان بازیابی فایلهای سیستم را خواهد داشت.
• گام سوم: چنانچه برنامه های پیشگیری کلید رمزنگاری را به دست نیاورند، در طول عملیات رمزنگاری سعی در شناسایی کلید خواهند داشت. که مراحل ذخیره سازی و بازیابی این کلید نیز مطابق گام دوم خواهد بود.

بررسی راهکارهای تحلیل Splunk Enterprise

الزامات SIEM در سرویس اسپلانک

اکنون که درون مایه راهکارهای تحلیلی SIEM بیان شد. شش قابلیت اصلی SIEM مبتنی بر تحلیل به شرح جدول زیر است.
پایش لحظه ای سرعت رشد تهدیدات بسیار بالا است و مدیران IT ملزم به پایش پیوسته و بررسی آنی ارتباط میان رخدادها به منظور شناسایی و متوقف کردن آنها هستند.
پاسخ آنی در برابر حوادث IT نیازمند یک روش سازماندهی شده به منظور مدیریت هر گونه نقص احتمالی به همراه هر گونه نقض امنیتی و یا حمله با هدف محدود کردن آسیب ها و کاهش زمان بازیابی است.
پایش کاربران نظارت دقیق بر فعالیت کاربران مساله ای بحرانی و حساس به منظور شناسایی نقاط ضعف و سوء استفاده ها است. نظارت بر فعالیت کاربران یکی از الزامات شناسایی compliance است.

سیستم هوشمند مقابله با تهدیدات چنین سیستم هوشمندی در شناسایی فعالیت های غیرمعمول، شناسایی ریسک های کسب و کار و اولویت بندی اقدامات نقش شایانی دارد.
تجزیه و تحلیل پیشرفته تحلیل حجم عظیم داده ها بهترین راه برای کسب دید کلی نسبت به آنها است و machine learning امکان تحلیل خودکار و شناسایی تهدیدات پنهان را در اختیارمان قرار می دهد.
سیستم پیشرفته شناسایی تهدیدات متخصصان امنیت نیازمند ابزارهای ویژه ای به منظور نظارت، تحلیل و شناسایی تهدیدات در سراسر زنجیره حملات هستند.
این قابلیت ها به سازمان ها امکان استفاده از SIEM در طیف گسترده ای از موارد امنیتی و compliance، را می دهد. در این بررسی عمیق تر به هر یک از قابلیت های پایه SIEM مبتنی بر تحلیل پرداخته می شود.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Splunk را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

پایش لحظه ای Real time Monitoring

هر چه زمان شناسایی یک تهدید طولانی تر باشد، به صورت بالقوه احتمال ایجاد آسیب های بیشتری وجود دارد. شرکت های IT نیازمند SIEM با قابلیت های پایش لحظه ای هر نوع داده ای بدون توجه به مکان داده (محلی و ابری) هستند. علاوه بر این قابلیت پایش ملزم به بازیابی contextual data feed مانند دارایی های اطلاعاتی و اطلاعات هویتی و فیدهای هوشمند مقابله با تهدیدات که با هدف ارایه هشدارها استفاده می شوند.
سیستم های SIEM مبتنی بر تحلیل ملزم به شناسایی کلیه نهادهای یک محیط IT شامل کاربران، ابزارها و نرم افزارها به همراه کلیه فعالیت های مرتبط با هر یک از این نهادها، است. SIEM به منظور شناسایی طیف گسترده ای از رفتارهای غیرمعمول، باید قادر به استفاده از این داده ها در هر لحظه ای باشد. پس از شناسایی، داده ها به شکلی ساده وارد جریان کار شناسایی و ارزیابی خطرات بالقوه شده و به این ترتیب ریسک های کسب وکار شناسایی و معرفی می شوند.
می بایست مجموعه ای از قوانین از پیش تعیین شده و سفارشی، یک کنسول رخدادهای امنیتی به منظور نمایش لحظه ای وقایع اتفاق افتاده و داشبوردهایی به منظور ارایه یک دیدکلی نسبت به تهدیدات پیوسته و در حال پیشرفت، وجود داشته باشد. در نهایت کلیه این قابلیت ها از طریق ارایه برنامه های جستجوی لحظه ای و برنامه ریزی شده به منظور شناسایی ارتباط رخدادها تکمیل می شود. این جستجوها از طریق یک UI با کاربری ساده در اختیار مدیران IT قرار می گیرد.
در نهایت SIEM مبتنی بر تحلیل نیازمند قابلیت جستجوی محلی داده ها در هر زمانی به منظور کاهش بار ترافیکی جستجوی داده ها نیز می باشد.

صرفه جویی در هزینه های سرمایه گذاری و زمان شرکت Autodesk با استفاده از بکارگیری Splunk در AWS

مشتریان در کلیه بخش های صنعت ساختمان، معماری، ساخت و ساز و صنایع سرگرمی شامل ۲۰ برنده برتر جایزه اسکار برای بهترین جلوه های بصری از نرم افزارهای Autodesk به منظور طراحی، تجسم و شبیه سازی ایده های خود استفاده کردند. با توجه به تاثیرات جهانی این مساله Autodesk با دو چالش مجزا روبرو بود: نیاز به کسب اطلاعات و آگاهی کلی در زمینه های عملیاتی، امنیتی و کسب وکار در سراسر گروه های مختلف داخلی و انتخاب بهترین زیرساخت به منظور استقرار نرم افزارهای هوشمند عملیاتی است.
پس از شرکت Autodesk از بستر Splunk ، این شرکت از مزایای زیر بهره مند شده است:
• پس انداز چندین هزار دلاری
• درک عملیاتی و امنیتی وسیع تر
• مشاهده آنی عملکرد محصولات

چرا Splunk ؟

Splunk اولین بار در سال ۲۰۰۷ در دفتر مرکزی Autodesk به عنوان راهی برای کنترل و مهار اطلاعات دستگاه ها مورد استفاده در عیب یابی عملی، مورد استفاده قرار گرفت. امروزه استفاده از این ابزار گسترش یافته و شامل پایش لحظه ای، نظارت امنیتی دقیق و تحلیل کامل فرآیندهای کسب و کار در سراسر بخش های اجرایی Autodesk شامل موارد زیر است:
• سرویس های اطلاعاتی سازمانی یا EIS : مسئولیت مدیریت اطلاعاتی سراسری شامل اطلاعات امنیتی و مدیریتی را بر عهده دارد.
• گروه های مشتریان Autodesk یا ACG : مسئولیت کلیه محصولات مصرفی Autodesk بر عهده این بخش است.
• مدل سازی اطلاعات و بستر محصولات یا IPG : مسئولیت راهکارهای Autodesk برای مشتریان تجاری و صنعتی شامل طراحان و مهندسین کلیه صنایع است.
Autodesk به منظور کاهش زمان شناسایی و حل مسایل امنیتی از Splunk ES استفاده می کند. همچنین این شرکت از Splunk App در AWS به منظور ارایه و مدیریت انعطاف پذیر منابع برای Splunk Enterprise و سایر برنامه های مهم و حساس، بهره می گیرد.
توانمندسازی تصمیم گیری های مبتنی بر داده
شرکت Autodesk با استفاده از Splunk Enterprise، Splunk App for AWS، Splunk Enterprise Security و سایر راهکارهای Splunk، درک کاملی نسبت به کارایی عملیاتی، امنیتی و عملکرد محصولات خود، کسب کرد. همچنین این شرکت با استفاده از تحلیل های مبتنی بر داده و انعطاف پذیر Splunk و بستر مبتنی بر AWS، نتایجی همچون صرفه جویی در زمان، کاهش هزینه سرمایه و افزایش حوزه و ژرفای تصمیمات حیاتی را کسب کرده است.

