آشنایی با سرویس Splunk در AWS آمازون

PAYG for Splunk Insights on AWS

امروز در نشست AWS سانفرانسیسکو، قابلیت استفاده از Splunk Insights به منظور پایش ابر AWS در حالت PYAG انتشار می یابد. نسخه آزمایشی ۱۵ روزه و نسخه کامل نرم افزار با پرداخت $/h2 در یک مدل قیمت گذاری ساعتی در دسترس عموم قرار گرفته است.
چنین گزینه های ساعتی دارای حجم روزانه ۱۰GB است که معمولا پاسخگوی نیازهای یک محیط AWS متوسط است، ارایه می شود. همچنین امکان استفاده از قراردادهای یکساله (با حداقل قیمت) از طریق پیشنهادات ویژه مرکز فروش ممکن خواهد بود.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Splunk را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

بکارگیری Splunk Insights به منظور AWS Cloud Monitoring AMI ، یک روش تحلیلی است به منظور پایش ابر با قابلیت بررسی end-to-end زیرساخت AWS و ارزیابی لحظه ای عملکرد، صحت، پیکربندی، امنیت و هزینه های زیرساخت است.
این کار چگونه انجام می شود؟
بکارگیری Splunk Insights به منظور AWS Cloud Monitoring امکان پایش فضای ابر که شامل موارد زیر است، را فراهم می کند:

پایش منابع و بررسی میزان مصرف آنها

بررسی منابع و تغییرات آن، همچنین قابلیت پایش کلیه منابع ابر که شامل AWS Config و منابع دیتا AWS CloudTrail است، را فراهم می کند. نقشه توپولوژی Splunk’s AWS شمای کلی از وضعیت توسعه AWS موجود را نمایش می دهد؛ که قابلیت مشاهده و بررسی وضعیت مکانی و ارتباط منابع را از طریق اکانت، منطقه،virtual private cloud) VCP) ، برچسب و زمان فراهم می کند. همچنین نمای کلی از زمان ایجاد محیط تاکنون را ارایه می دهد. با استفاده از داشبوردهای پیش ساخته، مشتریان امکان مشاهده میزان مصرفEC2 instance، رهگیری و مشاهده جزئیات مصرفElastic Block Store) EBS) ، حجم ترافیکSimple Storage Service) S3 )، جریان ترافیک VCP، میزان تاخیر ELB ، میزان فعالیت Lambda و تاخیر Content Delivery Network) CloudFront CDN) ، را خواهند داشت. Visualization، دید جامعی (بر حسب اکانت، منطقه، بر چسب و زمان) از instance انحصاری تا جستجوی های اولیه و متریک های اصلی ارایه می دهد.

نحوه محاسبه صورتحساب، هزینه مصرف و بهینه سازی

قابلیت مدیریت هزینه Splunk’s AWS با استفاده از AWS instance و فهرست نمونه های پیشین آغاز شده و تا حد یک نمای کلی از هزینه منابع مورد استفاده و بلااستفاده، هزینه بر حسب اکانت و هزینه بر حسب سرویس ارایه شده، گسترش پیدا می کند. ظرفیت تعاملی و برنامه ریزی داشبوردها (صورتحساب ماهیانه و تاریخی، برنامه ریزی بودجه و RI و ظرفیت ها) امکان مدیریت صحیح هزینه ها و سرمایه ها را در طول زمان فراهم می کند. با این روش شما امکان پایش هزینه ها و میزان مصرف منابع را دارید و چنین نگرش جامعی امکان بهینه سازی هزینه های ابر موجود و یا انتقال به ابر AWS را فراهم می کند. علاوه بر این RI Planner، امکان برنامه ریزیReserved Instance) RI) موجود را از طریق ارایه دید کاملی از منابع موجود و توصیه های لازم در خصوص بهینه سازی آنها به همراه تخمین میزان صرفه جویی سالانه بر اساس داده های قبلی و یا میزان مصرف داده پیش بینی شده، ارایه می کند.

امنیت: بررسی و مدیریت Compliance

مشتریان امکان مشاهده فعالیت های حسابرسی AWS، کاربران غیر مجاز، نقض تعهدات امنیتی گروه ها و کلیدهای عمومی و خصوصی، ترافیک VCP مبدا،تهیه instance 0جدید، ارزیابی یافته های امنیتی، بررسی compliance و تغییرات AWS instance، را خواهند داشت.

پایش و عیب یابی

داشبوردهایی که از ابزار Splunk Machine Learning استفاده می کنند، قابلیت بهینه سازی هزینه های RI جامع تر، EC2 sizing، بررسی صحت ELB،Security Group orphans and Elastic IPs inactivity.. جدول زمانی منابع Splunk امکان مقایسه و ایجاد ارتباط میان AWS Cloudwatch، CloudTrail، Config Rules و بررسی رخدادها در یک نوار ابزار مبتنی سری زمانی را ارایه میدهد. از طریق تحلیل کلی رخدادها به صورت چشمگیری سرعت واکنش در مقابل آنها افزایش خواهد یافت. همچنین قابلیت شناسایی رخدادهای غیرمعمول بر کلیه داده های امنیتی و صورتحساب ها اعمال می شود.


Splunk Insights در پایش ابر AWS با مشخصه های AWS CloudTrail، AWS Config، AWS Config Rules، Amazon Inspector، Amazon RDS ، Amazon CloudWatch، Amazon VPC Flow Logs، Amazon S3، Amazon EC2، Amazon CloudFront، Amazon EBS، Amazon ELB و AWS Billing ترکیب شده و امکان پایش جامع محیط AWS را فراهم می کند.
زمانی که بار کاری خود را به ابر منتقل می کنید و به پایش اساس AWS می پردازید، بکارگیری Splunk Insights به منظور AWS Cloud Monitoring ، مشتریان را در پایش مقیاس instance و بار کاری آن که دائما در حال تغییر است، همچنین نحوه اتصال دیتا به برنامه به منظور نظارت جامع، یاری می کند. نرم افزار Splunk، تصویر کاملی از منابع و صحت کل زیرساخت ابر شامل کلیه node، معاملات و کاربران را در یک بستر فراهم می کند. این قابلیت مشتریان را در شناسایی تمام منابع توسعه یافته در زیرساخت AWS یاری می کند بدین ترتیب هر گونه مصرف غیرمتعارف و یا ابزار غیرمعمول به سادگی قابل شناسایی است.

آشنایی با ماژول SIEM و UBA سرویس Splunk

Machine-Data تولید شده یکی از رو به رشدترین و پیچیده ترین زمینه های big data است. یکی از ارزشمندترین این داده ها که شامل اطلاعات ثبت شده از تراکنش های کاربران، رفتار مشتریان، رفتار ابزارها، تهدیدات امنیتی، فعالیت های فریبکارانه و … است. Splunk این اطلاعات را بدون توجه به نوع کسب وکار به اطلاعات ارزشمندی تبدیل می کند و این مطلب به عنوان اطلاعات عملیاتی هوشمند شناخته می شوند.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Splunk را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

 

Splunk Enterprise به تحلیل و پایش machine data از منابع مختلف پرداخته و اطلاعات عملیاتی هوشمند، به منظور بهینه سازی IT، امنیت و عملکرد کسب وکار، ارایه می دهد. با وجود قابلیت هایی چون تحلیل های بصری، machine learning، open APIs و بسته های نرم افزاری، Splunk Enterprise بستری انعطاف پذیر و قابل توسعه از سطح تمرکز بر یک رخداد خاص تا تحلیل های گسترده شرکت های بزرگ، ارایه می دهد. Splunk Enterprise:
• تجمیع و تقسیم بندی وقایع ثبت شده و machine data از منابع مختلف
• توانایی جستجو، تحلیل و پایش قدرتمند در سراسر سازمان
• ارایه اکوسیستمی از برنامه های مبتنی بر Splunk، راهکاری جامع به منظور تحلیل های امنیتی، IT Ops و کسب وکار ارایه می دهد.
• امکان استقرار به عنوان یک سرویس ابری و محلی
سیستم هوشمند عملیاتی امکان درک رخدادهایی که در سراسر سیستم IT و زیرساخت سازمانی اتفاق افتاده، را می دهد؛ بنابراین می توان تصمیمات آگاهانه ای در برخورد با این رخدادها اتخاذ کرد. بستر Splunk پایه ای برای همه محصولات این شرکت، راهکارهای premium، برنامه ها و add-ons است.

Splunk به عنوان SIEM

امروزه راهکارهای امنیتی Splunk نه تنها به یک اصل برای SIEM تبدیل شده است، بلکه قابلیت هایی مانند تحلیل های امنیتی، درک کامل فضای شبکه به منظور یاری تیم های امنیتی در اتخاذ تصمیمات سریع تر و دقیق تر، را ارایه می دهد. Splunk گزینه های مختلفی برای سازمان ها به منظور استقرار SIEM و یا انتقال به SIEM مدرن معرفی می کند و همچنین گزینه های مختلفی از جمله استقرار محلی، ابری و هیبریدی را در اختیار سازمان ها قرار می دهد.
مشتریان با استفاده از Splunk Enterprise و Splunk Cloud نیازهای پایه SIEM خود را رفع می کنند. Splunk Enterprise و Splunk Cloud هسته مرکزی بستر Splunk را تشکیل می دهند که قابلیت هایی چون تجمیع، فهرست کردن، جستجو، ارایه گزارش و یا CLM را فراهم می آورند. اغلب مشتریان سرویس های امنیتی Splunk از Splunk Enterprise و یا Splunk Cloud به منظور ایجاد جستجوهای بهنگام، همبستگی اطلاعات و داشبوردهایی برای دریافت SIEM پایه، استفاده می کنند.
Splunk راهکارهای premium چون Splunk ES که قابلیت پشتیبانی از SIEM پیشرفته با داشبوردهای آماده استفاده، برقراری ارتباط جستجوها و ارایه گزارش، را دارد. امکان اجرای Splunk ES در بستر Splunk Enterprise، Splunk Cloud و یا هر دو وجود دارد. علاوه بر این Splunk ES حاوی قابلیت های بررسی رخدادها و گردش کار، دریافت اطلاعات از ۳rd party هوشمند مقابله با تهدیدات، به منظور ایجاد قوانین همبستگی پیش ساخته و هشدارهای لازم است. همچنین بیش از ۳۰۰ نرم افزار امنیتی در بستر Splunk با جستجوها، گزارش ها و سیستم های بصری پیش ساخته به منظور ارایه به فروشندگان ۳rd party امنیتی، وجود دارد. این برنامه ها، قابلیت ها و افزونه ها شامل پایش امنیتی، NGFW ، سیستم های پیشرفته مقابله با تهدیدات و … هستند که موجب افزایش پوشش امنیتی ارایه شده توسط Splunk و سایر ۳rd party ارایه دهنده سرویس امنیتی شده است.
همچنین Splunk ES یک SIEM مبتنی بر تحلیل است که از پنج چارچوب مجزا تشکیل شده است که امکان اجرای مجزای هر یک به منظور تامین دامنه وسیعی از الزامات امنیتی شامل compliance، امنیت نرم افزارها، مدیریت رخدادها، شناسایی پیشرفته تهدیدات، پایش لحظه ای و … وجود دارد. یک بستر SIEM مبتنی بر تحلیل machine learning، شناسایی رویدادهای غیر معمول و همبستگی مبتنی بر قوانین را در یک راهکار امنیتی تحلیلی ادغام می کند. Splunk ES امکان بررسی بصری ارتباطات میان رخدادها در هر زمان و به اشتراک گذاری جزئیات حملات چند مرحله ای را فراهم می کند. همچنین این بستر امکان پایش و ارایه گزارش های لحظه ای از حملات و سایر فعالیت های غیر معمول را در اختیار سازمان ها قرار می دهد. با استفاده از چنین تجزیه و تحلیل پیشرفته ای، مشتریان قادر به شناسایی سریع حملات و پاسخ مناسب در سراسر اکوسیستم امنیتی، خواهند بود.
Splunk ES به عنوان بخشی از یک پروژه امنیتی عظیم تر است که قابلیت CLM را در Splunk Enterprise و UBA پیشرفته به وسیله Splunk UBA ارایه می دهد.
چه عواملی Splunk را به عنوان SIEM مطرح می کند؟
• نرم افزار Splunk می تواند به عنوان SOC برای سازمان ها با هر ابعاد کاری (کوچک، متوسط و بزرگ) مورد استفاده قرار گیرد.
• پشتیبانی کامل از عملیات امنیت اطلاعات شامل ارزیابی وضعیت، پایش، هشدار و برخورد با رخدادها، CSIRT ، تحلیل نقض تعهدات، واکنش مناسب و بررسی ارتباط رخدادها
• SIEM قابلیت OOTB را داشته و بسیاری از موارد امنیتی آن حتی بدون نیاز به نصب قابل استفاده هستند.
• تشخیص تهدیدات شناخته شده و ناشناس، بررسی تهدیدات، تعیین compliance و استفاده از تحلیل امنیتی پیشرفته به منظور درک جزئیات
• بستر یکپارچه امنیتی هوشمند مبتنی بر big data
• استفاده از جستجوهای Ad hoc به منظور تحلیل پیشرفته هر گونه نقض تعهدات و قوانین
• قابلیت استقرار محلی، ابری و هیبریدی

Splunk UBA

Splunk UBA یک راهکار مبتنی بر machine learning است که به ارایه رویکردی به منظور شناسایی تهدیدات ناشناخته و رفتار غیر معمول در سطح کاربران، ابزارهای endpoint و نرم افزارها می پردازد. این راهکار نه تنها بر پاسخگوی تهدیدات خارجی است بلکه پاسخگوی تهدیدات داخلی نیز خواهد بود. الگوریتم های machine learning نتایج عملی به همراه رتبه بندی ریسک و نگهداری شواهد ارایه می دهد، این قابلیت ها امکان واکنش و پاسخ سریع تحلیلگران SOC را نشان می دهند. علاوه بر موارد این پایه و اساسی برای تحلیلگران امنیتی به منظور بررسی فعال رفتارهای غیر معمول فراهم می کنند.

Splunk UBA در یک نگاه

• ارتقا قابلیت ردیابی و شناسایی با استفاده از چارچوب رفتار محور، هدفمند و machine learning قابل تنظیم که شامل الگوریتم های کنترل نشده است.
• ارتقا قابلیت UEBA تحلیلگران SOC با استفاده از اتصال صدها رفتار غیر معمول و ارایه آن به عنوان یک تهدید مستقل
• بهبود وضعیت با استفاده از پیش بینی تهدیدات طی یک حمله چند مرحله ای
• تجمیع دو سویه با استفاده از Splunk Enterprise برای دریافت اطلاعات و همبستگی داده ها و بکارگیری Splunk ES به منظور ارزیابی و بررسی رخدادها و پاسخ خودکار

ارایه بستر هوشمند امنیتی توسط InfoTeK و Splunk به منظور استفاده در بخش عمومی

بسیاری از سازمان ها به منظور نظارت، بررسی و پاسخگویی تهدیدات به نرم افزار SIEM وابسته هستند؛ لیکن در برخی از نمایندگی های دولت امریکا، SIEM مسئولیت خود را به درستی ایفا نکرده اند و SIEM سنتی آنها از نوع HP ArcSight قادر به تامین کلیه انتظارات نبوده است. این موسسه از InfoTeK که از شرکت های پیشرو در زمینه امنیت سایبری است، خواستار مشارکت در ارایه راهکاری به منظور جایگزینی SIEM سنتی خود شده است. از زمان توسعه بستر Splunk مشتریان از مزایای زیر بهره مند شدند:
• متوقف کردن بی درنگ حملات
• کاهش ۷۵ هزینه استقرار و پشتیبانی SIEM
• کاهش ابزارهای مورد نیاز، از جمله سیستم های جمع آوری اطلاعات ثبت شده و راهکارهای مرتبط با endpoint
این موسسه با استفاده از Splunk Enterprise و Splunk ESیک SIEM مبتنی بر تحلیل به منظور ارایه سیستم هوشمند عملیاتی با قیمت مناسب، فراهم کرده است. InfoTeK نرم افزار Splunk را در مدت یک هفته برای این موسسه مستقر کرد. پس از شروع به کار، نرم افزار ارزش هزینه صرف شده را به اثبات رساند. تیم های IT قادر به جستجوی سریع رخدادهای امنیتی و متوقف ساختن بردارهای حملات هدفمند شده اند.
Jonathan Fair، مدیر ارشد بخش مهندسی امنیت شرکت InfoTeK اظهار کرد:” فرآیندی که با صرف ساعت ها و روزها و با استفاده از ابزارهای چندگانه سایر محصولات انجام می شد، اکنون با استفاده از این ابزار در عرض چند ثانیه، دقیقه و یا ساعت توسط Splunk انجام می شود. مشتری ما پیش از خریداری کامل محصول از بازده سرمایه گذاری خود بهره مند شدند، زیرا به شکل موفقیت-آمیزی حمله ای را که قادر به تخریب کامل شبکه بود، بدین وسیله متوقف کرد.”