 

پاسخ رخدادها incident response splunk

درون مایه هر استراتژی واکنش در مقابل حوادث، شامل بستر پایداری از SIEM است که نه تنها امکان شناسایی رخدادهای متمایز را فراهم می کند بلکه ابزاری به منظور ردیابی و تفسیر آنها ارایه می دهد. راهکارهای امنیتی می بایست برای کلیه اعضای یک سازمان با سطوح مختلف دسترسی و نقش های کاری متفاوت فراهم شود. سایر قابلیت های کلیدی شامل همگرایی دستی و یا خودکار رویدادها، پشتیبانی از APIs که امکان استخراج و ورود اطلاعات سیستم های Third-party را داشته باشند، قابلیت تجمیع شواهد قانونی و کتابچه راهنما به منظور هدایت شرکت ها در پاسخگویی به حوادث امنیتی خاص است. مهمترین قابلیت SIEM مبتنی بر تحلیل شامل قابلیت پاسخگویی خودکار می شود که امکان ایجاد اختلال در فرآیند یک حمله سایبری را فراهم می کند.
در واقع بستر SIEM، می ایست به صورت hub around بوده به عبارت دیگر امکان تنظیم یک جریان کار سفارشی برای مدیریت حوادث وجود داشته باشد. مطمئنا هر یک از رخدادها سطح ضرورت متفاوتی دارند. بستر SIEM مبتنی بر تحلیل از طریق داشبوردهایی که قابلیت رده بندی رخدادهای مهم را دارند امکان طبقه بندی شدت تهدیدات بالقوه را خواهند داشت و به بررسی جزییات رخدادها با هدف کسب شواهد تحقیقاتی می پردازد. در نتیجه بستر SIEM مبتنی بر تحلیل، ابزاری ارزشمند به منظور تصمیم گیری و تعیین بهترین واکنش در مقابل هر رویدادی را در اختیار سازمان ها قرار می دهد.
قابلیت های پاسخگویی شامل توانایی شناسایی و تعیین وضعیت رخدادهای مهم، تعیین شدت آن، ایجاد روند بازسازی و رسیدگی کل فرآیند یک رخداد و حوادث جانبی آن است. در ضمن داشبوردی ساده جهت اعمال مستقیم فیلترها در حین یک تحلیل و توسعه و یا کاهش سطح تحقیق ضروری است. در نهایت کلیه اعضای تیم امنیتی باید امکان اعمال واکنش مناسب، تعیین جدول زمانی انجام کار و یادداشت اعمال صورت گرفته به منظور آگاهی سایر اعضای گروه از رخدادها و واکنش های در نظر گرفته شده، را داشته باشند. این جداول زمانی در یک دیتابیس به منظور بررسی حملات و اجرای راهکار مقابله با حوادث مشابه، نگهداری می شوند.

تضمین قابلیت پایش سراسری شبکه شرکت PagerDuty به وسیله Splunk Cloud و AWS

مشتریان گرایش خاصی به PagerDuty، enterprise incident response service دارند، این امر به منظور مدیریت و رفع سریع و کارآمد مشکلات IT به وجود آمده است. زمانی که شرکت های مبتنی بر ابر نیازمند راهکاری جهت تامین الزامات تحلیل های عملیاتی خود بودند؛ رویکردی که اغلب این شرکت ها در این خصوص اتخاذ کردند، استفاده از Splunk cloud در AWS است. PagerDuty با استفاده از Splunk cloud و AWS، دسترس پذیری سرویس ها و امکان توسعه آنها متناسب با تقاضای مشتریان را تضمین می کند. PagerDuty از زمان استقرار Splunk Cloud از مزایایی که از جمله آنها می توان به موارد زیر اشاره کرد، بهره مند شده است:
• تضمین رضایت مشتریان و ارایه خدمات ابری با دسترس ذیری بالا
• کاهش ۳۰ درصدی هزینه های ارایه خدمات نسبت به سرویس های پیشین
• کاهش زمان پاسخگویی و رفع مشکلات در زمان وقوع رخدادهای امنیتی (از ۱۰ دقیقه تا حدود یک دقیقه و یا چند ثانیه)

چرا Splunk ؟

Arup Chakrabarti، مدیر بخش مهندسی زیرساخت در PagerDuty که شامل بخش های قابلیت اطمینان سایت ها، بستر داخلی و مهندسی امنیتی است. هدف این بخش ارتقا بهره وری و کارایی در سراسر سازمان است.
PagerDuty پیش از استفاده از Splunk Cloud از یک راهکار مبتنی بر ثبت وقایع استفاده می کرده است، که با توجه به گسترش سازمان شاخص گذاری و نگهداری از هزاران گیگابایت رخداد ثبت شده غیر ممکن بوده است. علاوه بر این تیم امنیتی با مشکل بزرگتری مواجه بود و آن استخراج داده های عملی از حجم عظیم اطلاعات ثبت شده و تصمیم گیری و پاسخ سریع در زمان وقوع رویدادها است. پس از اجرای Splunk Cloud در کنار سرویس موجود، تیم امنیتی سرعت ارایه شده در پاسخگویی به رخدادها توسط Splunk Cloud را معقول و تضمین کننده سرعت بالای پاسخگویی و دسترس پذیری بالا برای مشتریان دانست. در طول چند روز مهندسین عملیات انتقال به Splunk Cloud را انجام دادند.
Chakrabarti بیان کرد:” با استفاده از راهکار پیشین، مدت زمان جستجو در داده ها تا ۳۰ دقیقه می رسید که اغلب نتیجه بدست آمده نیز غیر قابل قبول بوده است. با استفاده از Splunk Cloud، زمان مورد نیاز برای تفکیک داده ها از منظر مشتری از چند ثانیه تا حداکثر ۱۰ دقیقه کاهش یافته است. همچنین اگر چه انتخاب Splunk Cloud از منظر هزینه مورد بررسی قرار گرفته نشده بود، لیکن تیم حسابداری از کاهش هزینه های ایجاد شده توسط طرح جدید شگفت زده شده اند.”

پایش و نظارت بر کاربران 

کمترین وضعیت نظارت بر کاربران، شامل پایش فعالیت های کاربر، تحلیل میزان دسترسی، احراز هویت داده، استقرار user context و ارایه هشدارهای لازم در خصوص هرگونه رفتار مشکوک، نقض قوانین و سیاست گذاری ها است.
نظارت بر کاربران می بایست به صورت هدفمند صورت گیرد، برخی کاربران بیشتر از سایرین در معرض اهداف حملاتی قرار می گیرند؛ لذا لزوم بررسی دقیق تر این کاربران مشاهده می شود، چرا که در صورت قرار گرفتن آنها در معرض چنین خطراتی احتمال بروز آسیب بیشتری برای کل سیستم را در پی دارد. در حقیقت با توجه به وجود چنین ریسک هایی، بسیاری از صنایع قانونی از پایش کاربران، به منظور تامین الزامات قوانین گزارش compliance استفاده می کنند.
دستیابی به این اهداف نیازمند دیدگاه بهنگام و قابلیت های بهره برداری از مکانیزم های مختلف احراز هویت است که امکان توسعه در انواع مختلف برنامه های ۳rd party را داشته باشند.