هزینه کرد بیش از ۹۰۰ هزار دلار کابینه و ادارت دولتی امریکا به منظور نگهداری نرم افزارهای قدیمی

شهروندان ادعا می کنند نهادهای دولتی نه تنها پول مالیات دهندگان را به شکل عاقلانه ای خرج کنند، بلکه تمام تلاش خود را برای اطمینان از اجرای صحیح عملیات و ارایه موثر سرویس ها، داشته باشند. یکی از ادارات بزرگ دولتی امریکا، قبلا از HP ArcSight که ابزاری کند و پر هزینه به منظور مدیریت رخدادها است، استفاده می کرد، از طرف دیگر این ابزار پاسخگوی نیازهای سازمان مذکور نبود. این سازمان با جایگزینی Splunk Enterprise به عنوان بستر تامین کننده امنیت، از مزایای زیر بهره مند شد:

• صرفه جویی ۹۰۰،۰۰۰ دلاری در هزینه های نگهداری و پشتیبانی نرم افزارها
• بهبود قابلیت های امنیتی شامل شناسایی، پاسخگویی و بازیابی
• کاهش زمان تحقیقات امنیتی از چندین ساعت به چند دقیقه
رویکرد امنیتی فعالانه
Margulies و تیم او مسئولیت SOC این سازمان را بر عهده دارند که شامل ۴۰ تحلیلگر است که از Splunk Enterprise به منظور بررسی رخدادهای امنیتی استفاده می کنند و همچنین تیم IT که به این نرم افزار به منظور عیب یابی و ارایه گزارش وابسته است. به علاوه مشتریان شامل کارکنانی است که وظیفه تضمین مطابقت این سازمان با قوانین و استانداردهای امنیتی را بر عهده دارند.
محافظت از اعتبار برند و امنیت اطلاعات Heartland Automotive توسط بستر Splunk

dba Jiffy Lube یکی از بزرگترین دارندگان حق امتیاز خرده فروشی روغن در امریکا است. Heartland Automotive به منظور حفاظت از نام تجاری و منابع مهم خود یعنی اطلاعات، نیازمند یک زیر ساخت امنیت سایبری است. این تولیدکننده از زمان استقرار Splunk ES و Splunk UBA به عنوان بستر یکپارچه SIEM از مزایای زیر بهره مند شده است:
• تنها در مدت سه هفته اهداف این ارزش گذاری با اجرای SIEM به منظور تامین امنیت در مقابل تهدیدات داخلی مشخص شد.
• بستری به منظور اعمال نوآوری های جدید با هزینه مالکیت ۲۵ درصد کمتر از سیستم امنیتی پیشین
• تحقیقات امنیتی بهنگام و حفاظت در مقابله با تهدیدات داخلی
اغلب پیاده سازی SIEM پیچیده است، زیرا سازمان های بزرگ منابع اطلاعاتی زیادی دارند و هفته ها برای تنظیم هشدارهای لازم زمان نیاز است. با توجه به اظهارات Alams، تیم سرویس امنیتی Splunk کلیه مراحل شناسایی منابع اطلاعاتی شرکت، طراحی SIEM و پیکربندی هشدارها را بدون هیچ کم وکاستی انجام داد.
Chidi Alams، رئیس فناوری اطلاعات و امنیت اطلاعات شرکت Heartland Automotive اظهار می دارد: “زمان مهمترین عامل ارزش گذاری است. ما سیستم SIEM و تشخیص تهدیدات داخلی را که به طور معمول سه ماه زمان نیاز دارد در کمتر از سه هفته راه اندازی کردیم. سرپرست اداره مالی و دیگر اعضای تیم مدیریت ارشد شرکت، تحت تاثیر سرعت اجرا و استقرار قرار گرفتند.”

مساله بازگشت سرمایه در Splunk

راهکارهای SIEM تحلیلی، اغلب از منظر قیمت از منظر سرمایه گذاران مورد انتقاد قرار می گیرد، لیکن این هزینه ها تنها هزینه های اولیه هستند و بازده سرمایه گذاری به سرعت قابل مشاهده است. اهمیت این هزینه های بالای راهکارهای مبتنی بر تحلیل، هنگامی آشکار خواهد شد که سازمان، قربانی یک تهدید و یا باج افزاری شود. بنابراین بازده سریع سرمایه در محافظت فعال شبکه در مقابله با حملات داخلی و خارجی قابل مشاهده است لیکن این مساله تنها زمینه بازگشت سرمایه گذاری در SIEM نیست. راهکارهای SIEM مبتنی بر تحلیل، پاسخگوی رخدادهای معمول امنیتی حوزه IT همچون compliance، کلاهبرداری، شناسایی سرقت و سوءاستفاده از اطلاعات، سرویس های اطلاعاتی هوشمند، ارایه نرم افزارها و تحلیل های حوزه کسب وکار نیز هستند.
با توجه به اینکه تیم های امنیتی به صورت هماهنگ با سایر بخش های IT کار می کنند، قابلیت پایش و نظارت مرکزی بر کلیه رخدادهای سراسر شبکه نقش مهمی در بازگشت سرمایه خواهد داشت. بهترین راه برای درک بازده سرمایه گذاری ( ROI ) راهکارهای SIEM مبتنی بر تحلیل، بهره گیری از تجربیات سایر کاربران این سیستم است.

آینده SIEM

تکنولوژی های SIEM مختلفی موجود است و در این راهنما تنها به بیان تفاوت های میان صورت سنتی و راهکارهای مدرن مبتنی بر تحلیل پرداخته شده است. SIEM مبتنی بر تحلیل، رویکردی روشن در برابر بازار آتی محصولات امنیتی قرار می دهد. این راهکارهای مدرن امنیتی، روشی مطمئن در مقابله با تهدیدات شامل شناسایی، بازیابی، ارایه هشدار، گزارش compliance است و هم زمان بازده بالای سرمایه گذاری را نیز تضمین می کند. راهکاری مبتنی بر SIEM تحلیلی، در حال انطباق خود با سرعت روزافزون رشد تهدیدات هستند تا همواره یک گام پیش تر از تهدیدات بوده و بتوانند امنیت شبکه ها را تامین کنند.

آشنایی با ویندوز سرور ۲۰۱۹ windows Server 2019

معرفی ویندوز سرور ۲۰۱۹

امروز روزی بزرگ برای ویندوز سرور است. از طرف تیم فنی ویندوز سرور مفتخرم اعلام کنم که ویندوز سرور ۲۰۱۹ در نیمه دوم سال ۲۰۱۸ در دسترس عموم قرار خواهد گرفت. در حال حاضر با استفاده از برنامه Insiders، پیش نمایش آن ارایه شده است.

 تغییرات ویندوز سرور ۲۰۱۹

ویندوز سرور ۲۰۱۹ بر مبنای ویندوز سرور ۲۰۱۶ که مورد توجه مصرف کنندگان قرار گرفته است، ساخته شده است. ویندوز سرور ۲۰۱۶ سریعترین نسخه ویندوز سرور است. تیم فنی ما از زمان اعلام در اجلاس Ignite سال ۲۰۱۶ در حال دریافت بازخوردها و دیدگاههای مختلف به منظور ارتقا این نسخه است.
تیم فنی زمان زیادی را به منظور درک چالش های پیش روی کاربران و همچنین تغییرات روند صنایع و نیازهای آنها صرف کرده است. چهار موضوع مطرح در این زمینه شامل سازگاری با محیط ترکیبی، امنیت، بستر نرم افزاری و  HCI    Hyper-converged infrastructure است. ویندوز سرور ۲۰۱۹ نوآوری های بسیاری در این موارد ارایه کرده است.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای windows Server  را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

سناریوهای ابر ترکیبی

آنچه مشتریان از انتقال به محیط ابر انتظار دارند، فرآیندی است که اغلب شامل استفاده همزمان از محیط های محلی،ابری و انتقال تدریجی به محیط ابر است. گسترش سرویسهای Active Directory، سنکرون سازی فایل سرورها و پشتیبان گیری در محیط ابر تنها نمونه هایی از کاربری ابر توسط مشتریان به منظور توسعه دیتاسنترهای خود به ابرهای عمومی است. علاوه براین وجود راهکار ترکیبی، امکان استفاده از برنامه هایی را که به صورت محلی و ابری مانند IoT ارایه می شود، فراهم میکند. ابر ترکیبی رویکردی بلند مدت است که نقش مهمی در تعیین استراتژی های لازم برای پیش بینی نیازهای آتی را فراهم میکند.
در اجلاس Ignite سپتامبر ۲۰۱۷، پیش نمایش فنی پروژه Honolulu که راهکاری جدید به منظور مدیریت ویندوز و ویندوز سرور است، ارایه شد. این پرژوه بستری انعطاف پذیر، مبتنی بر مرورگرهای ساده و محلی برای مدیریت طرح های مختلف ارایه کرده است. یکی از اهداف این پروژه ارتباط ساده تر بسترهای موجود از ویندوز سرور تا سرویسهای Azure است. با استفاده از ویندوز سرور ۲۰۱۹ و پروژه Honolulu مشتریان قادر به یکپارچه سازی سرویسهای Azure مانند Azure Backup، Azure File Sync، بازیابی پس از وقوع رخدادها و سایر سرویسهای Azure بدون ایجاد خللی در فعالیت برنامه ها و زیرساخت، خواهند بود.

شکل ۱: داشبورد مدیریتی پروژه Honolulu برای سرویس Azure Backup در ویندوز سرور ۲۰۱۹


امنیت
همواره امنیت یکی از مهمترین اولویتهای مشتریان است. تعداد رخدادهای امنیتی همواره رو به رشد است و تاثیر این حوادث به شکل فزاینده ای مخرب خواهد بود. تحقیقات شرکت مایکروسافت نشان میدهد که مهاجمان به طور متوسط ۲۴ تا ۴۸ ساعت پس از نفوذ به اولین دستگاه، قابلیت تحت تاثیر قرار دادن کل محیط شبکه را دارند. علاوه براین مطابق گزارشهای FireEye/Mandiant مهاجمان به طور متوسط تا ۹۹ روز بدون اینکه شناسایی شوند، می توانند در شبکه تحت نفوذ خود فعالیت داشته باشند. تیم فنی ما مشتریان را در خصوص ارتقا وضعیت امنیتی خود از طریق ارایه آگاهی های لازم در خصوص دیتاسنترهای مقیاس جهانی مانند Microsoft Azure، Office 365 و سایر سرویسهای آنلاین، یاری میکند.
رویکرد تیم فنی ما در زمینه امنیت شامل سه بخش حفاظت، شناسای و پاسخگویی است. کلیه مشخصه های امنیتی فوق در ویندوز سرور ۲۰۱۹ مورد توجه قرار گرفته است. از منظر حفاظت، در ویندوز سرور ۲۰۱۶ مبحث Shielded VMs مطرح شد، که مورد توجه کاربران قرار گرفت. قابلیت Shielded VMs ماشین های مجازی را در مقابل compromised و یا فعالیتهای مخرب ادمین نیز محافظت میکند بنابراین ادمین ماشین مجازی، تنها در یک بستر مورد تایید و حفاظت شده قابلیت دسترسی به آن را خواهد داشت. در ویندوز سرور ۲۰۱۹ قابلیت Shielded VMs به بستر ماشین های مجازی تحت لینوکس نیز توسعه پیدا کرده است. همچنین ویژگی VMConnect به منظور ارتقا عیب یابی Shielded VMs در محیط ویندوز سرور و لینوکس تعبیه شده است. توانایی رمزنگاری شبکه به منظور ارایه قابلیت رمزنگاری بخشهای مختلف شبکه به وسیله سوئیچ های گوناگون در جهت حفاظت از ارتباط میان سرورها در اختیار ادمین قرار داده شده است.
ویندوز سرور ۲۰۱۹ در بخش شناسایی و پاسخگویی، قابلیت Windows Defender ATP را تعبیه کرده است که امکان حفاظت پیشگیرانه، شناسایی حملات و ممانعت از تهدیدات zero-day را دارد. این قابلیت امکان دسترسی به kernel و حافظه را در اختیار مشتریان قرارا میدهد و موجب ارتقا عملکرد سیستم در مقابل حملات مخرب شده و پاسخگویی سرورها را بهبود میبخشد.

شکل ۲: Windows Defender ATP در سیستمی با سیستم عامل ویندوز سرور ۲۰۱۹


بستر نرم افزاری:
پایه اصلی طرحهای تیم ویندزو سرور بر تمرکز ویژه در زمینه تجربیات توسعه استوار است. دو جنبه اصلی مورد توجه تیم در ارتقا Windows Server containers و WSL است.
با توجه به اینکه در معرفی Windows Server containers 2016 تلاش زیادی به منظور پذیرش آن صورت پذیرفت. ده ها تصویر containers از میان میلیونها تصویر Docker Hub دانلود شد. تیم فنی با توجه به بازخوردهای دریافت شده از کاربران متوجه شد، هر قدر سایز تصویر container کوچکتر باشد، توسعه دهندگان نرم افزارها و تیم های IT که در حال توسعه نرم افزارهای خود با استفاده از آن container هستند، عملکرد بهتری خواهند داشت. در ویندوز سرور ۲۰۱۹ هدف ما کاهش سایز تصویر container ویندوز سرور Core تا یک سوم حجم کنونی آن(۵GB) است. که این رویکرد موجب کاهش زمان دانلود تصویر تا ۷۲ درصد و بهینه سازی زمان توسعه و کارایی آن شده است.
همچنین تیم فنی ما در حال توسعه گزینه های موجود در هماهنگی و توسعه Windows Server container است. در حال حاضر Kubernete در نسخه بتا و ویندوز سرور ۲۰۱۹ پشتیبانی می شود و پیشرفتهای شگرفی در ارتقا پردازشها، ذخیره سازها و المان شبکه در یک Kubernetes cluster صورت پذیرفته است.
بازخوردی که همواره از توسعه دهندگان نرم افزارها دریافت می شود پیچیدگی موجود در گذار میان محیط های لینوکس و ویندوز است. به منظور پاسخگویی به این نیاز، تیم فنی قابلیت WSL را در ساختارهای درونی ویندوز سرور توسعه داده و در نتیجه مشتریان قادر به استفاده containers لینوکسی و ویندوزی به صورت همزمان در ویندوز سرور خواهند بود. همچنین تیم ما در حال توسعه WSL در ویندوز سرور ۲۰۱۹ به منظور تسهیل انتقال scripts کاربران لینکوس به محیط ویندوز در حین استفاده از استانداردهایی تجاری چون OpenSSH، Curl و Tar است.

  شکل ۳: مدیریت container که حاوی ویندوز سرور ۲۰۱۹ توسط Kubernate

 HCI

امروزه HCI یکی از آخرین پیشرفتها در حوزه سرور است. با توجه به گزارش IDC در سال ۲۰۱۶ حوزه HCI تا ۶۴ درصد رشد داشته است و باتوجه به گزارش Gartner تا پایان سال ۲۰۱۹ حجم این بازار تا ۵ بیلیون دلار خواهد بود. این گرایش عمدتا زمانیکه مشتریان اهمیت استفاده از سرورهای ۳۲ بیتی در یک دیسک محلی پرسرعت به منظور تامین همزمان نیازهای پردازشی و storage درک کردند، به وجود آمد. علاوه براین HCI انعطاف پذیری لازم به منظور توسعه چنین زیرساختی را ارایه میدهد.
در حال حاضر مشتریان به دنبال راهکارهای HCI هستند که امکان استفاده از ویندوز سرور ۲۰۱۶ و برنامه های Windows Server Software Defined) WSSD) را فراهم کند. تیم فنی ما با همکاری فروشندگان پیشرو حوزه سخت افزار راهکار HCI قوی و پایدار با طراحی معتبر را ارایه کرده است. در ویندوز سرور ۲۰۱۹ تیم فنی قابلیتهای مقیاس پذیری، اطمینان و عملکرد این بستر را ارتقا داده است. همچنین امکان مدیریت توسعه HCI در پروژه Honolulu به منظور تسهیل مدیریت و فعالیتهای روزانه در بسترHCI، افزوده شده است.

شکل ۴: داشبورد مدیریت HCI پروژه Honolulu در ویندوز سرور ۲۰۱۹


در نهایت آنچه مورد توجه کاربران ویندوز سروری که از System Center استفاده می کنند، خواهند بود پشتیبانی از System Center 2019 در ویندوز سرور ۲۰۱۹ است.
اطلاعات بیشتری تا پایان سال جاری ارایه خواهد شد که شامل جزئیات بیشتر در ارتباط با مزیتهای ویندوز سرور ۲۰۱۹ خواهد بود.

بررسی تکنیک های مقابله با جرایم سایبری مبتنی بر باج افزار

مقابله با باج افزارها

جامعه مدرن امروز در حال تبدیل شدن به یک جامعه اطلاعاتی وسیع است. در گذشته کاربران جهت انتقال اطلاعات شخصی خود از ابزارهای ذخیره سازی سنتی همچون هارد دیسک و … بهره می بردند لیکن امروزه محیط های پردازشی و فضای شبکه و همچنین تکنولوژی های ذخیره سازی remote مانند هارد درایو تحت وب و سرویس های مبتنی بر ابر، در شرف توسعه و ادغام هستند. این مساله امکان پردازش big data را فراهم کرده است.

مقابله با باج افزارها
مقابله با باج افزارها

مهمترین المان در برخورد با big data اطمینان از حفظ دیتا بدون هیچ گونه تغییر در آن است، لیکن اطمینان از صحت اطلاعات با توجه به انواع حملات ناشی از جعل اطلاعات که نمونه واضحی از حملات سایبری است، مساله ای چالش برانگیز خواهد بود. امروزه حملات سایبری به ابزاری جهت انتقام جویی، اخاذی و جنگ های سایبری تبدیل شده است، بنابراین جرایم سایبری به نوعی سرویس crime as a service) CaaS) تبدیل شده است. یکی از مهمترین نمونه های این نوع از تهدیدات در فوریه سال ۲۰۱۶ در مرکز مراقبت های پزشکی Hollywood Presbyterian اتفاق افتاد، که در این حمله اطلاعات پزشکی بیماران توسط باج افزار رمزنگاری شده و غیر قابل استفاده شدند. بنابراین با توجه اهمیت موضوع در این مقاله به بررسی تکنیک های مقابله با جرایم سایبری مبتنی بر باج افزار پرداخته شده است.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

بررسی اجمالی باج افزار

باج افزار نوعی Trojan horse است که پس از نفوذ به سیستم فایل ها و منابع، سیستم قربانی را رمزنگاری می کند. اغلب هدف از حملات باج افزارها، مسائل مالی است، عناصر پرداخت با توجه به پیچیدگی بدافزار و ضرورت بازیابی سریع اطلاعات، تعیین می شود. تسلط بر داده و روش پرداخت دو عامل مهم در حملات باج افزارها محسوب می شود. از منظر شیوه های پرداخت، حملات در گروه های پرداخت آنلاین، irregular funding و خریدهای آنلاین قرار می گیرد. در گروه پرداخت های آنلاین، از طریق اکانت های آنلاین با استفاده از PayPal, E-Gold, Bitcoin , Webmoney صورت می گیرد. در گروه irregular funding کاربر مبالغ مالی غیر قانونی را از طریق یک سرویس یا کسب و کار قانونی انتقال می دهد. در گروه بعدی یعنی گروه خریدهای آنلاین، مهاجم قربانی را وادار به خرید کالا از وب سایت های مشخص می کند. در کلیه روش های فوق از پول شویی به منظور استتار منبع مالی بدست آمده، استفاده می شود.
شکل شماره ۱ سرعت رشد باج افزارها و میزان خسارت هر یک را در بازه های زمانی سه ماهه در سال های ۲۰۱۴ و ۲۰۱۵ نمایش می دهد:

شکل شماره ۱

با توجه به اینکه پس از نفوذ باج افزار خطر رمزنگاری فایل ها، قفل سیستم وجود دارد و کاربران، کلیدی جهت بازیابی اطلاعات خود ندارند، علاوه بر این کاربران و آنتی ویروس ها به سختی قادر به شناسایی حملات و فعالیت های باج افزارها هستند، از این رو مهاجمان به سادگی خود را پنهان می کنند و تضمینی جهت بازگشت اطلاعات پس از پرداخت وجود ندارد. این مشکلات مهمترین دلایل اتخاذ رویکرد قاطعانه در برخورد با باج افزارها است.
باج افزارها از حیث عملکرد به دو دستهnon-cryptographic ransomware) NCR) و  CGR تقسیم می شوند. همان طور که در جدول شماره ۱ نمایش داده شده است، NCR برای محدودسازی تعامل میان کاربر و سیستم طراحی شده است و عمل رمزنگاری فایل ها را انجام نمی دهد. این روش ها شامل قفل صفحه و تغییر جدول پارتیشن MBR است، که در نتیجه این نوع حملات کاربر قادر به استفاده از سیستم خود نخواهد بود. CGR با استفاده از رمزنگاری داده ها دسترسی کاربر را به اطلاعات حیاتی محدود می کند. CGR در دستهprivate-key cryptosystem ransomware) PrCR) و public-key cryptosystem ransomware) PuCR)قرار می گیرد. همان گونه که در جدول شماره ۲ نشان داده است، PrCR از الگوریتم های مبتنی بر کلید خصوصی به منظور رمزنگاری دادهها استفاده می کند، در حالی که همانطور که در جدول شماره ۳ نمایش داده شده است، PuCR از الگوریتم های مبتنی بر کلید عمومی به منظور رمزنگاری بهره می گیرند.

جدول شماره ۱

Description Name
This ransomware emerged in 1989, and it is the first ransomware. This ransomware replaced the autoexec.bat file; when an infected system boots 90 times, the ransomware encrypts all of the file names of the root directory. PC CYBORG/AIDS Trojan
This ransomware displays the warning message “Your files and the software will be restricted due to violation of the law,” allegedly from a law enforcement agency, to deceive the user and demands money. This ransomware contains the Pony module. As the most used password stealing module, this module performs the theft feature of the information. This feature is able to restore various types of encrypted passwords as plain-text format. Examples include FTP password, VPN, and e-mail client.. Reveton
This ransomware emerged in 2006, and it generates password-protected zip files based on a commercial zip library without the cryptographic operation. This ransomware is a dll file, so it attaches all running processes and stores original files in the zip files protected by password. CryZip
This ransomware emerged in 2006; it demands funds for business not demanding fees from users. This ransomware generates password-protected compressed files without the cryptographic operation. MayArchive
This ransomware is trying to impersonate anti-malware software, and it displays fake scanning results. Users want to clean them, so they pay money for cleaning Fake AV
This ransomware contains malicious JavaScript code and locks the web browser with it. The locked web browser displays a warning massage containing a phone number, so users pay money to recover it. FastBsod

جدول شماره ۲

Description Name
This ransomware encrypts MS office files, document files, compressed files, video files, and picture files except system files and informs the users that their PCs are infected by generating txt or html file. After that, this ransomware displays the screen for payment. Nevertheless, it does not decrypt files even after money is paid, and an attacker demands more money. CryptoLocker
This ransomware emerged in 2005, and there are a lot of variants. The first version contains only one cryptographic algorithm, but the last version contains the RSA algorithm, which is one of the public key cryptographic algorithms. GPCoder
This ransomware is mobile ransomware, and it impersonates a normal app using iGO icon or flash player on the android platform. When the app is installed, it encrypts all of the files on the smart phone, and it demands money. In this process, the app steals the device information as IMEI; after that, it encrypts stored document files, image files, and video files based on a key as jddlasssadxc322323sfo74hr. Finally, the encrypted files are given an .enc extension, and the original files are erased. SimpleLocker
This ransomware is known as RSA-2048 encryption, but it performs encryption based actually on AES-CBC. This ransomware encrypts files with specific extensions such as .doc, .ppt, .js, and .txt on the fixed drive. TeslaCrypt
This ransomware emerged in 2013, and it encrypts the first 512 bytes of a file based on polyalphabetic substitution. CryptorBit
This ransomware performs encryption based on private key-based cryptographic algorithm. Unlike the other private key-based encryption algorithms, however, it uses parts of files as a key instead of generating the key separately. Trojan.Win32.Filecode

جدول شماره ۳

Description

Name
This ransomware emerged in March 2016, and it is the first ransomware targeting the OS X operating system. This ransomware generates a random number based on RSA, and a private key is stored in the attacker’s server. The AES key is used to combine a generated random number with IV, and it performs encryption based on the generated AES key. After that, it generates a readmetodecrypt.txt file and informs the user of the payment method, which is Bitcoin. KeRanger
This ransomware emerged in April 2014, and it propagates via spam mail, malicious Ads, infected sites, and so on. This ransomware generates a private key based on RSA-2048 and sends it to the server; after that, it encrypts files based on the generated private key. It informs the user that the “Decryption key will be deleted” after a specific period of time in order to pressure the user into paying. CryptoWall

نمونه های حملات اولیه باج افزارها با استفاده از ایمیل و ارسال اسپم صورت گرفت. با توسعه تکنولوژی، باج افزارها گسترش حملاتی مبتنی برSocial networking service) SNS) و پیغامهای تلفنهای هوشمند هستند. همچنین با استفاده از تکنیکهای مهندسی اجتماعی درصدد ایجاد حملاتی با جوامع هدف بزرگتر به منظور تحت تاثیر قرار دادن افراد بیشتری هستند. باتوجه به اینکه توسعه فناوری باج افزار سریعتر از توسعه امنیتی سیستمها به وقوع پیوسته است همواره استفاده از ضعفهای سیستم، به یکی از ابزارهای باج افزارها تبدیل شده است به عنوان مثال حملاتی با استفاده از Internet Explorer و Flash player و حملاتی ترکیبی با distributed denial-of-service) DDoS )، از آن جمله است. در این حملات مهاجم با استفاده از ارتباط با سرورهای command-and-control) C&C ) قصد توسعه حملات را دارد. با توجه با اینکه پرداختها به صورت آنلاین و اغلب بیت کوین صورت میگیرد و هویت مهاجمان فاش نمیشود انتظار میرود حملاتی از این دست توسعه و تنوع بیشتری پیدا کنند.
باج افزارها از تکنیک ها سنتی مانند انتشار کدهای مخرب در سیستم قربانی به منظور انتشار، استفاده می کنند. یکی از معمولترین این روشها از طریق دانلود صفحه وب است، زمانیکه کاربر وبسایت مخربی را باز میکند، باج افزار با استفاده از ضعف سیستم به صورت خودکار در سیستم منتشر میشود. باتوجه به اینکه باج افزارها از تکنیک های سنتی code injection بهره می برند، بنابراین حتی چنانچه قربانی تنها از وبسایت بازدید کند باج افزار در سیستم منتشر میشود.
فرآیند انتشار باج افزار شامل پنج مرحله است:
i. جستجوی قربانی، که باج افزار از طریق اسپم و یا سایر روشها منتشر شده و به شناسایی او می پردازد.
ii. مرحله اجرا، که در آن باج افزار منتشر شده با استفاده از تکنیک های مهندسی اجتماعی بدون آگاهی قربانی، در سیستم او اجرا میشود؛ به عنوان مثال CryptoLocker بصورت آیکون فایلهای PDF نمایش داده شده درحالیکه یک فایل اجرایی است و با کلیک بر آن فایلی نمایش داده نمی شود بلکه باج افزار اجرا شده و شروع به فعالیت می کند. زمانیکه باج افزار اجرا میشود یک Session key و Internal Verification) IV )به منظور ایجاد ارتباط با تهیه کننده حمله ایجاد میشود.
iii. مرحله سوم تولید کلید رمزنگاری فایلها است. در روش رمزنگاری بر مبنای کلید عمومی، باج افزار secret key ای جهت رمزنگاری فایلها تولید و کلید تولید شده بر مبنای کلید عمومی مهاجم رمزنگاری و به او ارسال می شود. سپس مهاجم با استفاده از آن secret key فایلهای قربانی را رمزنگاری میکند. در حالت رمزنگاری بر مبنای کلید خصوصی، باج افزار بر مبنای secret key تولید شده فایلها را رمزنگاری کرده و secret key را از طریق session key تولید شده رمزنگاری کرده و به مهاجم ارسال میکند.
iv. مرحله اصلی رمزنگاری است که در آن باج افزار بر مبنای کلید رمزنگاری تولید شده فایلها را رمزگذاری میکند.
v. نمایش پیغام درخواست پرداخت است. معمولا به صورت یک فایل متنی و یا به صورت یک تصویر در صفحه نمایش قربانی دیده میشود.
 

اقداماتی که در گدشته صورت می گرفت

آنتی ویروس های سنتی از روشهای مبتنی بر امضا به منظور شناسایی و مقابله با بدافزارها استفاده می کنند، به همین علت شناسایی کدهای مخرب جدید در این محصولات مشکل خواهد بود.در عمل شناسایی باج افزارها به دلیل عملیت رمزنگاری پس از اجرا و نصب مشکل است. در این بخش به معرفی اقداماتی که به منظور حل مسایل بیان شده ارایه شده است، پرداخته می شود.
– شناسایی مبتنی بر فایل: این روش بر مبنای شناسایی امضا منحصربفرد برخی اقدامات مخرب در فرمت خاص است( به عنوان مثال فایلهای Portable excutable) PE) ). مزیت این روش شناسایی سریع است لیکن احتمال تشخیص نادرست، عدم شناسایی فرمت های جدید و کدهای مخرب ناشناخته وجود دارد.
– شناسایی مبتنی بر سیستم: در این روش به شناسایی رفتارهای مخرب در یک سیستم پرداخته و همچنین بررسی های یکپارچگی و بلوکه سازی برخی رفتارها نیز صورت میگیرد. بررسی های یکپارچگی به صورت تست دوره ای فایلها به منظور تایید یکپارچگی آنها، با توجه به مقدار هش فایلهای اجرایی و دایرکتوری های یک سیستم پاک صورت می گیرد. بلوکه سازی رفتارهای مخرب، بر مبنای پایش رفتار کل سیستم انجام می شود. بنابراین زمانیکه رفتار مخربی شناسایی می شود، با استفاده از یک آنتی ویروس فرآیند ردیابی و بلوکه می شود.
– روشهای تشخیص مبتنی بر منابع: این روش شامل پایش یک منبع مشخص، به منظور شناسایی رفتارهای مخرب است. منابع هدف پایش شامل میزان مصرف پردازنده و I/O است. شناسایی رفتار مخرب از طریق بررسی اطلاعات منابع در یک سیستم پاک توسط آنتی ویروس و جمع آوری آنها و سپس شناسایی رفتارهایی که مطابق با این الگو نبوده است.
– روشهای شناسایی مبتنی بر ارتباطات: این روش شامل بررسی وضعیت اتصالات است. در باج افزارهای مبتنی بر کلید عمومی، باج افزار یک secret key رمزنگاری از سرور مهاجم مانند C&C دریافت میکند؛ بنابراین باج افزار درصدد برقراری ارتباط با این سرور خواهد بود. چنانچه آنتی ویروس این ارتباطات را شناسایی و مسدود کند، باج افزار امکان ارتباط با سرور و رمزنگاری فایلها را نخواهد داشت زیرا کلید رمزنگاری دریافت نشده است.
– مهندسی معکوس: این روش شامل بازیابی فایلهای رمزنگاری شده و یا کشف کلید ذخیره شده در باج افزار با استفاده از مهندسی معکوس آن است. مزیت این روش در بازیابی فایلهایی است که مورد هجوم باج افزارهایی که آنتی ویروسها قادر به شناسایی آن نبوده اند، است. ایراد بزرگ ایم روش در عدم امکان بازیابی فایلهایی است که حاوی کلید رمزنگاری نیستند.