بهره گرفتن شرکت Travis Perkins PLC از SIEM مبتنی بر تحلیل به منظور فعال سازی قابلیت گذار به ابر ترکیبی

شرکت Travis Perkins PLC یکی از خرده فروشان بازار بازسازی ساختمان ها در بریتانیا با ۲۸۰۰۰ کارمند و ۲۰۰۰ بازار فروش است. در سال ۲۰۱۴ این شرکت اولین اقدامات لازم به منظور استقرار سیستم های مبتنی بر ابر را آغاز کرد، لیکن راهکارهای امنیتی موجود در شرکت پاسخگوی نیازهای محیط هیبریدی نبود. بنابراین شرکت به بررسی راهکارهای جایگزین پرداخت و لذا Splunk Cloud را انتخاب کرد و Splunk Enterprise و Splunk ES را به عنوان SIEM مورد استفاده قرار داد. از زمان استقرار Splunk شرکت Travis Perkins PLC از مزایای آن شامل موارد زیر بهره مند شده است:

• افزایش قابلیت پایش و نظارت کل شبکه زیرساخت هیبریدی
• قابلیت شناسایی و واکنش در مقابل تهدیدات پیچیده سایبری
• کاهش هزینه های IT با توجه به کارایی بیشتر منابع

چرا Splunk ؟

با توجه به شرایط چالش برانگیز بازارها پس از رکود اقتصادی سال ۲۰۰۸، Travis Perkins PLC اولویت های سرمایه گذاری خود را تغییر داده و بدین ترتیب حوزه IT شرکت دیگر اولویت سرمایه گذاری شرکت نبوده است. در سال های اخیر، بهبود شرایط کسب وکار موجب بازنگری و بررسی استراتژیک زیر ساخت ها شده و بکارگیری راهکارهای مبتنی بر ابر به عنوان رویکردی در کاهش هزینه ها و افزایش انعطاف پذیری مورد استفاده قرار گرفتند. زمانی که Travis Perkins PLC سرویس هایی از جمله G Suite از Google Cloud، Amazon Web Services و Infor CloudSuite به صورت ابری منتشر کردند، متوجه عدم کارایی SIEM موجود در پاسخگویی به رخدادهای امنیتی موجود در یک محیط ترکیبی شدند. بنابراین به بررسی راهکارهای جایگزین ارایه شده توسط شرکت های HP، IBM و LogRhythm پرداختند و پس از مقایسه جزییات هر یک از این راهکارها، Splunk Cloud، Splunk Enterprise و Splunk ES به منظور کسب دیدکلی نسبت به رخدادهای امنیتی صورت گرفته انتخاب شدند.

ایجاد امنیت سراسری

Travis Perkins PLC از استقرار Splunk ES نه تنها به منظور بهره برداری امنیتی بلکه جهت ارتقا آگاهی امنیتی همه افراد استفاده می کنند. کارکنان تیم های IT، از طریق دسترسی به داشبوردهای خود و دریافت هشدارهای لازم امکان پاسخگویی موثر در مقابل تهدیدات بالقوه و انجام اقدامات ضروری پیش از ارجاع به تیم های امنیتی را خواهند داشت. بنابراین Travis Perkins PLC یک مرکز عملیاتی SOC بسیار مطمئن بدون نیاز به سرمایه گذاری قابل توجه مستقر کرده است.

سیستم دفاعی خودکار

تامین امنیت برای تیم فناوری شرکت Travis Perkins PLC، با وجود ۲۴۰۰۰ کارمند در سراسر بریتانیا که ابزارهای ارتباطی متفاوتی را مورد استفاده قرار می دهند، مساله ای چالش برانگیز است. در حال حاضر این شرکت با استفاده از Splunk ES، ریسک فعالیت های مختلف را بر اساس داده های موجود و یا بر مبنای هشدارهای ارایه شده توسط راهکارهای امنیتی موجود، محاسبه می کنند. در کسب وکارهایی که با مشکلاتی چون حملات فیشینگ ایمیل روبرو هستند، چنانچه کلاینت مشکوکی شناسایی شود، هشدارهای لازم از طریق بستر Splunk به صورت خودکار تولید و ارایه می شود. سپس تیم های مرتبط با استفاده از یک پاسخ از پیش تعیین شده واکنش متناسب را نشان می دهند. Splunk ES به صورت گلوگاهی با دید جامعی نسبت به کل دارایی ها و کاربران عمل کرده و نقش بسزایی در کاهش زمان مورد نیاز برای حل و فصل مشکلات امنیتی ایفا می کند.

 سیستم هوشمند مقابله با تهدیدات

SIEM مبتنی بر تحلیل دو شکل متمایز از سیستم های هوشمند دفاع در مقابل تهدیدات را ارایه می دهد.
نوع اول شامل اطلاعاتی چون شاخص های compromise، تکنیک ها و فرآیندهایی جهت مقابله با انواع مختلفی از رخدادهای امنیتی و فعالیت های مشکوک است. این سیستم هوشمند موجب سهولت شناسایی فعالیت های غیرمعمول مانند اتصالات outbound به IP خارجی که به عنوان سرور C2 وجود دارند، شده است. با این سطح از اطلاعات تهدیدات، تحلیلگران به ارزیابی دقیق تر خطرات پرداخته و تاثیر و اهداف حملات را بررسی و به اولویت بندی پاسخ ها می پردازند.
نوع دوم اطلاعات، شامل ارزیابی میزان اهمیت منابع، کاربری، ارتباطات، مالکیت و در نهایت نقش کاربران و وضعیت فعالیت های آنها است. این اطلاعات از لحاظ تحلیل میزان خطر و تاثیرات بالقوه آن اهمیت فراوانی دارد. به عنوان مثال SIEM مبتنی بر تحلیل، می بایست توانایی تایید اطلاعات هویتی کارمندان و مشخصات هویتی VPN آنها را در هنگام ورود به منظور ارایه اطلاعات مورد نیاز کارمندان در هر نقطه جغرافیایی، داشته باشد. به منظور ارایه سطوح عمیق تری از تحلیل های هوشمند، SIEM ملزم است قابلیت نفوذ به سایر API به منظور درک فرآیند کاری آنها و همچنین ترکیب داده های بدست آمده از دیتابیس های مرتبط با machine data را داشته باشد.
اطلاعات سیستم های هوشمند مقابله با تهدیدات می بایست با machine data تولید شده توسط زیرساخت های مختلف IT و برنامه های گوناگون به منظور ایجاد یک watch list ادغام شوند، قوانین همبستگی و Query مختلف در افزایش نرخ تشخیص موفق و زود هنگام هر گونه نقض قوانین و تعهدات تاثیر بسزایی خواهند داشت. این اطلاعات همواره ملزم به حفظ ارتباط و همبستگی با داده های رخدادها هستند و به بخش گزارشات داشبوردها افزوده شده و یا به ابزارهای مرتبط مانند فایروال و یا IPS که امکان بازیابی و پیشگیری از نفوذ را دارند، ارجاع داده می شوند.
داشبوردهای ارایه شده توسط SIEM باید قابلیت شناسایی و ردیابی وضعیت محصولات آسیب پذیر مستقر شده در محیط IT را داشته باشند؛ این مراحل شامل بررسی صحت و سقم سیستم های اسکن شده و مشخص کردن سیستم هایی که عملیات اسکن آسیب پذیری بر آنها صورت نگرفته است، می شود.
به طور خلاصه یک سیستم هوشمند مقابله با تهدیدات به ارایه پوشش کاملی از راهکارهای مقابله در برابر انواع مختلف تهدیدات، سیستم شناسایی تهدیدات مبتنی بر هوش مصنوعی، اولویت بندی تهدیدات بر مبنای لیست های مختلف تهدیدات و تعیین بار هر یک از تهدیدات به منظور تشخیص ریسک های واقعی تهدید کننده کسب و کارها، می پردازد.

یکپارچه سازی سیستم هوشمند امنیتی به اشتراک گذاشته شده در ۴۰ نمایندگی سطح شهر لس آنجلس

شهر لس آنجلس به منظور محافظت از زیرساخت های دیجیتالی خود نیازمند آگاهی وضعیتی از موقعیت امنیتی و استقرار سیستم های امنیتی هوشمند مقابله با تهدیدات برای ادارات و ذینفعان خود است. در گذشته بیش از ۴۰ سازمان از اقدامات امنیتی متفاوتی استفاده می کردند که این مساله پیچیدگی ترکیب و تحلیل داده ها را در پی داشت. لس آنجلس خواستار یک سیستم اطلاعاتی SaaS قابل توسعه و راهکاری برای مدیریت رخدادها به منظور شناسایی، اولویت بندی و کاهش تهدیدات به منظور پایش کامل فعالیت های مشکوک و ارزیابی خطرات موجود، بوده است. از زمان استقرار Splunk Cloud و Splunk ES، این شهر از مزایای زیر بهره مند شده است:
• ایجاد SOC در سطح شهر
• سیستم هوشمند بهنگام مقابله با تهدیدات
• کاهش هزینه های عملیاتی
ایجاد آگاهی situational
Splunk Cloud دیدگاه جامعی نسبت به موقعیت امنیتی این شهر فراهم کرده است. فرستنده های Splunk اطلاعات رخدادهای ثبت شده از بخش ها و ادارات مختلف شهر را به Splunk cloud ارسال می کنند، در این بخش اطلاعات نرمال سازی شده و به SOC یکپارچه بازگردانده می شوند، سپس اطلاعات بررسی شده و در داشبوردهای Splunk قابل مشاهده خواهند بود. با استفاده از داشبوردهای پیش ساخته و قابل تنظیم Splunk ES اطلاعات اجرایی و تحلیل های صورت گرفته همواره در دسترس خواهند بود و اطلاعات کاملی در ارتباط با رخدادهای امنیتی صورت گرفته در سراسر زیرساخت فناوری شهر فراهم می آورند. تیم Lee با استفاده از اطلاعات بروزرسانی شده، به مقایسه اطلاعات machine data، شامل اطلاعات ساختار یافته و غیر ساختار یافته پرداخته و کلیه اطلاعات مورد استفاده در سیستم های هوشمند مقابله با تهدیدات را استخراج می کنند.

سیستم هوشمند مقابله با تهدیدات بهنگام

SOC یکپارچه این شهر علاوه بر جمع آوری اطلاعات، به تهیه و ارایه اطلاعات عملی نیز می پردازد و اطلاعات Splunk Cloud را به سیستم های هوشمند مقابله با تهدیدات منتقل می کند. اطلاعات با نمایندگی های مختلف سطح شهر و همچنین سازمان های ذینفع خارج از شهر همچون FBI، اداره امنیت داخلی، سرویس های مخفی و سایر سازمان های اجرایی قانونی به اشتراک گذاشته می شود. با استفاده از این اطلاعات این شهر با سازمان های فدرال در شناسایی ریسک ها و توسعه استراتژی های جلوگیری از نفوذ همکاری می کند.
Lee اظهار داشت: “ما با استفاده از آگاهی situational، موقعیت و وضعیت خود را درک می کنیم، لیکن با استفاده از سیستم های هوشمند مقابله با تهدیدات قادر به شناسایی مهاجمان خواهیم بود. در حال حاضر درصدد اجرای یک برنامه هوشمند یکپارچه و Splunk SIEM به عنوان یک بستر مدیریت مرکزی اطلاعات که قابل استقرار در ISOC است، هستیم.”
تحلیل های پیشرفته

SIEM مبتنی بر تحلیل، امکان انجام تحلیل های پیشرفته از طریق بکارگیری روش های کمی پیشرفته همچون داده کاوی پیش نگر، آماری و توصیفی، machine learning، شبیه سازی و بهینه سازی، را به منظور ارایه دید کاملی نسبت به تهدیدات صورت گرفته دارد. روش های تجزیه و تحلیل پیشرفته شامل تشخیص رفتارهای خلاف قاعده، peer group profiling و مدل سازی ارتباطات کلیه ابزارها و نرم افزارها است. SIEM مبتنی بر تحلیل، نیازمند ارایه ابزارهایی جهت مشاهده قابلیت پایش و ایجاد ارتباط میان اطلاعات، به عنوان مثال نگاشت طبقه بندی شده رخدادها در مقابل زنجیره ای از حملات و یا ایجاد heat map به منظور پشتیبانی بهتر بررسی رخدادها، است.
تامین کلیه موارد بالا مستلزم دسترسی است که بستر SIEM امکان استفاده از الگوریتم های machine learning را ممکن کرده و امکان بررسی و شناسایی خودکار یک رفتار معمول و عادی از یک رفتار مشکوک را داشته باشد. این سطح از تحلیل رفتاری قابلیت ساخت، اعتبارسنجی و استقرار مدل های پیش نگر را فراهم می کند. در این مساله حتی امکان استفاده از مدل های ساخته شده با سایر نرم افزارهای ۳rd party نیز در بستر SIEM وجود دارد.