روشهای پیشنهادی مقابله با باج افزارها

در بخش پیش در ارتباط با مشکلاتی که در مقابله با باج افزارها مطرح است، پرداخته شد. یک روش برای کاهش آسیب ها، بازیابی کلید رمزنگاری است. باج افزار رمزنگاری و رمزگشایی فایلها را براساس یک کلید اشتراکی انجام میدهد، معمولا با توجه به مشکلات پیاده سازی دو کلید از یک کلید مجزا برای رمزنگاری و رمزگشایی استفاده نمیکند. علت این امر مشکلات مهاجمان در مدیریت کلیدهای مختلف در زمان حملات گسترده ایست که تعداد قربانیان بالایی دارد. بنابراین چنانچه یکی از قربانیان با پرداخت مبلغ مورد نظر مهاجم کلید رمزنگاری را دریافت کند، با به اشتراک گذاشتن کلید سایر قربانیان نیز امکان رمزگشایی فایلهای خود را خواهند داشت. برای حل این مشکل تکنیک پیشگیری از طریق کلید پشتیبان ارایه شده است.

مفاهیم و ساختار این رویکرد

مهاجمان برای اجرای حمله باج افزاری موفق ملزم به تامین پیش نیازهایی هستند. اولین مساله وجود یک راه مطمعن جهت ورود به سیستم قربانی است. معمولا افراد با استفاده از نصب آنتی ویروسها از سیستم خود محافظت میکنند، بنابراین سازندگان باج افزار ملزم به استفاده از تکنیک های خاصی مانند zero-day attack و یا استفاده از ضعفهای سیستم به منظور عبور از سیستم های دفاعی هستند. مساله دوم، پس از ورود باج افزار، رمزنگاری فایلها و یا Rootkit، باید بگونه ای که صورت گیرد که آنتی ویروسها قادر به شناسایی آن نباشند. سوم، سازندگان باج افزار معمولا از کدهای ساخت خود و یا از library سیستم عامل به منظور رمزنگاری فایلها استفاده می کنند. الگوریتمی رمزنگاری مهمترین بخش این حمله است. به عنوان مثال الگوریتم های رمزگذاری و رمزگشایی سیستم ها، قابلیت بازیابی کلید در صورت پیاده سازی نارکارآمد رمزنگاری. با توجه با اینکه تامین الزامات براس سازندگان باج افزار مشکل است برخی از آنها جهت اطمینان از cryptography libraries استفاده می کنند. گام نهایی، تعداد کلیدها تولید شده معادل تعداد سیستمهای آلوده خواهد بود، البته سازندگان از یک کلید برای مدیریت ساده کلیدها استفاده می-کنند.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

فرض

در این بخش تمرکز ویژه، بر تامین الزامات مراحل سوم و چهارم بیان شده در مرحله پیش است. همانگونه که پیشتر بیان شد، سازندگان باج افزارها به دلیل اطمینان بالاتر استفاده از cryptography libraries، تمایل به استفاده از آنها در عوض کدهای خود دارند. سیستم های مبتنی بر ویندوز از چندین cryptography libraries تجاری استفاده می کنند و جدیدترین نسخه آن CNG library است که در نسخه های ویندوز ۷، vista و ۸ استفاده شده است. با این فرض باج افزار با استفاده از CNG library و یا دانلود کدهای رمزنگاری از یک سرور خارجی، فایلها را رمزگذاری میکند. از منظر کلید رمزنگاری باج افزار ملزم به تولید یک کلید و یا دریافت کلید از یک سرور خارجی است.
– تولید و ورود توابع مورد نیاز جهت ایجاد کلید: BCryptGenerateSymmetricKey و BCryptGenerateKeyPair توابعی به منظور تولد کلید و BCryptImportKey و BCryptImportKeyPair توابعی به منظور ورود کلید مورد استفاده قرار میگیرد
– رمزنگاری و رمزگشایی:تابع BCryptEncrypt function به منظور رمزگذاری و تابع BCryptDecrypt به منظور رمزگشایی مورد استفاده قرار میگیرد. در این مقاله فرض بر استفاده از CNG library به منظور رمزنگاری استفاده شده است، بنابراین برنامه های مقابله با باج افزار، از کلید تولید شده و تابع ورود کلید پشتیبان گیری کرده و کلید بدست آمده در محلی امن در سیستم قربانی و یا به سرور احراز هویت و یا CA ارسال میشود. چنانچه مراحل تولید کلید و ورود آن اجرا نشوند، در اینصورت باج افزار کلید رمزنگاری را در داخل فایل خود قرار دهد، بنابراین برنامه های مقابله با این قبیل حملات از کلیدها در حین رمزنگاری پشتیبان تهیه می کنند. شکل شماره ۲ ساختار رمزنگاری باج افزار مبتنی بر استفاده ازCNG library نمایش میدهد.
• گام اول: باج افزار نفوذ به سیستم قربانی را آغاز و روند رمزنگاری را آغاز میکند
• گام دوم: باج افزار CNG library را جهت اجرای روند رمزنگاری لود میکند، این مرحله با تولید کلد رمزنگاری ادامه می یابد.
• گام سوم: باج افزار فایلهای سیستم قربانی مانند فرمتهای .JPG و .DOC را رمزنگاری میکند.

 راهکاری مقابله با باج افزارها
ساختار باج افزار در بخش پیشین شرح داده شد. این ساختار بر مبنای استفاده از تابع BCryptGenerateSymmetricKey از CNG library، secret key را تولید و یا با استفاده از تابع BCryptGenerateKeyPair از CNG library یک جفت کلید عمومی خصوصی تولید میشود. راهکارهای مقابله با استفاده از جستجوی CNG library به تهیه فایل پشتیبان از secret key از تابع BCryptGenerateSymmetricKey function و همچنین تهیه پشتیبان از کلید عمومی-خصوصی از تابع BCryptGenerateKeyPair می پردازند. سپس زمانیکه باج افزار کلید رمزنگاری را اجرا کند، کد به دست آمده توسط برنامه های پیشگیری شناسایی میشود. درصورتیکه باج افزار کلیدی تولید نکرده و از کلید داخلی خود استفادذه کند، برنامه ها در حین عملیات رمزنگاری کلید را شناسایی و ذخیره میکنند. به منظور ورود کلید، باج افزار توابع BCryptImportKey در شرایط رمزنگاری بر مبنای secret-key و تابع BCryptImportKeyPair در شرایط رمزنگاری public-key، فراخوانی میکند، بنابراین برنامه ها دسترسی باج افزار به این توابع را در شرایط فراخوانی تابع مسدود میکنند. با این حال چنانچه برنامه های پیشگیری کلید رمزنگاری را در مراحل فوق به دست نیاورند، سعی در کسب آن درحین عملیت رمزنگاری خواهند داشت. شکل شکاره ۳ تکنیک مورد استفاده برنامه های پیشگیری را نمایش میدهد:
• گام اول:در این مرحله نفوذ باج افزار در سیستم قربانی و اجرای عملیات رمزنگاری آغاز شده است، در این مرحله برنامه های پیشگیری اجازه اجرای عملیات رمزنگاری را میدهند و تلاشی برای مسدودسازی آن انجام نمی دهند زیرا امکان تشخیص برنامه های سیستم مانند IE و Outlook از برنامه های باج افزار در این مرحله ممکن نیست.
• گام دوم: زمانیکه باج افزار درصدد تولید کلید و یا ورود آن توابع موجود در CNG library را فراخوانی میشود، در این مرحله کد دریافتی توسط باج افزار وارد فرآیند کنترل و پیشگیری میشود. کلید ایجاد شده در بخش امن ( که میتواند بصورت یک ماژول در آنتی ویروس باشد) نگهداری میشود. کلید استخراج شده که در محلی امن همچون سرورهای احراز هویت و یا CA نگهداری شده .و الگوریتم های مبتنی بر رمزنگاری و یا certificate، به منظور حفاظت از آن استفاده میشود. حال سیستم قربانی با استفاده از این کلید امکان بازیابی فایلهای سیستم را خواهد داشت.
• گام سوم: چنانچه برنامه های پیشگیری کلید رمزنگاری را به دست نیاورند، در طول عملیات رمزنگاری سعی در شناسایی کلید خواهند داشت. که مراحل ذخیره سازی و بازیابی این کلید نیز مطابق گام دوم خواهد بود.

بررسی راهکارهای تحلیل Splunk Enterprise

الزامات SIEM در سرویس اسپلانک

اکنون که درون مایه راهکارهای تحلیلی SIEM بیان شد. شش قابلیت اصلی SIEM مبتنی بر تحلیل به شرح جدول زیر است.
پایش لحظه ای سرعت رشد تهدیدات بسیار بالا است و مدیران IT ملزم به پایش پیوسته و بررسی آنی ارتباط میان رخدادها به منظور شناسایی و متوقف کردن آنها هستند.
پاسخ آنی در برابر حوادث IT نیازمند یک روش سازماندهی شده به منظور مدیریت هر گونه نقص احتمالی به همراه هر گونه نقض امنیتی و یا حمله با هدف محدود کردن آسیب ها و کاهش زمان بازیابی است.
پایش کاربران نظارت دقیق بر فعالیت کاربران مساله ای بحرانی و حساس به منظور شناسایی نقاط ضعف و سوء استفاده ها است. نظارت بر فعالیت کاربران یکی از الزامات شناسایی compliance است.

سیستم هوشمند مقابله با تهدیدات چنین سیستم هوشمندی در شناسایی فعالیت های غیرمعمول، شناسایی ریسک های کسب و کار و اولویت بندی اقدامات نقش شایانی دارد.
تجزیه و تحلیل پیشرفته تحلیل حجم عظیم داده ها بهترین راه برای کسب دید کلی نسبت به آنها است و machine learning امکان تحلیل خودکار و شناسایی تهدیدات پنهان را در اختیارمان قرار می دهد.
سیستم پیشرفته شناسایی تهدیدات متخصصان امنیت نیازمند ابزارهای ویژه ای به منظور نظارت، تحلیل و شناسایی تهدیدات در سراسر زنجیره حملات هستند.
این قابلیت ها به سازمان ها امکان استفاده از SIEM در طیف گسترده ای از موارد امنیتی و compliance، را می دهد. در این بررسی عمیق تر به هر یک از قابلیت های پایه SIEM مبتنی بر تحلیل پرداخته می شود.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Splunk را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

پایش لحظه ای Real time Monitoring

هر چه زمان شناسایی یک تهدید طولانی تر باشد، به صورت بالقوه احتمال ایجاد آسیب های بیشتری وجود دارد. شرکت های IT نیازمند SIEM با قابلیت های پایش لحظه ای هر نوع داده ای بدون توجه به مکان داده (محلی و ابری) هستند. علاوه بر این قابلیت پایش ملزم به بازیابی contextual data feed مانند دارایی های اطلاعاتی و اطلاعات هویتی و فیدهای هوشمند مقابله با تهدیدات که با هدف ارایه هشدارها استفاده می شوند.
سیستم های SIEM مبتنی بر تحلیل ملزم به شناسایی کلیه نهادهای یک محیط IT شامل کاربران، ابزارها و نرم افزارها به همراه کلیه فعالیت های مرتبط با هر یک از این نهادها، است. SIEM به منظور شناسایی طیف گسترده ای از رفتارهای غیرمعمول، باید قادر به استفاده از این داده ها در هر لحظه ای باشد. پس از شناسایی، داده ها به شکلی ساده وارد جریان کار شناسایی و ارزیابی خطرات بالقوه شده و به این ترتیب ریسک های کسب وکار شناسایی و معرفی می شوند.
می بایست مجموعه ای از قوانین از پیش تعیین شده و سفارشی، یک کنسول رخدادهای امنیتی به منظور نمایش لحظه ای وقایع اتفاق افتاده و داشبوردهایی به منظور ارایه یک دیدکلی نسبت به تهدیدات پیوسته و در حال پیشرفت، وجود داشته باشد. در نهایت کلیه این قابلیت ها از طریق ارایه برنامه های جستجوی لحظه ای و برنامه ریزی شده به منظور شناسایی ارتباط رخدادها تکمیل می شود. این جستجوها از طریق یک UI با کاربری ساده در اختیار مدیران IT قرار می گیرد.
در نهایت SIEM مبتنی بر تحلیل نیازمند قابلیت جستجوی محلی داده ها در هر زمانی به منظور کاهش بار ترافیکی جستجوی داده ها نیز می باشد.

صرفه جویی در هزینه های سرمایه گذاری و زمان شرکت Autodesk با استفاده از بکارگیری Splunk در AWS

مشتریان در کلیه بخش های صنعت ساختمان، معماری، ساخت و ساز و صنایع سرگرمی شامل ۲۰ برنده برتر جایزه اسکار برای بهترین جلوه های بصری از نرم افزارهای Autodesk به منظور طراحی، تجسم و شبیه سازی ایده های خود استفاده کردند. با توجه به تاثیرات جهانی این مساله Autodesk با دو چالش مجزا روبرو بود: نیاز به کسب اطلاعات و آگاهی کلی در زمینه های عملیاتی، امنیتی و کسب وکار در سراسر گروه های مختلف داخلی و انتخاب بهترین زیرساخت به منظور استقرار نرم افزارهای هوشمند عملیاتی است.
پس از شرکت Autodesk از بستر Splunk ، این شرکت از مزایای زیر بهره مند شده است:
• پس انداز چندین هزار دلاری
• درک عملیاتی و امنیتی وسیع تر
• مشاهده آنی عملکرد محصولات

چرا Splunk ؟

Splunk اولین بار در سال ۲۰۰۷ در دفتر مرکزی Autodesk به عنوان راهی برای کنترل و مهار اطلاعات دستگاه ها مورد استفاده در عیب یابی عملی، مورد استفاده قرار گرفت. امروزه استفاده از این ابزار گسترش یافته و شامل پایش لحظه ای، نظارت امنیتی دقیق و تحلیل کامل فرآیندهای کسب و کار در سراسر بخش های اجرایی Autodesk شامل موارد زیر است:
• سرویس های اطلاعاتی سازمانی یا EIS : مسئولیت مدیریت اطلاعاتی سراسری شامل اطلاعات امنیتی و مدیریتی را بر عهده دارد.
• گروه های مشتریان Autodesk یا ACG : مسئولیت کلیه محصولات مصرفی Autodesk بر عهده این بخش است.
• مدل سازی اطلاعات و بستر محصولات یا IPG : مسئولیت راهکارهای Autodesk برای مشتریان تجاری و صنعتی شامل طراحان و مهندسین کلیه صنایع است.
Autodesk به منظور کاهش زمان شناسایی و حل مسایل امنیتی از Splunk ES استفاده می کند. همچنین این شرکت از Splunk App در AWS به منظور ارایه و مدیریت انعطاف پذیر منابع برای Splunk Enterprise و سایر برنامه های مهم و حساس، بهره می گیرد.
توانمندسازی تصمیم گیری های مبتنی بر داده
شرکت Autodesk با استفاده از Splunk Enterprise، Splunk App for AWS، Splunk Enterprise Security و سایر راهکارهای Splunk، درک کاملی نسبت به کارایی عملیاتی، امنیتی و عملکرد محصولات خود، کسب کرد. همچنین این شرکت با استفاده از تحلیل های مبتنی بر داده و انعطاف پذیر Splunk و بستر مبتنی بر AWS، نتایجی همچون صرفه جویی در زمان، کاهش هزینه سرمایه و افزایش حوزه و ژرفای تصمیمات حیاتی را کسب کرده است.