 مستقر کردن SIEM مبتنی بر ابر در سیستم هوشمند امنیتی شرکت Equinix

شرکت Equinix ارتباط میان کسب وکارهای پیشرو جهان با مشتریان و کارمندان آنها در ۳۳ بازار بزرگ در سراسر ۵ قاره را برقرار می کند. امنیت، یکی از مهمترین فاکتورها در شرکت Equinix است؛ زیرا هزاران شرکت در سراسر جهان بر دیتاسنترها و سرویس های ارتباطی این شرکت متکی هستند. Equinix به منظور کسب یک دیدگاه یکپارچه در زمینه زیر ساخت امنیتی خود، نیازمند یک راهکار مبتنی بر ابر با قابلیت مدیریت و پایش مرکزی، کاربری SIEM است که امکان استقرار ساده، سریع و عملیاتی آن وجود داشته باشد. از زمان استقرار Splunk Cloud و Splunk ES، این شرکت از مزایای زیر بهره مند شده است:
• قابلیت اطمینان
• ارتقا وضعیت امنیتی
• صرفه جویی در زمان و هزینه

ارزیابی میزان قابلیت پایش زیرساخت توسط Splunk Cloud و Splunk ES

قبل از Splunk Cloud شرکت Equinix در هر ماه با حجم عظیمی در حدود ۳۰ بیلیون اطلاعات خام رخدادهای امنیتی تولید شده، روبرو بود. با استفاده از Splunk Cloud و Splunk ES، تیم امنیتی این اطلاعات خام را در ۱۲۰۰۰ رخداد امنیتی مرتبط دسته بندی کرده است و ۲۰ هشدار امنیتی قابل اجرا ارایه می دهند، بنابراین یک سیستم هوشمند امنیتی عملیاتی که پایه SOC اختصاصی است، فراهم می شود. با استفاده از کلیه اطلاعات جمع آوری شده در بستر Splunk، تیم های امنیتی امکان بررسی داده های با مرجع متقابل بین سیستم ها و جستجو و پاسخ تا سی درصد سریع تر به رخدادها را خواهد داشت. George Do، مدیر امنیت اطلاعات شرکت Equinix بیان کرد:”هدف نهایی ما حفاظت از مشتریان، کارمندان و اطلاعات است. با استفاده از Splunk cloud و Splunk ES به عنوان بستر SIEM، اطلاعات همواره به صورت امن در دسترس ما خواهد بود”.
او همچنین اظهار داشت: “هر زمان نیاز به بررسی یک رویداد وجود داشته باشد، اطلاعات امنیتی مرتبط با آن در داشبورد Splunk تیم های امنیتی و مدیران اجرایی سطح C قابل مشاهده خواهد بود. در مقایسه با SIEM سنتی محلی موجود، این روش موجب صرفه جویی در زمان و کاهش ۵۰ درصدی هزینه های مالکیت (TCO ) شده است.”
در حال حاضر این شرکت با استفاده از مزیت های Splunk ES به یک راهکار تحلیل امنیتی جامع دست یافته است. هر زمان نشانه های رفتارهای مشکوک کاربری مشاهده شود، به عنوان مثال زمانی که یک کارمند محلی به صورت غیرمنتظره وارد سامانه قاره دیگری شود، بلافاصله هشدارهای با اولویت امنیتی بالا به تیم امنیتی ارسال می شود. همچنین بکارگیری Splunk Cloud به همراه Splunk ES در این شرکت امکان جلوگیری از افشای اطلاعات حساس را ایجاد کرده است. به ویژه در شرایط خاص مدیران از این اطلاعات به منظور تشخیص تخلفات کارمندان در خصوص سرقت اطلاعات محرمانه استفاده می کنند.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Splunk را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

قابلیت شناسایی پیشرفته تهدیدات

تهدیدات به صورت پیوسته تکامل می یابند. SIEM تحلیلی با استفاده از استقرار سیستم پایش امنیتی شبکه امکان مطابقت با تهدیدات جدید، شناسایی و بررسی endpoint قابلیت واکنش در مقابل sandboxing ارائه می دهد و تحلیل رفتاری در ترکیب با سایر سیستم های شناسایی قابلیت قرنطینه تهدیدات بالقوه جدید را خواهد داشت. اغلب فایروال ها و راهکارهای جلوگیری از نفوذ تمام این قابلیت ها را به صورت همزمان ندارند.
هدف نهایی نه تنها تشخیص تهدیدات است بلکه تعیین دامنه این تهدیدات از طریق شناسایی نحوه حرکت و تاثیرات آنها، نحوه محدود کردن و نوع به اشتراک گذاری اطلاعات را نیز در بر می-گیرد.

رویکرد SAIC در ارتقا قابلیت پایش و شناسایی تهدیدات

SAIC، یک تکنولوژی پیشرو در زمینه بازارهای فنی، مهندسی و اطلاعات سازمانی است. SAIC، با دارا بودن تخصص در زمینه های تحقیقات علمی، سرویس های مدیریت برنامه و IT بیشترین درآمد خود را از سازمان هایی چون دولت ایالات متحده امریکا کسب می کند. این شرکت نیاز به ساخت مرکز عملیات امنیتی (SOC) و یک تیم پاسخگویی به رویدادهای کامپیوتری (CIRT )، به منظور مقابله با حملات سایبری دارد. این شرکت از زمان توسعه بستر Splunk از مزایای زیر بهره مند شده است:
• ارتقا وضعیت امنیتی و عملیاتی
• کاهش ۸۰ درصدی زمان تشخیص و بازیابی
• امکان پایش کامل محیط شرکت
Why Splunk
در سال ۲۰۱۳ پس از تفکیک SAIC به دو شرکت مجزا با هدف تفکیک حوزه های کاری، SAIC ملزم به ساخت یک SOC به عنوان بخشی از برنامه امنیتی جدید خود بود. با وجود اینکه این شرکت زیرساخت های امنیتی مورد نیاز خود را داشته است لیکن کمبود راهکاری جهت مدیریت رخدادها و اطلاعات امنیتی به منظور تحکیم سیستم دفاعی مشهود می باشد. SIEM سنتی موجود در شرکت پاسخگوی نیازهای توسعه ای آن نیست؛ بنابراین این شرکت تصمیم به ارتقا SIEM با استفاده از Splunk Enterprise گرفته است، از طریق این بستر امکان شناسایی رخدادها با استفاده از بررسی ارتباطات آنها و تحقیق در ارتباط با رخدادهای امنیتی وجود دارد. در حال حاضر کارکنان IT شرکت از راهکارهای Splunk مستقر شده به منظور پایش شبکه، مدیریت عملکرد، تحلیل نرم افزارها و ارایه گزارش ها استفاده می کنند.
هنگامی که SAIC شروع به ساخت SOC جدید خود کرد، این شرکت تصمیم به استفاده از Splunk به عنوان یک بستر هوشمند امنیتی برای کلیه نیازهای SIEM خود همچون شناسایی رخدادها، بررسی و پایش پیوسته، ارایه هشدارها و تحلیل های یکپارچه، گرفته است.

شناسایی و نظارت کامل بر تهدیدات سراسر شبکه

در حال حاضر شرکت SAIC از Splunk به منظور نظارت بر تهدیدات سراسر شبکه استفاده می کند. در SOC، تحلیلگران داشبوردهای سفارشی Splunk را به منظور ارایه هشدارهای لازم در صورت مشاهده هرگونه نشانه ای از رفتارهای غیرمعمول و یا غیرمجاز، مورد استفاده قرار می دهند. در حال حاضر آنها از تهدیدات شناخته شده، مبتنی بر امضا (مانند تهدیداتی که از طریق IDS و یا بدافزارها وارد می شوند) و ناشناخته (همچون یک کاربر با دسترسی های مجاز فعالیت های مشکوکی را انجام می دهد)، به صورت آنی مطلع می شوند.
SIEM سنتی از روش های از پیش تعیین شده و غیر قابل تغییر به منظور انجام جستجوها استفاده می کنند که اغلب در بررسی تهدیدات پیشرفته و تولید خطای نوع اول و نوع دوم ناتوان هستند. تحلیلگران SAIC، با استفاده از بستر Splunk علاوه بر قابلیت جستجوهای دقیق به منظور شناسایی تهدیدات و هرگونه IOC ، تیم امنیتی امکان ارزیابی و مدیریت ریسک را خواهد داشت. در حال حاضر مدیران اجرایی از جمله CISO، می توانند شاخص های کلیدی فعالیت هر یک از تهدیدات شامل فرآیند تهدید، محل جغرافیایی منبع تهدید و جدیدترین IOC، را مشاهده کنند.

آشنایی با SIEM و ضرورت پیاده سازی در شبکه

SIEM چیست؟

Security information and event management )SIEM ) همچون سیستم های رادار در سیستم کنترل ترافیک هوایی عمل می کند و بدون حضور آن شرکت های فناوری اطلاعات کنترلی بر سیستم های خود نخواهند داشت. اگرچه سیستم ها و نرم افزارهای امنیتی در شناسایی و ثبت حملات غیرمعمول عملکرد مناسبی دارند، لیکن امروزه تهدیدات پیچیده تر شده اند، به علاوه این تهدیدات در سطح وسیع تری توزیع می شوند و از تکنیک های پیشرفته ای به منظور جلوگیری از ردیابی استفاده می کنند. بدون وجود SIEM، حملات قابلیت گسترش سریع و ایجاد تلفات جبران ناپذیری را خواهند داشت.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای SIEM را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

امروزه لزوم برخورداری از SIEM با افزایش پیچیدگی حملات و استفاده گسترده از سرویس های مبتنی بر ابر، که سطح آسیب پذیری شبکه ها را افزایش می دهد، مشهود است. 
در این کتابچه راهنمای خریداران، به ماهیت راهکارهای SIEM، روند تکامل آنها و نحوه انتخاب مناسب ترین روش متناسب با نیازهای سازمان ها پرداخته شده است.
گارتنر، SIEM را چنین معرفی می کند که SIEM یک فناوری با قابلیت شناسایی تهدیدات و پاسخ امنیتی مناسب در زمان حملات، از طریق مجموعه ای به روز و تحلیل طیف وسیعی از رخدادهای امنیتی است.
در حقیقت SIEM بستری امنیتی است که گزارش رخدادها را دریافت و یک نتیجه کلی به همراه تحلیل های تکمیلی ارایه می دهد.

روند تکامل SIEM

SIEM یک فناوری جدید نبوده و پایه های آن سابقه ای ۱۵ ساله دارد. با گذشت زمان SIEM بیشتر به بستری اطلاعاتی تبدیل شد، که به جمع آوری گزارشات فایروال ها و سایر ابزارها می پردازد؛ لیکن تکنولوژی SIEM معمولا پیچیده و تنظیم آن مشکل بوده و امکان توسعه آن وجود نداشت.
موارد فوق الذکر، SIEM را به سمت اتخاذ رویکردی با انعطاف پذیری بیشتر سوق داد. امروزه این مسئله با توجه به توسعه استفاده از راهکارهای مبتنی بر ابر و تحولات دنیای دیجیتال که کلیه جنبه های زندگی را تحت تاثیر قرار داده اند، اهمیت ویژه ای یافته است.
درک تفاوت صورت قدیمی SIEM و نوع تحلیلی مدرن آن حائز اهمیت است، که در ادامه به این مساله پرداخته خواهد شد. لیکن درک موارد استفاده از SIEM و شناسایی دقیق نیازهای سازمان در تشخیص بهترین راهکار متناسب با نیازها، اهمیت ویژه ای دارد. این مساله نیاز به تمایز میان شیوه های سنتی SIEM و راهکارهای مدرن تحلیلی آن را آشکار می سازد.
 شیوه های سنتی SIEM منسوخ شده است

به طور نسبی یافتن مکانیسم جمع آوری، ذخیره و تحلیل امنیتی داده ها ساده است. هیچ کمبودی از لحاظ ذخیره اطلاعات وجود ندارد. لیکن جمع آوری کلیه اطلاعات امنیتی و تبدیل آن به سیستم هوشمند عملیاتی موضوعی متفاوت خواهد بود. اغلب شرکت های IT که در بستر SIEM سرمایه گذاری کرده اند، در مواجه با این مسئله ناتوان بوده اند.
پس از صرف زمان و هزینه های گزاف، مشکل اصلی در رفتار استاتیک سیستم های ارایه دهنده اطلاعات امنیتی، SIEM است. اطلاعات موجود به منظور ارایه تحلیل ها، مبتنی بر رخدادهای امنیتی است، که موجب تشدید مشکل فوق خواهد شد. این موضوع معضل ایجاد ارتباط میان رخدادهای امنیتی و سایر اتفاقاتی که در سراسر یک شبکه به وقوع می پیوندد، را پیچیده تر می کند. زمانی که یک رخداد امنیتی اتفاق می افتد، تحقیق در ارتباط با این موضوع زمان ارزشمند شرکت های IT را هدر می دهد. راهکارهای سنتی SIEM، امکان تطبیق با سرعت مورد نیاز جهت بررسی رویدادهای امنیتی را نداشتند.
پذیرش گسترده سرویس های مبتنی بر ابر موجب گسترش تهدیدات امنیتی نیز شده است، از این روی شرکت ها ملزم به پایش فعالیت های کاربران، دسترسی نرم افزارها، software-as-a-service) SaaS) و سرویس های محلی ارایه شده، به منظور تعیین محدوده کامل تهدیدات و شناسایی حملات بالقوه هستند.
شکل زیر محدودیت های راهکارهای سنتی SIEM را نمایش می دهد.

معایب راهکارهای سنتی SIEM

موضوع/معضل نتیجه
عدم امکان استفاده از اطلاعات مورد نیاز محدود شدن حوزه ­های شناسایی، تشخیص و واکنش
نگهداری و اداره مشکل افزایش پیچیدگی و نیاز به نیروی متخصص
High false negative and  positives افزایش بار کاریsoftware-as-a-service) SecOps)
ناپایدار وجود وقفه­ ها و قطعی
داده­ های انعطاف­ناپذیر امکان سازگاری با شرایط بحرانی وجود ندارد
جریان کاری ایستا محدودیت های بیشتر
عدم امکان شناسایی تهدیدات جدید افزایش ریسک کسب و کار