 

پاسخ رخدادها incident response splunk

درون مایه هر استراتژی واکنش در مقابل حوادث، شامل بستر پایداری از SIEM است که نه تنها امکان شناسایی رخدادهای متمایز را فراهم می کند بلکه ابزاری به منظور ردیابی و تفسیر آنها ارایه می دهد. راهکارهای امنیتی می بایست برای کلیه اعضای یک سازمان با سطوح مختلف دسترسی و نقش های کاری متفاوت فراهم شود. سایر قابلیت های کلیدی شامل همگرایی دستی و یا خودکار رویدادها، پشتیبانی از APIs که امکان استخراج و ورود اطلاعات سیستم های Third-party را داشته باشند، قابلیت تجمیع شواهد قانونی و کتابچه راهنما به منظور هدایت شرکت ها در پاسخگویی به حوادث امنیتی خاص است. مهمترین قابلیت SIEM مبتنی بر تحلیل شامل قابلیت پاسخگویی خودکار می شود که امکان ایجاد اختلال در فرآیند یک حمله سایبری را فراهم می کند.
در واقع بستر SIEM، می ایست به صورت hub around بوده به عبارت دیگر امکان تنظیم یک جریان کار سفارشی برای مدیریت حوادث وجود داشته باشد. مطمئنا هر یک از رخدادها سطح ضرورت متفاوتی دارند. بستر SIEM مبتنی بر تحلیل از طریق داشبوردهایی که قابلیت رده بندی رخدادهای مهم را دارند امکان طبقه بندی شدت تهدیدات بالقوه را خواهند داشت و به بررسی جزییات رخدادها با هدف کسب شواهد تحقیقاتی می پردازد. در نتیجه بستر SIEM مبتنی بر تحلیل، ابزاری ارزشمند به منظور تصمیم گیری و تعیین بهترین واکنش در مقابل هر رویدادی را در اختیار سازمان ها قرار می دهد.
قابلیت های پاسخگویی شامل توانایی شناسایی و تعیین وضعیت رخدادهای مهم، تعیین شدت آن، ایجاد روند بازسازی و رسیدگی کل فرآیند یک رخداد و حوادث جانبی آن است. در ضمن داشبوردی ساده جهت اعمال مستقیم فیلترها در حین یک تحلیل و توسعه و یا کاهش سطح تحقیق ضروری است. در نهایت کلیه اعضای تیم امنیتی باید امکان اعمال واکنش مناسب، تعیین جدول زمانی انجام کار و یادداشت اعمال صورت گرفته به منظور آگاهی سایر اعضای گروه از رخدادها و واکنش های در نظر گرفته شده، را داشته باشند. این جداول زمانی در یک دیتابیس به منظور بررسی حملات و اجرای راهکار مقابله با حوادث مشابه، نگهداری می شوند.

تضمین قابلیت پایش سراسری شبکه شرکت PagerDuty به وسیله Splunk Cloud و AWS

مشتریان گرایش خاصی به PagerDuty، enterprise incident response service دارند، این امر به منظور مدیریت و رفع سریع و کارآمد مشکلات IT به وجود آمده است. زمانی که شرکت های مبتنی بر ابر نیازمند راهکاری جهت تامین الزامات تحلیل های عملیاتی خود بودند؛ رویکردی که اغلب این شرکت ها در این خصوص اتخاذ کردند، استفاده از Splunk cloud در AWS است. PagerDuty با استفاده از Splunk cloud و AWS، دسترس پذیری سرویس ها و امکان توسعه آنها متناسب با تقاضای مشتریان را تضمین می کند. PagerDuty از زمان استقرار Splunk Cloud از مزایایی که از جمله آنها می توان به موارد زیر اشاره کرد، بهره مند شده است:
• تضمین رضایت مشتریان و ارایه خدمات ابری با دسترس ذیری بالا
• کاهش ۳۰ درصدی هزینه های ارایه خدمات نسبت به سرویس های پیشین
• کاهش زمان پاسخگویی و رفع مشکلات در زمان وقوع رخدادهای امنیتی (از ۱۰ دقیقه تا حدود یک دقیقه و یا چند ثانیه)

چرا Splunk ؟

Arup Chakrabarti، مدیر بخش مهندسی زیرساخت در PagerDuty که شامل بخش های قابلیت اطمینان سایت ها، بستر داخلی و مهندسی امنیتی است. هدف این بخش ارتقا بهره وری و کارایی در سراسر سازمان است.
PagerDuty پیش از استفاده از Splunk Cloud از یک راهکار مبتنی بر ثبت وقایع استفاده می کرده است، که با توجه به گسترش سازمان شاخص گذاری و نگهداری از هزاران گیگابایت رخداد ثبت شده غیر ممکن بوده است. علاوه بر این تیم امنیتی با مشکل بزرگتری مواجه بود و آن استخراج داده های عملی از حجم عظیم اطلاعات ثبت شده و تصمیم گیری و پاسخ سریع در زمان وقوع رویدادها است. پس از اجرای Splunk Cloud در کنار سرویس موجود، تیم امنیتی سرعت ارایه شده در پاسخگویی به رخدادها توسط Splunk Cloud را معقول و تضمین کننده سرعت بالای پاسخگویی و دسترس پذیری بالا برای مشتریان دانست. در طول چند روز مهندسین عملیات انتقال به Splunk Cloud را انجام دادند.
Chakrabarti بیان کرد:” با استفاده از راهکار پیشین، مدت زمان جستجو در داده ها تا ۳۰ دقیقه می رسید که اغلب نتیجه بدست آمده نیز غیر قابل قبول بوده است. با استفاده از Splunk Cloud، زمان مورد نیاز برای تفکیک داده ها از منظر مشتری از چند ثانیه تا حداکثر ۱۰ دقیقه کاهش یافته است. همچنین اگر چه انتخاب Splunk Cloud از منظر هزینه مورد بررسی قرار گرفته نشده بود، لیکن تیم حسابداری از کاهش هزینه های ایجاد شده توسط طرح جدید شگفت زده شده اند.”

پایش و نظارت بر کاربران 

کمترین وضعیت نظارت بر کاربران، شامل پایش فعالیت های کاربر، تحلیل میزان دسترسی، احراز هویت داده، استقرار user context و ارایه هشدارهای لازم در خصوص هرگونه رفتار مشکوک، نقض قوانین و سیاست گذاری ها است.
نظارت بر کاربران می بایست به صورت هدفمند صورت گیرد، برخی کاربران بیشتر از سایرین در معرض اهداف حملاتی قرار می گیرند؛ لذا لزوم بررسی دقیق تر این کاربران مشاهده می شود، چرا که در صورت قرار گرفتن آنها در معرض چنین خطراتی احتمال بروز آسیب بیشتری برای کل سیستم را در پی دارد. در حقیقت با توجه به وجود چنین ریسک هایی، بسیاری از صنایع قانونی از پایش کاربران، به منظور تامین الزامات قوانین گزارش compliance استفاده می کنند.
دستیابی به این اهداف نیازمند دیدگاه بهنگام و قابلیت های بهره برداری از مکانیزم های مختلف احراز هویت است که امکان توسعه در انواع مختلف برنامه های ۳rd party را داشته باشند.

بهره گرفتن شرکت Travis Perkins PLC از SIEM مبتنی بر تحلیل به منظور فعال سازی قابلیت گذار به ابر ترکیبی

شرکت Travis Perkins PLC یکی از خرده فروشان بازار بازسازی ساختمان ها در بریتانیا با ۲۸۰۰۰ کارمند و ۲۰۰۰ بازار فروش است. در سال ۲۰۱۴ این شرکت اولین اقدامات لازم به منظور استقرار سیستم های مبتنی بر ابر را آغاز کرد، لیکن راهکارهای امنیتی موجود در شرکت پاسخگوی نیازهای محیط هیبریدی نبود. بنابراین شرکت به بررسی راهکارهای جایگزین پرداخت و لذا Splunk Cloud را انتخاب کرد و Splunk Enterprise و Splunk ES را به عنوان SIEM مورد استفاده قرار داد. از زمان استقرار Splunk شرکت Travis Perkins PLC از مزایای آن شامل موارد زیر بهره مند شده است:

• افزایش قابلیت پایش و نظارت کل شبکه زیرساخت هیبریدی
• قابلیت شناسایی و واکنش در مقابل تهدیدات پیچیده سایبری
• کاهش هزینه های IT با توجه به کارایی بیشتر منابع

چرا Splunk ؟

با توجه به شرایط چالش برانگیز بازارها پس از رکود اقتصادی سال ۲۰۰۸، Travis Perkins PLC اولویت های سرمایه گذاری خود را تغییر داده و بدین ترتیب حوزه IT شرکت دیگر اولویت سرمایه گذاری شرکت نبوده است. در سال های اخیر، بهبود شرایط کسب وکار موجب بازنگری و بررسی استراتژیک زیر ساخت ها شده و بکارگیری راهکارهای مبتنی بر ابر به عنوان رویکردی در کاهش هزینه ها و افزایش انعطاف پذیری مورد استفاده قرار گرفتند. زمانی که Travis Perkins PLC سرویس هایی از جمله G Suite از Google Cloud، Amazon Web Services و Infor CloudSuite به صورت ابری منتشر کردند، متوجه عدم کارایی SIEM موجود در پاسخگویی به رخدادهای امنیتی موجود در یک محیط ترکیبی شدند. بنابراین به بررسی راهکارهای جایگزین ارایه شده توسط شرکت های HP، IBM و LogRhythm پرداختند و پس از مقایسه جزییات هر یک از این راهکارها، Splunk Cloud، Splunk Enterprise و Splunk ES به منظور کسب دیدکلی نسبت به رخدادهای امنیتی صورت گرفته انتخاب شدند.

ایجاد امنیت سراسری

Travis Perkins PLC از استقرار Splunk ES نه تنها به منظور بهره برداری امنیتی بلکه جهت ارتقا آگاهی امنیتی همه افراد استفاده می کنند. کارکنان تیم های IT، از طریق دسترسی به داشبوردهای خود و دریافت هشدارهای لازم امکان پاسخگویی موثر در مقابل تهدیدات بالقوه و انجام اقدامات ضروری پیش از ارجاع به تیم های امنیتی را خواهند داشت. بنابراین Travis Perkins PLC یک مرکز عملیاتی SOC بسیار مطمئن بدون نیاز به سرمایه گذاری قابل توجه مستقر کرده است.

سیستم دفاعی خودکار

تامین امنیت برای تیم فناوری شرکت Travis Perkins PLC، با وجود ۲۴۰۰۰ کارمند در سراسر بریتانیا که ابزارهای ارتباطی متفاوتی را مورد استفاده قرار می دهند، مساله ای چالش برانگیز است. در حال حاضر این شرکت با استفاده از Splunk ES، ریسک فعالیت های مختلف را بر اساس داده های موجود و یا بر مبنای هشدارهای ارایه شده توسط راهکارهای امنیتی موجود، محاسبه می کنند. در کسب وکارهایی که با مشکلاتی چون حملات فیشینگ ایمیل روبرو هستند، چنانچه کلاینت مشکوکی شناسایی شود، هشدارهای لازم از طریق بستر Splunk به صورت خودکار تولید و ارایه می شود. سپس تیم های مرتبط با استفاده از یک پاسخ از پیش تعیین شده واکنش متناسب را نشان می دهند. Splunk ES به صورت گلوگاهی با دید جامعی نسبت به کل دارایی ها و کاربران عمل کرده و نقش بسزایی در کاهش زمان مورد نیاز برای حل و فصل مشکلات امنیتی ایفا می کند.

 سیستم هوشمند مقابله با تهدیدات

SIEM مبتنی بر تحلیل دو شکل متمایز از سیستم های هوشمند دفاع در مقابل تهدیدات را ارایه می دهد.
نوع اول شامل اطلاعاتی چون شاخص های compromise، تکنیک ها و فرآیندهایی جهت مقابله با انواع مختلفی از رخدادهای امنیتی و فعالیت های مشکوک است. این سیستم هوشمند موجب سهولت شناسایی فعالیت های غیرمعمول مانند اتصالات outbound به IP خارجی که به عنوان سرور C2 وجود دارند، شده است. با این سطح از اطلاعات تهدیدات، تحلیلگران به ارزیابی دقیق تر خطرات پرداخته و تاثیر و اهداف حملات را بررسی و به اولویت بندی پاسخ ها می پردازند.
نوع دوم اطلاعات، شامل ارزیابی میزان اهمیت منابع، کاربری، ارتباطات، مالکیت و در نهایت نقش کاربران و وضعیت فعالیت های آنها است. این اطلاعات از لحاظ تحلیل میزان خطر و تاثیرات بالقوه آن اهمیت فراوانی دارد. به عنوان مثال SIEM مبتنی بر تحلیل، می بایست توانایی تایید اطلاعات هویتی کارمندان و مشخصات هویتی VPN آنها را در هنگام ورود به منظور ارایه اطلاعات مورد نیاز کارمندان در هر نقطه جغرافیایی، داشته باشد. به منظور ارایه سطوح عمیق تری از تحلیل های هوشمند، SIEM ملزم است قابلیت نفوذ به سایر API به منظور درک فرآیند کاری آنها و همچنین ترکیب داده های بدست آمده از دیتابیس های مرتبط با machine data را داشته باشد.
اطلاعات سیستم های هوشمند مقابله با تهدیدات می بایست با machine data تولید شده توسط زیرساخت های مختلف IT و برنامه های گوناگون به منظور ایجاد یک watch list ادغام شوند، قوانین همبستگی و Query مختلف در افزایش نرخ تشخیص موفق و زود هنگام هر گونه نقض قوانین و تعهدات تاثیر بسزایی خواهند داشت. این اطلاعات همواره ملزم به حفظ ارتباط و همبستگی با داده های رخدادها هستند و به بخش گزارشات داشبوردها افزوده شده و یا به ابزارهای مرتبط مانند فایروال و یا IPS که امکان بازیابی و پیشگیری از نفوذ را دارند، ارجاع داده می شوند.
داشبوردهای ارایه شده توسط SIEM باید قابلیت شناسایی و ردیابی وضعیت محصولات آسیب پذیر مستقر شده در محیط IT را داشته باشند؛ این مراحل شامل بررسی صحت و سقم سیستم های اسکن شده و مشخص کردن سیستم هایی که عملیات اسکن آسیب پذیری بر آنها صورت نگرفته است، می شود.
به طور خلاصه یک سیستم هوشمند مقابله با تهدیدات به ارایه پوشش کاملی از راهکارهای مقابله در برابر انواع مختلف تهدیدات، سیستم شناسایی تهدیدات مبتنی بر هوش مصنوعی، اولویت بندی تهدیدات بر مبنای لیست های مختلف تهدیدات و تعیین بار هر یک از تهدیدات به منظور تشخیص ریسک های واقعی تهدید کننده کسب و کارها، می پردازد.

یکپارچه سازی سیستم هوشمند امنیتی به اشتراک گذاشته شده در ۴۰ نمایندگی سطح شهر لس آنجلس

شهر لس آنجلس به منظور محافظت از زیرساخت های دیجیتالی خود نیازمند آگاهی وضعیتی از موقعیت امنیتی و استقرار سیستم های امنیتی هوشمند مقابله با تهدیدات برای ادارات و ذینفعان خود است. در گذشته بیش از ۴۰ سازمان از اقدامات امنیتی متفاوتی استفاده می کردند که این مساله پیچیدگی ترکیب و تحلیل داده ها را در پی داشت. لس آنجلس خواستار یک سیستم اطلاعاتی SaaS قابل توسعه و راهکاری برای مدیریت رخدادها به منظور شناسایی، اولویت بندی و کاهش تهدیدات به منظور پایش کامل فعالیت های مشکوک و ارزیابی خطرات موجود، بوده است. از زمان استقرار Splunk Cloud و Splunk ES، این شهر از مزایای زیر بهره مند شده است:
• ایجاد SOC در سطح شهر
• سیستم هوشمند بهنگام مقابله با تهدیدات
• کاهش هزینه های عملیاتی
ایجاد آگاهی situational
Splunk Cloud دیدگاه جامعی نسبت به موقعیت امنیتی این شهر فراهم کرده است. فرستنده های Splunk اطلاعات رخدادهای ثبت شده از بخش ها و ادارات مختلف شهر را به Splunk cloud ارسال می کنند، در این بخش اطلاعات نرمال سازی شده و به SOC یکپارچه بازگردانده می شوند، سپس اطلاعات بررسی شده و در داشبوردهای Splunk قابل مشاهده خواهند بود. با استفاده از داشبوردهای پیش ساخته و قابل تنظیم Splunk ES اطلاعات اجرایی و تحلیل های صورت گرفته همواره در دسترس خواهند بود و اطلاعات کاملی در ارتباط با رخدادهای امنیتی صورت گرفته در سراسر زیرساخت فناوری شهر فراهم می آورند. تیم Lee با استفاده از اطلاعات بروزرسانی شده، به مقایسه اطلاعات machine data، شامل اطلاعات ساختار یافته و غیر ساختار یافته پرداخته و کلیه اطلاعات مورد استفاده در سیستم های هوشمند مقابله با تهدیدات را استخراج می کنند.

سیستم هوشمند مقابله با تهدیدات بهنگام

SOC یکپارچه این شهر علاوه بر جمع آوری اطلاعات، به تهیه و ارایه اطلاعات عملی نیز می پردازد و اطلاعات Splunk Cloud را به سیستم های هوشمند مقابله با تهدیدات منتقل می کند. اطلاعات با نمایندگی های مختلف سطح شهر و همچنین سازمان های ذینفع خارج از شهر همچون FBI، اداره امنیت داخلی، سرویس های مخفی و سایر سازمان های اجرایی قانونی به اشتراک گذاشته می شود. با استفاده از این اطلاعات این شهر با سازمان های فدرال در شناسایی ریسک ها و توسعه استراتژی های جلوگیری از نفوذ همکاری می کند.
Lee اظهار داشت: “ما با استفاده از آگاهی situational، موقعیت و وضعیت خود را درک می کنیم، لیکن با استفاده از سیستم های هوشمند مقابله با تهدیدات قادر به شناسایی مهاجمان خواهیم بود. در حال حاضر درصدد اجرای یک برنامه هوشمند یکپارچه و Splunk SIEM به عنوان یک بستر مدیریت مرکزی اطلاعات که قابل استقرار در ISOC است، هستیم.”
تحلیل های پیشرفته

SIEM مبتنی بر تحلیل، امکان انجام تحلیل های پیشرفته از طریق بکارگیری روش های کمی پیشرفته همچون داده کاوی پیش نگر، آماری و توصیفی، machine learning، شبیه سازی و بهینه سازی، را به منظور ارایه دید کاملی نسبت به تهدیدات صورت گرفته دارد. روش های تجزیه و تحلیل پیشرفته شامل تشخیص رفتارهای خلاف قاعده، peer group profiling و مدل سازی ارتباطات کلیه ابزارها و نرم افزارها است. SIEM مبتنی بر تحلیل، نیازمند ارایه ابزارهایی جهت مشاهده قابلیت پایش و ایجاد ارتباط میان اطلاعات، به عنوان مثال نگاشت طبقه بندی شده رخدادها در مقابل زنجیره ای از حملات و یا ایجاد heat map به منظور پشتیبانی بهتر بررسی رخدادها، است.
تامین کلیه موارد بالا مستلزم دسترسی است که بستر SIEM امکان استفاده از الگوریتم های machine learning را ممکن کرده و امکان بررسی و شناسایی خودکار یک رفتار معمول و عادی از یک رفتار مشکوک را داشته باشد. این سطح از تحلیل رفتاری قابلیت ساخت، اعتبارسنجی و استقرار مدل های پیش نگر را فراهم می کند. در این مساله حتی امکان استفاده از مدل های ساخته شده با سایر نرم افزارهای ۳rd party نیز در بستر SIEM وجود دارد.

 مستقر کردن SIEM مبتنی بر ابر در سیستم هوشمند امنیتی شرکت Equinix

شرکت Equinix ارتباط میان کسب وکارهای پیشرو جهان با مشتریان و کارمندان آنها در ۳۳ بازار بزرگ در سراسر ۵ قاره را برقرار می کند. امنیت، یکی از مهمترین فاکتورها در شرکت Equinix است؛ زیرا هزاران شرکت در سراسر جهان بر دیتاسنترها و سرویس های ارتباطی این شرکت متکی هستند. Equinix به منظور کسب یک دیدگاه یکپارچه در زمینه زیر ساخت امنیتی خود، نیازمند یک راهکار مبتنی بر ابر با قابلیت مدیریت و پایش مرکزی، کاربری SIEM است که امکان استقرار ساده، سریع و عملیاتی آن وجود داشته باشد. از زمان استقرار Splunk Cloud و Splunk ES، این شرکت از مزایای زیر بهره مند شده است:
• قابلیت اطمینان
• ارتقا وضعیت امنیتی
• صرفه جویی در زمان و هزینه

ارزیابی میزان قابلیت پایش زیرساخت توسط Splunk Cloud و Splunk ES

قبل از Splunk Cloud شرکت Equinix در هر ماه با حجم عظیمی در حدود ۳۰ بیلیون اطلاعات خام رخدادهای امنیتی تولید شده، روبرو بود. با استفاده از Splunk Cloud و Splunk ES، تیم امنیتی این اطلاعات خام را در ۱۲۰۰۰ رخداد امنیتی مرتبط دسته بندی کرده است و ۲۰ هشدار امنیتی قابل اجرا ارایه می دهند، بنابراین یک سیستم هوشمند امنیتی عملیاتی که پایه SOC اختصاصی است، فراهم می شود. با استفاده از کلیه اطلاعات جمع آوری شده در بستر Splunk، تیم های امنیتی امکان بررسی داده های با مرجع متقابل بین سیستم ها و جستجو و پاسخ تا سی درصد سریع تر به رخدادها را خواهد داشت. George Do، مدیر امنیت اطلاعات شرکت Equinix بیان کرد:”هدف نهایی ما حفاظت از مشتریان، کارمندان و اطلاعات است. با استفاده از Splunk cloud و Splunk ES به عنوان بستر SIEM، اطلاعات همواره به صورت امن در دسترس ما خواهد بود”.
او همچنین اظهار داشت: “هر زمان نیاز به بررسی یک رویداد وجود داشته باشد، اطلاعات امنیتی مرتبط با آن در داشبورد Splunk تیم های امنیتی و مدیران اجرایی سطح C قابل مشاهده خواهد بود. در مقایسه با SIEM سنتی محلی موجود، این روش موجب صرفه جویی در زمان و کاهش ۵۰ درصدی هزینه های مالکیت (TCO ) شده است.”
در حال حاضر این شرکت با استفاده از مزیت های Splunk ES به یک راهکار تحلیل امنیتی جامع دست یافته است. هر زمان نشانه های رفتارهای مشکوک کاربری مشاهده شود، به عنوان مثال زمانی که یک کارمند محلی به صورت غیرمنتظره وارد سامانه قاره دیگری شود، بلافاصله هشدارهای با اولویت امنیتی بالا به تیم امنیتی ارسال می شود. همچنین بکارگیری Splunk Cloud به همراه Splunk ES در این شرکت امکان جلوگیری از افشای اطلاعات حساس را ایجاد کرده است. به ویژه در شرایط خاص مدیران از این اطلاعات به منظور تشخیص تخلفات کارمندان در خصوص سرقت اطلاعات محرمانه استفاده می کنند.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Splunk را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

قابلیت شناسایی پیشرفته تهدیدات

تهدیدات به صورت پیوسته تکامل می یابند. SIEM تحلیلی با استفاده از استقرار سیستم پایش امنیتی شبکه امکان مطابقت با تهدیدات جدید، شناسایی و بررسی endpoint قابلیت واکنش در مقابل sandboxing ارائه می دهد و تحلیل رفتاری در ترکیب با سایر سیستم های شناسایی قابلیت قرنطینه تهدیدات بالقوه جدید را خواهد داشت. اغلب فایروال ها و راهکارهای جلوگیری از نفوذ تمام این قابلیت ها را به صورت همزمان ندارند.
هدف نهایی نه تنها تشخیص تهدیدات است بلکه تعیین دامنه این تهدیدات از طریق شناسایی نحوه حرکت و تاثیرات آنها، نحوه محدود کردن و نوع به اشتراک گذاری اطلاعات را نیز در بر می-گیرد.

رویکرد SAIC در ارتقا قابلیت پایش و شناسایی تهدیدات

SAIC، یک تکنولوژی پیشرو در زمینه بازارهای فنی، مهندسی و اطلاعات سازمانی است. SAIC، با دارا بودن تخصص در زمینه های تحقیقات علمی، سرویس های مدیریت برنامه و IT بیشترین درآمد خود را از سازمان هایی چون دولت ایالات متحده امریکا کسب می کند. این شرکت نیاز به ساخت مرکز عملیات امنیتی (SOC) و یک تیم پاسخگویی به رویدادهای کامپیوتری (CIRT )، به منظور مقابله با حملات سایبری دارد. این شرکت از زمان توسعه بستر Splunk از مزایای زیر بهره مند شده است:
• ارتقا وضعیت امنیتی و عملیاتی
• کاهش ۸۰ درصدی زمان تشخیص و بازیابی
• امکان پایش کامل محیط شرکت
Why Splunk
در سال ۲۰۱۳ پس از تفکیک SAIC به دو شرکت مجزا با هدف تفکیک حوزه های کاری، SAIC ملزم به ساخت یک SOC به عنوان بخشی از برنامه امنیتی جدید خود بود. با وجود اینکه این شرکت زیرساخت های امنیتی مورد نیاز خود را داشته است لیکن کمبود راهکاری جهت مدیریت رخدادها و اطلاعات امنیتی به منظور تحکیم سیستم دفاعی مشهود می باشد. SIEM سنتی موجود در شرکت پاسخگوی نیازهای توسعه ای آن نیست؛ بنابراین این شرکت تصمیم به ارتقا SIEM با استفاده از Splunk Enterprise گرفته است، از طریق این بستر امکان شناسایی رخدادها با استفاده از بررسی ارتباطات آنها و تحقیق در ارتباط با رخدادهای امنیتی وجود دارد. در حال حاضر کارکنان IT شرکت از راهکارهای Splunk مستقر شده به منظور پایش شبکه، مدیریت عملکرد، تحلیل نرم افزارها و ارایه گزارش ها استفاده می کنند.
هنگامی که SAIC شروع به ساخت SOC جدید خود کرد، این شرکت تصمیم به استفاده از Splunk به عنوان یک بستر هوشمند امنیتی برای کلیه نیازهای SIEM خود همچون شناسایی رخدادها، بررسی و پایش پیوسته، ارایه هشدارها و تحلیل های یکپارچه، گرفته است.

شناسایی و نظارت کامل بر تهدیدات سراسر شبکه

در حال حاضر شرکت SAIC از Splunk به منظور نظارت بر تهدیدات سراسر شبکه استفاده می کند. در SOC، تحلیلگران داشبوردهای سفارشی Splunk را به منظور ارایه هشدارهای لازم در صورت مشاهده هرگونه نشانه ای از رفتارهای غیرمعمول و یا غیرمجاز، مورد استفاده قرار می دهند. در حال حاضر آنها از تهدیدات شناخته شده، مبتنی بر امضا (مانند تهدیداتی که از طریق IDS و یا بدافزارها وارد می شوند) و ناشناخته (همچون یک کاربر با دسترسی های مجاز فعالیت های مشکوکی را انجام می دهد)، به صورت آنی مطلع می شوند.
SIEM سنتی از روش های از پیش تعیین شده و غیر قابل تغییر به منظور انجام جستجوها استفاده می کنند که اغلب در بررسی تهدیدات پیشرفته و تولید خطای نوع اول و نوع دوم ناتوان هستند. تحلیلگران SAIC، با استفاده از بستر Splunk علاوه بر قابلیت جستجوهای دقیق به منظور شناسایی تهدیدات و هرگونه IOC ، تیم امنیتی امکان ارزیابی و مدیریت ریسک را خواهد داشت. در حال حاضر مدیران اجرایی از جمله CISO، می توانند شاخص های کلیدی فعالیت هر یک از تهدیدات شامل فرآیند تهدید، محل جغرافیایی منبع تهدید و جدیدترین IOC، را مشاهده کنند.

آشنایی با SIEM و ضرورت پیاده سازی در شبکه

SIEM چیست؟

Security information and event management )SIEM ) همچون سیستم های رادار در سیستم کنترل ترافیک هوایی عمل می کند و بدون حضور آن شرکت های فناوری اطلاعات کنترلی بر سیستم های خود نخواهند داشت. اگرچه سیستم ها و نرم افزارهای امنیتی در شناسایی و ثبت حملات غیرمعمول عملکرد مناسبی دارند، لیکن امروزه تهدیدات پیچیده تر شده اند، به علاوه این تهدیدات در سطح وسیع تری توزیع می شوند و از تکنیک های پیشرفته ای به منظور جلوگیری از ردیابی استفاده می کنند. بدون وجود SIEM، حملات قابلیت گسترش سریع و ایجاد تلفات جبران ناپذیری را خواهند داشت.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای SIEM را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

امروزه لزوم برخورداری از SIEM با افزایش پیچیدگی حملات و استفاده گسترده از سرویس های مبتنی بر ابر، که سطح آسیب پذیری شبکه ها را افزایش می دهد، مشهود است. 
در این کتابچه راهنمای خریداران، به ماهیت راهکارهای SIEM، روند تکامل آنها و نحوه انتخاب مناسب ترین روش متناسب با نیازهای سازمان ها پرداخته شده است.
گارتنر، SIEM را چنین معرفی می کند که SIEM یک فناوری با قابلیت شناسایی تهدیدات و پاسخ امنیتی مناسب در زمان حملات، از طریق مجموعه ای به روز و تحلیل طیف وسیعی از رخدادهای امنیتی است.
در حقیقت SIEM بستری امنیتی است که گزارش رخدادها را دریافت و یک نتیجه کلی به همراه تحلیل های تکمیلی ارایه می دهد.

روند تکامل SIEM

SIEM یک فناوری جدید نبوده و پایه های آن سابقه ای ۱۵ ساله دارد. با گذشت زمان SIEM بیشتر به بستری اطلاعاتی تبدیل شد، که به جمع آوری گزارشات فایروال ها و سایر ابزارها می پردازد؛ لیکن تکنولوژی SIEM معمولا پیچیده و تنظیم آن مشکل بوده و امکان توسعه آن وجود نداشت.
موارد فوق الذکر، SIEM را به سمت اتخاذ رویکردی با انعطاف پذیری بیشتر سوق داد. امروزه این مسئله با توجه به توسعه استفاده از راهکارهای مبتنی بر ابر و تحولات دنیای دیجیتال که کلیه جنبه های زندگی را تحت تاثیر قرار داده اند، اهمیت ویژه ای یافته است.
درک تفاوت صورت قدیمی SIEM و نوع تحلیلی مدرن آن حائز اهمیت است، که در ادامه به این مساله پرداخته خواهد شد. لیکن درک موارد استفاده از SIEM و شناسایی دقیق نیازهای سازمان در تشخیص بهترین راهکار متناسب با نیازها، اهمیت ویژه ای دارد. این مساله نیاز به تمایز میان شیوه های سنتی SIEM و راهکارهای مدرن تحلیلی آن را آشکار می سازد.
 شیوه های سنتی SIEM منسوخ شده است

به طور نسبی یافتن مکانیسم جمع آوری، ذخیره و تحلیل امنیتی داده ها ساده است. هیچ کمبودی از لحاظ ذخیره اطلاعات وجود ندارد. لیکن جمع آوری کلیه اطلاعات امنیتی و تبدیل آن به سیستم هوشمند عملیاتی موضوعی متفاوت خواهد بود. اغلب شرکت های IT که در بستر SIEM سرمایه گذاری کرده اند، در مواجه با این مسئله ناتوان بوده اند.
پس از صرف زمان و هزینه های گزاف، مشکل اصلی در رفتار استاتیک سیستم های ارایه دهنده اطلاعات امنیتی، SIEM است. اطلاعات موجود به منظور ارایه تحلیل ها، مبتنی بر رخدادهای امنیتی است، که موجب تشدید مشکل فوق خواهد شد. این موضوع معضل ایجاد ارتباط میان رخدادهای امنیتی و سایر اتفاقاتی که در سراسر یک شبکه به وقوع می پیوندد، را پیچیده تر می کند. زمانی که یک رخداد امنیتی اتفاق می افتد، تحقیق در ارتباط با این موضوع زمان ارزشمند شرکت های IT را هدر می دهد. راهکارهای سنتی SIEM، امکان تطبیق با سرعت مورد نیاز جهت بررسی رویدادهای امنیتی را نداشتند.
پذیرش گسترده سرویس های مبتنی بر ابر موجب گسترش تهدیدات امنیتی نیز شده است، از این روی شرکت ها ملزم به پایش فعالیت های کاربران، دسترسی نرم افزارها، software-as-a-service) SaaS) و سرویس های محلی ارایه شده، به منظور تعیین محدوده کامل تهدیدات و شناسایی حملات بالقوه هستند.
شکل زیر محدودیت های راهکارهای سنتی SIEM را نمایش می دهد.