استفاده از SIEM مبتنی بر تحلیل به عنوان یک راهکار جایگزین

امروزه شرکت های IT نیازمند راهکاری ساده به منظور ایجاد ارتباط میان دیتای مرتبط با رخدادهای امنیتی هستند. این راهکار کارمندان IT را در مدیریت وضعیت امنیتی یاری خواهد کرد. به این ترتیب یک شرکت فناوری اطلاعات به جای نقش ناظر بر رخدادها، قادر به پیش بینی آنها و انجام اقدامات لازم جهت رفع نقاط آسیب پذیر خواهد بود. بنابراین بستر SIEM تحلیلی به منظور رفع چنین نیازهایی ارایه شده است.
در این بخش به بیان تفاوت های میان صورت سنتی SIEM و نوع تحلیلی آن پرداخته می شود. گارتنر در زمینه تمایز این دو بیان می کند: SIEM مدرن با مساله ای بیش از دیتای گزارشات و اعمال ارتباط تحلیلی میان آنها برخورد دارد.
راهکار SIEM مبتنی بر تحلیل به پایش لحظه ای تهدیدات پرداخته و واکنش سریعی در مقابله با رخدادهای امنیتی نشان می دهند، در نتیجه از بروز آسیب جلوگیری کرده و سطح حملات را محدود می کنند. لیکن تمام این حملات صورت گرفته خارجی نبوده اند و پرسنل IT ملزم به پایش فعالیت های کاربران خود نیز هستند، بنابراین احتمال تهدیدات داخلی و هرگونه مصالحه ناخواسته ای کاهش می یابد. درک سیستم هوشمند مقابله با تهدیدات به طور گسترده و قرار دادن این مفاهیم در سطح یک سازمان، حیاتی است.
SIEM مبتنی بر تحلیل با قابلیت های واکاوی امنیتی برتر، تیم های IT را در استفاده از روش های کمی پیشرفته به منظور درک بهتر رخدادها و اولویت بندی واکنش ها یاری می کند. در نهایت امروزه SIEM به عنوان بستر اصلی رویارویی با تهدیدات، به ابزارهای پیشرفته و تخصصی جهت مقابله با حملات پیشرفته امروزی نیازمند است.
تفاوت عمده میان SIEM مدرن و صورت سنتی آن در انعطاف پذیری آن نسبت به محیط های مختلف و قابلیت استقرار آن به صورت محلی، ابری و در محیط های هیبریدی است. شکل زیر دلایل اصلی یک سازمان در انتخاب SIEM مدرن به جای شکل سنتی آن را نمایش می دهد.

دلایل عمده جایگزینی SIEM جدید

معماری سنتی SIEM اغلب از ساختار قدیمی، از یک طرح ثابت به همراه دیتابیس SQL استفاده می کنند. در چنین ساختاری محدودیت هایی چون توسعه در مقیاس های وسیع تر، کارایی و single point of failure  (SPOF  وجود دارد.

۱٫ محدودیت های امنیتی : با توجه به محدودیت های نوع داده های ورودی، همواره محدودیت های در زمینه شناسایی، بررسی و زمان واکنش مناسب وجود خواهد داشت.

۲٫ ناتوانی در ورود کارآمد اطلاعات: ورود اطلاعات در شکل سنتی SIEM فرآیندی پرهزینه و مشکل است.

۳٫ فرآیند تحقیق و بررسی به کندی صورت می گیرد: با استفاده از شکل سنتی SIEM، اقدامات پایه همچون جستجوی ساده در گزارشات اولیه در این فرآیند بسیار زمان بر بوده و اغلب ساعت ها و روزها به منظور تکمیل گزارش، مورد نیاز است.

۴٫ عدم پایداری و مقیاس پذیری : هر اندازه حجم دیتابیس مبتنی بر SQL بیشتر می شود، میزان پایداری آن کاهش می یابد. مشتریان اغلب از کارایی ضعیف و تعداد وقفه های بالا به علت عملکرد پایین سرورها اظهار نارضایتی دارند.

۵٫ چشم انداز نامشخص و غیرقابل پیش بینی : با تغییر مالکیت فروشندگان SIEM، رشد حوزه های تحقیق و توسعه (R&D) آنها کاهش یافته است. بدون سرمایه گذاری های مستمر و نوآوری های لازم، راهکارهای امنیتی، قدرت سازگاری با رشد روزافزون حوزه تهدیدات را نخواهند داشت.

۶٫ اکوسیستم محدود : فروشندگان SIEM سنتی، اغلب قدرت ادغام با سایر ابزارهای موجود در بازار را ندارند. مشتریان ملزم به استفاده از هر آنچه در SIEM گنجانده شده، و یا صرف هزینه های بیشتر جهت دریافت خدمات سفارشی هستند.

۷٫ محدود به روش استقرار محلی : SIEM سنتی، تنها قابلیت استقرار به صورت محلی را داشته و امکان توسعه آن در محیط های ابری و هیبریدی وجود ندارد.

 انتقال SIEM به ابر

اجرای SIEM در ابر و یا ارایه آن به عنوان SaaS، امکان رفع مشکلات بسیاری از سازمان ها با سیستم های هوشمند امنیتی خود را فراهم می کند، زیرا در حال حاضر بسیاری از مدیران IT اطمینان لازم به لحاظ تامین امنیت ابر را ندارند. پیش از تصمیم گیری در ارتباط با حذف SIEM مبتنی بر ابر، باید توجه داشت استقرار تکنولوژی های امنیتی در سرویس های وسیع ابری بی اندازه پیچیده تر از سیستم های مستقر شده در شرکت ها و سازمان ها است، بنابراین حذف SIEM مساله تامین امنیت در ابر را پیچیده تر خواهد کرد.
در حال حاضر SaaS به صورت گسترده ای در بسیاری از سیستم های مهم شرکت ها همچون CRM، HR و ERP استفاده می شود. همان گونه که استفاده از SaaS در نرم افزارهای سازمان ها موجب سرعت، استقرار ساده، بار عملیاتی کمتر، به روزرسانی خودکار، میزان صورت حساب پرداختنی متناسب با مصرف تبدیل کرده است. زیرساخت مستحکم، ابر را به یکی از بهترین گزینه ها برای SIEM تبدیل کرده است.
استفاده از راهکارهای مبتنی بر ابر امکان استفاده از طیف عظیمی از اطلاعات موجود در سیستم های محلی و ابری را فراهم می کند. با توجه به انتقال بار کاری بسیاری از سازمان ها به بسترهای LaaS ،platform-as-a-service) PaaS (infrastructure-as-aservice)و SaaS، سهولت ادغام با سیستم های third-party گویای اهمیت SIEM در ابر است. مزایای اصلی انتقال SIEM به ابر شامل انعطاف پذیری معماری هیبریدی، به روزرسانی خودکار نرم افزارها و پیکربندی ساده تر، زیرساخت قابل توسعه، قابلیت های کنترلی فراوان و دسترس پذیری بالا است.

موارد استفاده از SIEM در شرکت ها

اکنون با آگاهی از روند تکامل SIEM و ویژگی های نوع مدرن تحلیلی آن، به بیان موارد امنیتی که با استفاده از SIEM قابل حل است، پرداخته می شود. 
مهمترین نیازهای تیم های امنیتی شرکت ها شامل، تشخیص زودهنگام، واکنش سریع و مشارکت در کاهش تهدیدات است. ارایه گزارشات و پایش رخدادهای امنیتی دیگر به تنهایی پاسخگو نخواهد بود. مدیران امنیتی سازمان ها نیازمند اطلاعات وسیع تری از کلیه منابع تولید داده ها در سراسر یک سازمان شامل بخش های IT، ابری و کسب و کارها است. سازمان ها به منظور جلوگیری از حملات خارجی و اقدامات مخرب داخلی، نیازمند راهکارهای پیشرفته با قابلیت شناسایی و پاسخگویی سریع، بررسی رخدادها و هماهنگ با سناریوهای  CSIRT  Computer Security Incident Response Team) است. علاوه بر این سازمان ها نیازمند شناسایی و واکنش در مقابل تهدیدات شناخته شده، ناشناخته و پیشرفته هستند.
تیم های امنیتی سازمان ها، نه تنها با هدف رفع موارد امنیتی معمول بلکه به منظور جلوگیری از رخدادهای امنیتی پیشرفته تر ملزم به استفاده از SIEM هستند. با توجه به توسعه پویای و سریع حوزه تهدیدات، انتظار می رود SIEM مدرن قابلیت هایی از جمله موارد زیر را دارا باشد:
• متمرکز کردن و جمع آوری کلیه رویدادهای امنیتی در زمان وقوع آن در منبع ایجاد شده
• پشتیبانی از انواع مکانیزم های دریافت، جمع آوری مانند syslog، انتقال فایل، مجموعه فایل-ها و …
• سیستم های هوشمند مقابله با تهدیدات
• هماهنگی و هشدار در ارتباط با طیف وسیعی از داده ها
• شناسایی تهدیدات جدید و شناخته نشده
• شناسایی مشخصات یک رفتار در سراسر سازمان
• ورود کلیه اطلاعات (کاربران، نرم افزارها) و طرح آنها بگونه ای که قابل استفاده باشد .  پایش، هشدار، بررسی، ad hoc searching 
• ارایه ad hoc searching و گزارش تحلیلی داده به منظور تجزیه و تحلیل نقاط ضعف سیستم
• بررسی رخدادها و انجام تحقیقات قانونی به منظور تحلیل دقیق حوادث
• ارزیابی و گزارش وضعیت compliance
• بکارگیری تحلیل ها و گزارشات در وضعیت های امنیتی مختلف
• پیگیری اقدامات مهاجم با استفاده از تحلیل ad hoc دقیق و بررسی توالی رویدادها
اگر چه اطلاعات SIEM، اغلب از سرورها و ابزارهای گزارش گیری شبکه به دست آمده است لیکن می تواند از داده های کسب شده از ابزارهای امنیتی endpoint و شبکه، نرم افزارها، سرویس های ابر، سیستم های احراز هویت و تعریف مجوزهای دسترسی و پایگاه های داده آنلاین تهدیدات و نقاط ضعف موجود، استفاده کند. لیکن جمع آوری اطلاعات تنها نیمی از مجموعه فرآیند است. پس از گذار از مرحله جمع آوری نرم افزار SIEM، ارتباط مجموعه اطلاعات به دست آمده را در جستجوی شناسایی هر گونه رفتار غیر معمول، ناهنجاری سیستمی و هر گونه نشانه ای از یک رخداد بررسی می کند. این اطلاعات نه تنها به منظور ارایه هشدارهای آنی، بلکه به منظور بررسی و گزارش compliance، عملکرد داشبوردها، تحلیل معکوس و بررسی قانونی رخدادها پس از وقوع، استفاده می شود.
با توجه به رشد پیچیدگی و تعداد تهدیدات امنیتی به همراه افزایش ارزش دارایی های دیجیتال سازمان ها، استفاده از راهکارهای SIEM مبتنی بر تحلیل به عنوان بخشی از اکوسیستم امنیتی سازمان ها، تعجب آور نخواهد بود.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای SIEM را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

آیا حقیقتا نیازمند SIEM هستید؟

اکنون با آگاهی از موارد استفاده از SIEM، می توان تصمیم گیری های لازم در خصوص اینکه چه سازمان هایی نیازمند استقرار SIEM هستند، گرفت. ممکن است سازمانی نیازمند استقرار سیستم امنیتی پیشرفته نبوده و تنها استفاده از یک راهکار ساده مانند Central log management CLM پاسخگوی نیازهای آن باشد. به منظور کسب اطلاعات بیشتر به بخش Splunk Enterprise for security and log management مراجعه کنید.
راهکار مدیریت مرکزی گزارش ها چیست؟ CLM به عنوان راهکاری با قابلیت مدیریت مرکزی و بررسی اطلاعات وقایع ثبت شده، شناخته می شود. اطلاعات وقایع شامل اطلاعات تولید شده در پیام های سیستمی است که شامل وقایع روزمره یک کسب وکار، شرکت و یا نمایندگی های آنها می باشد؛ در ضمن اغلب به عنوان یک منبع پنهان در زمان رفع مشکلات و یا تلاش برای دستیابی به اهداف کسب وکار مورد استفاده قرار می گیرند. 
هدف از مدیریت ثبت وقایع، جمع آوری اطلاعات تولید شده توسط سیستم ها و تبدیل آن به اطلاعات قابل جستجو و گزارش است. بطور کلی CLM در بررسی حوادث و دسته بندی هشدارها کمک شایانی می کند. 
مدیریت رویدادهای ثبت شده به عنوان اصلی ترین پایه SIEM و دلیل پیدایش آن شناخته می شود. Anton Chuvakin، یکی از تحلیلگران مشهور SIEM است او در بررسی دلایل کاربری SIEM در سازمانی که نیاز به دید جامعی نسبت به وقایع رخ دارد، چنین بیان می کند: “این موضوع که از SIEM به عنوان تجمیع کننده وقایع ثبت شده استفاده می¬کنید، لزوما بدین معنا نیست که SIEM تنها برای این هدف قابل استفاده است.” به بیان دیگر چنانچه تنها با هدف جمع آوری اطلاعات وقایع ثبت شده از SIEM استفاده می کنید، راهکاری با هزینه بالا جهت دستیابی به هدف خود اتخاذ کرده اید. 
نکته اصلی در کاربری SIEM به هر دو شکل پایه و پیشرفته است. در انتهای روند تکامل SIEM راهکار نوآورانه Gartner با نام  UEBA  قرار دارد. اسامی دیگری برای این دسته از راهکارها وجود دارد؛ به عنوان مثال تحلیل امنیتی رفتار کاربران Forrester و Splunk UBA. کلیه این روش ها از شیوه های متفاوتی در ارجاع به تکنولوژی مشابه بهره می گیرند.
از UBA به منظور شناسایی و مقابله با تهدیدات داخلی و خارجی بهره گرفته می شود. در ضمن UBA، به عنوان راهکار پیشرفته امنیتی مورد استفاده قرار می گیرد، زیرا به عنوان پایه ای با توانایی آگاه شدن از فعالیت های معمول کاربر و ارایه هشدارهای لازم در صورت مشاهده رفتارهای غیرمعمول، شناخته و بکار گرفته می شود. با توجه به این مثال برای ایجاد یک پایه مناسب مورد استفاده در سیستم های امنیتی، UBA بایست فعالیت هایی همچون موارد زیر را ردیابی کند:
• محلی که کاربر به صورت معمول برای ورود به سیستم مورد استفاده قرار می دهد.
• مجوزها و دسترسی کاربر
• فایل ها، سرورها و برنامه هایی که کاربر به آن دسترسی دارند.
• ابزارهایی که کاربر معمولا برای ورود به سیستم مورد استفاده قرار می دهد.
برخی از فروشندگان UBA در تلاش جهت ورود به بازار SIEM هستند، لیکن مساله مورد توجه این است که UBA به تنهایی نمی تواند جایگزین SIEM شود. UBA، تنها به عنوان یک تکنولوژی امنیتی مطرح است. راهکارهای UBA در کنار SIEM قابل استفاده است. به همین صورت CLM نیز یک راهکار SIEM نیست.