معایب راهکارهای سنتی SIEM

موضوع/معضل نتیجه
عدم امکان استفاده از اطلاعات مورد نیاز محدود شدن حوزه ­های شناسایی، تشخیص و واکنش
نگهداری و اداره مشکل افزایش پیچیدگی و نیاز به نیروی متخصص
High false negative and  positives افزایش بار کاریsoftware-as-a-service) SecOps)
ناپایدار وجود وقفه­ ها و قطعی
داده­ های انعطاف­ناپذیر امکان سازگاری با شرایط بحرانی وجود ندارد
جریان کاری ایستا محدودیت های بیشتر
عدم امکان شناسایی تهدیدات جدید افزایش ریسک کسب و کار

استفاده از SIEM مبتنی بر تحلیل به عنوان یک راهکار جایگزین

امروزه شرکت های IT نیازمند راهکاری ساده به منظور ایجاد ارتباط میان دیتای مرتبط با رخدادهای امنیتی هستند. این راهکار کارمندان IT را در مدیریت وضعیت امنیتی یاری خواهد کرد. به این ترتیب یک شرکت فناوری اطلاعات به جای نقش ناظر بر رخدادها، قادر به پیش بینی آنها و انجام اقدامات لازم جهت رفع نقاط آسیب پذیر خواهد بود. بنابراین بستر SIEM تحلیلی به منظور رفع چنین نیازهایی ارایه شده است.
در این بخش به بیان تفاوت های میان صورت سنتی SIEM و نوع تحلیلی آن پرداخته می شود. گارتنر در زمینه تمایز این دو بیان می کند: SIEM مدرن با مساله ای بیش از دیتای گزارشات و اعمال ارتباط تحلیلی میان آنها برخورد دارد.
راهکار SIEM مبتنی بر تحلیل به پایش لحظه ای تهدیدات پرداخته و واکنش سریعی در مقابله با رخدادهای امنیتی نشان می دهند، در نتیجه از بروز آسیب جلوگیری کرده و سطح حملات را محدود می کنند. لیکن تمام این حملات صورت گرفته خارجی نبوده اند و پرسنل IT ملزم به پایش فعالیت های کاربران خود نیز هستند، بنابراین احتمال تهدیدات داخلی و هرگونه مصالحه ناخواسته ای کاهش می یابد. درک سیستم هوشمند مقابله با تهدیدات به طور گسترده و قرار دادن این مفاهیم در سطح یک سازمان، حیاتی است.
SIEM مبتنی بر تحلیل با قابلیت های واکاوی امنیتی برتر، تیم های IT را در استفاده از روش های کمی پیشرفته به منظور درک بهتر رخدادها و اولویت بندی واکنش ها یاری می کند. در نهایت امروزه SIEM به عنوان بستر اصلی رویارویی با تهدیدات، به ابزارهای پیشرفته و تخصصی جهت مقابله با حملات پیشرفته امروزی نیازمند است.
تفاوت عمده میان SIEM مدرن و صورت سنتی آن در انعطاف پذیری آن نسبت به محیط های مختلف و قابلیت استقرار آن به صورت محلی، ابری و در محیط های هیبریدی است. شکل زیر دلایل اصلی یک سازمان در انتخاب SIEM مدرن به جای شکل سنتی آن را نمایش می دهد.

دلایل عمده جایگزینی SIEM جدید

معماری سنتی SIEM اغلب از ساختار قدیمی، از یک طرح ثابت به همراه دیتابیس SQL استفاده می کنند. در چنین ساختاری محدودیت هایی چون توسعه در مقیاس های وسیع تر، کارایی و single point of failure  (SPOF  وجود دارد.

۱٫ محدودیت های امنیتی : با توجه به محدودیت های نوع داده های ورودی، همواره محدودیت های در زمینه شناسایی، بررسی و زمان واکنش مناسب وجود خواهد داشت.

۲٫ ناتوانی در ورود کارآمد اطلاعات: ورود اطلاعات در شکل سنتی SIEM فرآیندی پرهزینه و مشکل است.

۳٫ فرآیند تحقیق و بررسی به کندی صورت می گیرد: با استفاده از شکل سنتی SIEM، اقدامات پایه همچون جستجوی ساده در گزارشات اولیه در این فرآیند بسیار زمان بر بوده و اغلب ساعت ها و روزها به منظور تکمیل گزارش، مورد نیاز است.

۴٫ عدم پایداری و مقیاس پذیری : هر اندازه حجم دیتابیس مبتنی بر SQL بیشتر می شود، میزان پایداری آن کاهش می یابد. مشتریان اغلب از کارایی ضعیف و تعداد وقفه های بالا به علت عملکرد پایین سرورها اظهار نارضایتی دارند.

۵٫ چشم انداز نامشخص و غیرقابل پیش بینی : با تغییر مالکیت فروشندگان SIEM، رشد حوزه های تحقیق و توسعه (R&D) آنها کاهش یافته است. بدون سرمایه گذاری های مستمر و نوآوری های لازم، راهکارهای امنیتی، قدرت سازگاری با رشد روزافزون حوزه تهدیدات را نخواهند داشت.

۶٫ اکوسیستم محدود : فروشندگان SIEM سنتی، اغلب قدرت ادغام با سایر ابزارهای موجود در بازار را ندارند. مشتریان ملزم به استفاده از هر آنچه در SIEM گنجانده شده، و یا صرف هزینه های بیشتر جهت دریافت خدمات سفارشی هستند.

۷٫ محدود به روش استقرار محلی : SIEM سنتی، تنها قابلیت استقرار به صورت محلی را داشته و امکان توسعه آن در محیط های ابری و هیبریدی وجود ندارد.

 انتقال SIEM به ابر

اجرای SIEM در ابر و یا ارایه آن به عنوان SaaS، امکان رفع مشکلات بسیاری از سازمان ها با سیستم های هوشمند امنیتی خود را فراهم می کند، زیرا در حال حاضر بسیاری از مدیران IT اطمینان لازم به لحاظ تامین امنیت ابر را ندارند. پیش از تصمیم گیری در ارتباط با حذف SIEM مبتنی بر ابر، باید توجه داشت استقرار تکنولوژی های امنیتی در سرویس های وسیع ابری بی اندازه پیچیده تر از سیستم های مستقر شده در شرکت ها و سازمان ها است، بنابراین حذف SIEM مساله تامین امنیت در ابر را پیچیده تر خواهد کرد.
در حال حاضر SaaS به صورت گسترده ای در بسیاری از سیستم های مهم شرکت ها همچون CRM، HR و ERP استفاده می شود. همان گونه که استفاده از SaaS در نرم افزارهای سازمان ها موجب سرعت، استقرار ساده، بار عملیاتی کمتر، به روزرسانی خودکار، میزان صورت حساب پرداختنی متناسب با مصرف تبدیل کرده است. زیرساخت مستحکم، ابر را به یکی از بهترین گزینه ها برای SIEM تبدیل کرده است.
استفاده از راهکارهای مبتنی بر ابر امکان استفاده از طیف عظیمی از اطلاعات موجود در سیستم های محلی و ابری را فراهم می کند. با توجه به انتقال بار کاری بسیاری از سازمان ها به بسترهای LaaS ،platform-as-a-service) PaaS (infrastructure-as-aservice)و SaaS، سهولت ادغام با سیستم های third-party گویای اهمیت SIEM در ابر است. مزایای اصلی انتقال SIEM به ابر شامل انعطاف پذیری معماری هیبریدی، به روزرسانی خودکار نرم افزارها و پیکربندی ساده تر، زیرساخت قابل توسعه، قابلیت های کنترلی فراوان و دسترس پذیری بالا است.

موارد استفاده از SIEM در شرکت ها

اکنون با آگاهی از روند تکامل SIEM و ویژگی های نوع مدرن تحلیلی آن، به بیان موارد امنیتی که با استفاده از SIEM قابل حل است، پرداخته می شود. 
مهمترین نیازهای تیم های امنیتی شرکت ها شامل، تشخیص زودهنگام، واکنش سریع و مشارکت در کاهش تهدیدات است. ارایه گزارشات و پایش رخدادهای امنیتی دیگر به تنهایی پاسخگو نخواهد بود. مدیران امنیتی سازمان ها نیازمند اطلاعات وسیع تری از کلیه منابع تولید داده ها در سراسر یک سازمان شامل بخش های IT، ابری و کسب و کارها است. سازمان ها به منظور جلوگیری از حملات خارجی و اقدامات مخرب داخلی، نیازمند راهکارهای پیشرفته با قابلیت شناسایی و پاسخگویی سریع، بررسی رخدادها و هماهنگ با سناریوهای  CSIRT  Computer Security Incident Response Team) است. علاوه بر این سازمان ها نیازمند شناسایی و واکنش در مقابل تهدیدات شناخته شده، ناشناخته و پیشرفته هستند.
تیم های امنیتی سازمان ها، نه تنها با هدف رفع موارد امنیتی معمول بلکه به منظور جلوگیری از رخدادهای امنیتی پیشرفته تر ملزم به استفاده از SIEM هستند. با توجه به توسعه پویای و سریع حوزه تهدیدات، انتظار می رود SIEM مدرن قابلیت هایی از جمله موارد زیر را دارا باشد:
• متمرکز کردن و جمع آوری کلیه رویدادهای امنیتی در زمان وقوع آن در منبع ایجاد شده
• پشتیبانی از انواع مکانیزم های دریافت، جمع آوری مانند syslog، انتقال فایل، مجموعه فایل-ها و …
• سیستم های هوشمند مقابله با تهدیدات
• هماهنگی و هشدار در ارتباط با طیف وسیعی از داده ها
• شناسایی تهدیدات جدید و شناخته نشده
• شناسایی مشخصات یک رفتار در سراسر سازمان
• ورود کلیه اطلاعات (کاربران، نرم افزارها) و طرح آنها بگونه ای که قابل استفاده باشد .  پایش، هشدار، بررسی، ad hoc searching 
• ارایه ad hoc searching و گزارش تحلیلی داده به منظور تجزیه و تحلیل نقاط ضعف سیستم
• بررسی رخدادها و انجام تحقیقات قانونی به منظور تحلیل دقیق حوادث
• ارزیابی و گزارش وضعیت compliance
• بکارگیری تحلیل ها و گزارشات در وضعیت های امنیتی مختلف
• پیگیری اقدامات مهاجم با استفاده از تحلیل ad hoc دقیق و بررسی توالی رویدادها
اگر چه اطلاعات SIEM، اغلب از سرورها و ابزارهای گزارش گیری شبکه به دست آمده است لیکن می تواند از داده های کسب شده از ابزارهای امنیتی endpoint و شبکه، نرم افزارها، سرویس های ابر، سیستم های احراز هویت و تعریف مجوزهای دسترسی و پایگاه های داده آنلاین تهدیدات و نقاط ضعف موجود، استفاده کند. لیکن جمع آوری اطلاعات تنها نیمی از مجموعه فرآیند است. پس از گذار از مرحله جمع آوری نرم افزار SIEM، ارتباط مجموعه اطلاعات به دست آمده را در جستجوی شناسایی هر گونه رفتار غیر معمول، ناهنجاری سیستمی و هر گونه نشانه ای از یک رخداد بررسی می کند. این اطلاعات نه تنها به منظور ارایه هشدارهای آنی، بلکه به منظور بررسی و گزارش compliance، عملکرد داشبوردها، تحلیل معکوس و بررسی قانونی رخدادها پس از وقوع، استفاده می شود.
با توجه به رشد پیچیدگی و تعداد تهدیدات امنیتی به همراه افزایش ارزش دارایی های دیجیتال سازمان ها، استفاده از راهکارهای SIEM مبتنی بر تحلیل به عنوان بخشی از اکوسیستم امنیتی سازمان ها، تعجب آور نخواهد بود.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای SIEM را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

آیا حقیقتا نیازمند SIEM هستید؟

اکنون با آگاهی از موارد استفاده از SIEM، می توان تصمیم گیری های لازم در خصوص اینکه چه سازمان هایی نیازمند استقرار SIEM هستند، گرفت. ممکن است سازمانی نیازمند استقرار سیستم امنیتی پیشرفته نبوده و تنها استفاده از یک راهکار ساده مانند Central log management CLM پاسخگوی نیازهای آن باشد. به منظور کسب اطلاعات بیشتر به بخش Splunk Enterprise for security and log management مراجعه کنید.
راهکار مدیریت مرکزی گزارش ها چیست؟ CLM به عنوان راهکاری با قابلیت مدیریت مرکزی و بررسی اطلاعات وقایع ثبت شده، شناخته می شود. اطلاعات وقایع شامل اطلاعات تولید شده در پیام های سیستمی است که شامل وقایع روزمره یک کسب وکار، شرکت و یا نمایندگی های آنها می باشد؛ در ضمن اغلب به عنوان یک منبع پنهان در زمان رفع مشکلات و یا تلاش برای دستیابی به اهداف کسب وکار مورد استفاده قرار می گیرند. 
هدف از مدیریت ثبت وقایع، جمع آوری اطلاعات تولید شده توسط سیستم ها و تبدیل آن به اطلاعات قابل جستجو و گزارش است. بطور کلی CLM در بررسی حوادث و دسته بندی هشدارها کمک شایانی می کند. 
مدیریت رویدادهای ثبت شده به عنوان اصلی ترین پایه SIEM و دلیل پیدایش آن شناخته می شود. Anton Chuvakin، یکی از تحلیلگران مشهور SIEM است او در بررسی دلایل کاربری SIEM در سازمانی که نیاز به دید جامعی نسبت به وقایع رخ دارد، چنین بیان می کند: “این موضوع که از SIEM به عنوان تجمیع کننده وقایع ثبت شده استفاده می¬کنید، لزوما بدین معنا نیست که SIEM تنها برای این هدف قابل استفاده است.” به بیان دیگر چنانچه تنها با هدف جمع آوری اطلاعات وقایع ثبت شده از SIEM استفاده می کنید، راهکاری با هزینه بالا جهت دستیابی به هدف خود اتخاذ کرده اید. 
نکته اصلی در کاربری SIEM به هر دو شکل پایه و پیشرفته است. در انتهای روند تکامل SIEM راهکار نوآورانه Gartner با نام  UEBA  قرار دارد. اسامی دیگری برای این دسته از راهکارها وجود دارد؛ به عنوان مثال تحلیل امنیتی رفتار کاربران Forrester و Splunk UBA. کلیه این روش ها از شیوه های متفاوتی در ارجاع به تکنولوژی مشابه بهره می گیرند.
از UBA به منظور شناسایی و مقابله با تهدیدات داخلی و خارجی بهره گرفته می شود. در ضمن UBA، به عنوان راهکار پیشرفته امنیتی مورد استفاده قرار می گیرد، زیرا به عنوان پایه ای با توانایی آگاه شدن از فعالیت های معمول کاربر و ارایه هشدارهای لازم در صورت مشاهده رفتارهای غیرمعمول، شناخته و بکار گرفته می شود. با توجه به این مثال برای ایجاد یک پایه مناسب مورد استفاده در سیستم های امنیتی، UBA بایست فعالیت هایی همچون موارد زیر را ردیابی کند:
• محلی که کاربر به صورت معمول برای ورود به سیستم مورد استفاده قرار می دهد.
• مجوزها و دسترسی کاربر
• فایل ها، سرورها و برنامه هایی که کاربر به آن دسترسی دارند.
• ابزارهایی که کاربر معمولا برای ورود به سیستم مورد استفاده قرار می دهد.
برخی از فروشندگان UBA در تلاش جهت ورود به بازار SIEM هستند، لیکن مساله مورد توجه این است که UBA به تنهایی نمی تواند جایگزین SIEM شود. UBA، تنها به عنوان یک تکنولوژی امنیتی مطرح است. راهکارهای UBA در کنار SIEM قابل استفاده است. به همین صورت CLM نیز یک راهکار SIEM نیست.

 

تکنیک های Cisoc ESA در مقابله با باج افزارها و حملات phishing

تکنیکهای مقابله با باجافزارها، حملات phishing و BEC

 مقدمه

حملات phishing، باج افزارها و Business Email Compromise) BEC) به یکی معضلات امنیتی سازمانها تبدیل شده است؛ این مساله از یک طرف با رشد تکنیک های پیچیده مورد استفاده توسط مجرمان سایبری و از طرف دیگر عدم آگاهی سازمان ها و افراد در برخورد با چنین حملاتی، روز به روز در حال گسترش است. به عنوان مثال باج افزارها در سال های اخیر به صورت اپیدمیک رشد یافته است به طوری که میزان خسارت از ۲۴ میلیون دلار در سال ۲۰۱۵ به یک بیلیون دلار در سال ۲۰۱۶ رسیده است. جدول شماره ۱، درصد سازمان هایی که در ۱۲ ماه گذشته مورد حملات سایبری مختلف قرار گرفته اند را نشان میدهد:

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Cisoc ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

جدول شماره ۱:

رویداد درصد سازمان­ها
حملات Phishing موفق ۳۷%
حملات باج­افزار موفق که منجر به رمزنگاری فایل­ها شده است ۲۴%
بدافزارهایی که موفق به تاثیرگذاری بر سیستم­ها شده و کانال ورودی آنها ناشناخته است ۲۲%
اطلاعات محرمانه و حساسی که به صورت تصادفی از طریق ایمیل فاش شده است ۲۲%
حملات drive-by attack که از وب­گردی کارمندان ایجاد شده است ۲۱%
حملات BEC ۱۲%
حملات spearphishing ایمیل که موفق به تاثیرگذاری بر سیستم­های حساس سازمان­ها شده است ۱۰%
اطلاعات محرمانه و حساسی که توسط یک بدافزار از طریق ایمیل فاش شده است ۷%
اطلاعات محرمانه و حساسی که به صورت تصادفی و یا بدافزاری از طریق ابزارهای مبتنی بر ابر مثل Dropbox فاش شده است ۶%
اطلاعات محرمانه و حساسی که به صورت تصادفی و یا بدافزاری از طریق شبکه­های اجتماعی فاش شده است ۲%
اطلاعات محرمانه و حساسی که به صورت تصادفی و یا بدافزاری به روش­های ناشناخته فاش شده است ۲%
سایر موارد ۲۵%

 

عمده مشکلات:

طیف گسترده ای از حملات سایبری وجود دارد که مدیران شبکه های سازمان ها ملزم به تصمیم گیری صحیح در برخورد با آنها هستند. همانطور که در شکل شماره ۱ نمایش داده شده است سه مورد اول که بیشترین توجهات را به خود جلب کرده اند مبتنی بر ایمیل هستند: که شامل Phishing، نفوذ بدافزار و Spearphishing است. با این حال بزرگترین نگرانی درخصوص نفوذ بدافزارها از طریق مرورگرهای وب، باج افزار و BEC است.

شکل شماره ۱:

چرا حملات Phishing، Spearphishing، BEC و باج ­افزارها تا حد زیادی موفقیت­ آمیز است؟

این حملات از جنبه هایی مختلفی سازمان ها را تحت تاثیر قرار داده و هزینه های هنگفتی را به آنها تحمیل می کنند. این امر می تواند منجر به وقوع خسارت های مالی، از دست دادن کارمندان و حسن شهرت شده و حتی اعتبار سازمان ها را در معرض خطر قرار دهد. مساله مهم بررسی دلایل موفقیت این نوع حملات است؟

کاربران به عنوان ضعیف­ترین عامل در این زنجیره حملات

کاربران، یکی از عوامل موفقیت بسیاری از حملات سایبری بوده و یکی از مشکلات اساسی سازمان ها در تامین امنیت کاربران هستند. اغلب کاربران در ارتباط با شناسایی و برخورد با حملات Phishing، Spearphishing، BEC و باج افزارها آموزش های لازم را دریافت نکرده اند، بنابراین بر لینک های مخرب و یا پیوست ایمیل های حاوی بدافزار بدون توجه به خطر بالقوه آنها کلیک کرده و در نتیجه سازمان ها و افراد را در معرض خطر قرار می دهند. بنابراین سازمان ها ملزم هستند تا با در نظر داشتن زیرساخت های مناسب هشدارهای لازم را به کاربران در ارتباط با لینک های مخرب و یا پیوست های ایمیل مشکوک ارائه دهند.
مدیران شبکه در نتیجه این آموزش های ضعیف از توانایی کاربران و سازمان ها در مقابله با تهدیدات، اطمینان ندارند. به عنوان مثال همانطور که در شکل شماره ۲ نشان داده شده است کمتر از پنج درصد مدیران شبکه ها از توانایی کارمندان سازمان خود در مقابله با شناسایی حملات باج افزارها اطمینان دارند:

شکل شماره ۲:

سازمان­ها کارایی لازم در برخورد با حملات را ندارند

مساله دیگری که منجر به پیچیدگی مقابله با حملات سایبری می شود، تلاش ناکارآمد سازمان ها در برخورد با حملات است. به عنوان مثال:
 بسیاری از سازمان ها فرآیندهای پشتیبان گیری کافی به منظور بازگرداندن سریع سرورها و Endpoint به وضعیت مناسب در صورت بروز حملات باج افزاری و سایر حملات را ندارند.
 بیشتر سازمان ها، کاربران خود را در برخورد با ایمیل های مخرب و میزان حساسیت آنها به این حملات آزمایش نمی کنند.
 بسیاری از سازمان ها فاقد سیستم های کنترل داخلی به منظور جلوگیری از حملات BEC هستند.
 اغلب سازمان ها فاقد سیستم ها و تکنولوژی های لازم در برخورد و کاهش تهدیدات پیش رو هستند.
 بسیاری از سازمان ها فاقد قوانین خاص در برخورد با BYOD بوده اند و کاربران با استفاده از ابزارهای سیار و نرم افزارهای تحت ابر و … امکان دستیابی به اطلاعات سازمانی و استفاده از آنها در ابزارهای دسترسی ناایمن دارند.

سازمان­های و گروه­ های مجرمانه تامین مالی می­شوند

سازمان­هایی که مرتکب جرایم سایبری می­شوند، معمولا منابع مالی مناسبی جهت انتشار انواع جدیدی از نرم ­افزارهای مخرب دریافت می­کنند. به عنوان مثال انواع مختلف باج­ افزارهایی که در سالهای اخیر منتشر شده ­اند، مانند: CryptoWall(2014)، CBT-Locker(2014)، Tesla-Crypt(1025)، Samas(2016)، Locky(2016 و (Zepto(2016 . این رشد بگونه ­ایست که واقعیتی چونransomware-as-a-service) RaaS)  به عنوان یکی از معضلات امنیتی امروزه تبدیل شده است. با توجه به منابع مالی بالا، این سازمان­های مجرمانه به سرعت امکان رشد و سازگاری با راهکارهای امنیتی جدید را خواهند داشت.

جرایم سایبری در حال تغییر و ارتقا خود هستند

پیشتر جرایم سایبری با تکیه بر دستیابی به اطلاعات افراد و فروش آن اطلاعات در فضای Darkweb استوار بودند، لیکن به تدریج با افزایش حجم اطلاعات به سرقت رفته و کاهش اهمیت این اطلاعات درآمد مجرمان سایبری کاهش پیدا کرد. در نتیجه شیوه های حملات سایبری تغییر پیدا کردند. مجرمان با استفاده از حملات Phishing و Spearphishing بدافزاری مانند Keylogger در سیستم قربانی نصب کرده و به انتقال وجه از حساب های مالی سازمان ها می پردازند، علاوه براین با استفاده از باج افزارها مستقیما وجه مورد نظر خود را دریافت می کنند، همچنین با بهره گیری از روش های BEC مدیران ارشد سازمان ها را فریب داده و مستقیما حجم بالایی از انتقالات مالی به حساب های مجرمان واریز می کنند. با این روش مجرمان سایبری به جای دزدی و فروش اطلاعات مستقیما به سرقت پول می پردازند.

در دسترس ­بودن، کم ­هزینه بودن و گستردگی ابزارهای phishing و باج ­افزار

نرم افزارهایی به منظور راهنمایی آماتورهایی با کمترین دانش IT در خصوص انجام حملات Phishing و ایجاد باج افزار، رشد قابل توجهی یافته اند. به صورتی که هر فردی با استفاده از Phishing Kit قادر به راه اندازی یک سایت فیشینگ است. بنابراین علاوه بر سازمان های بزرگی که حملات سایبری پیشرفته و ابزارهایی چون RaaS را توسعه می دهند، نسل جدیدی از حملات ناشی از ظهور رنج وسیعی از باج افزارها و سایر حملات ایجاد شده بوسیله این مجرمان آماتور است، بوجود آمده است.

 بدافزارها پیچیده تر شده است

با گذشت زمان باج­ افزارها ارتقا یافته و ساختار پیچیده­ تری پیدا کرده­اند. به عنوان مثال تلاش برای حملات فیشینگ از حملات ساده با هدف فریب کاربر جهت کلیک بر لینک مخرب تبدیل  شده است به حملات پیچیده BEC که می­توانند سازمان­های بزرگ را تحت تاثیر قرار دهد. باج­افزارها شکل­های پیچیده­تری یافته و به­سادگی اطلاعات افراد را رمزنگاری کرده و از دسترس فرد خارج می­کنند. در سال­های آینده باج­افزارها با استفاده از تکنولوژی­های machine learning ارتقا یافته و به­ صورت خودکار و هوشمند عمل خواهند کرد و به یکی از مهمترین تهدیدات سایبری تبدیل خواهند شد.

امنیت سایبری باید ارتقا یابد

برای رفع مشکلات ناشی از حملات پیچیده سایبری چون Phishing، BEC و باج افزار، ملزم به ارتقا امنیت سایبری و تغییر دیدگاه امنیتی سازمان ها در ارتباط با امنیت هستیم. با این حال تحقیقات نشان می دهد پیشرفت هایی که در زمینه امنیت سایبری صورت می گیرد متناسب با رشد تهدیدات نیست.

راهکارهای امنیتی بصورت همه جانبه ارتقا نیافته و تنها در برخی زمینه­ ها رشد لازم را دارند

تحقیقات نشان می دهد راهکارهای مقابله با حملات Phishing، Spearphishing، BEC و باج افزارها در بسیاری از سازمان ها چنانچه در جوانب شناسایی، تشخیص و جلوگیری از تهدید پیش از تاثیرگذاری آن بر Enduser، ارتقا یابند تاثیرگذارتر خواهند بود و آثار حملات را کاهش خواهند داد. شکل شماره ۳ نظر بسیاری از سازمان ها در ارتباط با تغییرات راهکارهای امنیتی آنها را نشان میدهد:

 

شکل شماره ۳:

راهکارهای امنیتی کنونی تا چه اندازه موثر هستند؟

در این تحقیق از سازمان ها خواسته شد، میزان اثربخشی راهکارهای امنیت سایبری خود را ارزیابی کنند. همان طور که در شکل شماره ۴ نمایش داده شده است، ۵۶ درصد از افراد شرکت کننده در نظرسنجی معتقدند راهکارهای امنیتی آنها برای از بین بردن تهدیدات امنیتی پیش از رسیدن به کاربر موثر بوده است.

 

 

شکل شماره ۴:

همانطور که در شکل شماره ۵ مشاهده می کنید میزان اثربخشی راهکارهای امنیت سایبری در سازمان هایی که کارمندان آنها آموزش های بیشتری در ارتباط با حملات سایبری دیده اند (حداقل دو بار در سال دوره های آموزشی برگزار کرده اند)، بیش از سایر سازمان ها است:

شکل شماره ۵:

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Cisoc ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

تکنیک ­هایی که سازمان­ها در برخورد با تهدیدات سایبری می­بایست اتخاذ کنند

در این پژوهش ۱۴ گام به منظور محافظت سازمان ها در برابر حملات سایبری همچون Phishing، Spearphishing، BEC و باج افزارها پیشنهاد و ارائه می شود:

 ۱-درک خطراتی که سازمان با آنها مواجه است:

اگرچه ممکن است این گام در ظاهر توصیه ای واضح به نظر برسد، لیکن تنها در صورت درک صحیح مشکل از جانب سازمان ها زیرساخت های لازم جهت امنیت سایبری توسعه خواهد یافت. جرایم سایبری به صنعتی عظیم و پیچیده تبدیل شده است که مقابله با آن مستلزم سرمایه گذاری است.

۲٫ طرح یک بازرسی کامل نسبت به ابزارهای فعلی امنیت سایبری:

سازمان ها ملزم به آگاهی کامل از رویکرد امنیتی خود هستند که این موارد شامل: بازرسی کامل از زیرساخت امنیتی موجود، نحوه آموزش در خصوص حملات و نحوه برخورد راهکارهای موجود در بازیابی اطلاعات در صورت بروز حملات می شود. این مرحله یک گام اساسی در شناسایی کمبودها و اولویت گذاری هزینه ها به منظور ارتقا راهکارهای امنیتی است.

۳٫ ایجاد پالیسی ها امنیتی:

مساله اعمال پالیسی ها از اهمیت ویژه ای برخوردار است که شامل کلیه ایمیل ها، صفحات وب، شبکه های اجتماعی، ابزارهای سیار و هر گونه فناوری که دپارتمان IT اجازه استقرار آن را صادر کرده است، می شود. یک گام مهم در ایجاد پالیسی ها این است که، پالیسی ها بگونه ای اعمال شوند که کلیه ابزارهایی، را که احتمالا در آینده به شبکه افزوده می شود، را در بر بگیرند. پالیسی ها باید در بردارنده قوانینی در خصوص رمزنگاری ایمیل های حاوی اطلاعات حساس، پایش رفتار بدافزارها و کنترل استفاده از ابزارهای ارتباطی شخصی باشند.

۴٫ارایه راهکارهای جایگزین

مدیران IT شبکه ­ها، ملزم به ارایه راهکارهای جایگزین برای بسیاری از سرویس­های مستقر شده برای کارمندان هستند. به عنوان مثال  enterprise file sync and share) EFSS ،(voice-over-IP) VoIP ، cloud storage) ، ارتباطات real-time و سایر قابلیت­هایی که برای استفاده کارمندان توسعه یافته است، بنابراین تیم­ های IT باید راهکاری جامعی را ارایه دهند که قابلیت استقرار در کل سازمان و تامین الزامات امنیتی را داشته باشد.

۵٫اجرا و بروزرسانی رویکردهای امنیتی سازمان

هر سازمانی ملزم به استقرار و بروزرسانی دوره­ای رویکردهایی است که به منظور حفظ اطلاعات حساس شرکت تعبیه شده است. به عنوان مثال کلیه سازمان­ها نیاز به مجموعه­ای از راهکارهای تهیه فایل­های پشتیبان، قابلیت بازیابی و تست کل مجموعه دیتا دارند تا در صورت حمله باج ­افزارها امکان بازیابی اطلاعات وجود داشته باشد.

۶٫ اجرا بهترین روشها به منظور برخورد آگاهانه افراد با حملات:

سازمان ها ملزم به توسعه روش های هستند که کاربران را در مقابل شکاف های امنیتی موجود یاری کند. به عنوان مثال: کاربران آموزش های لازم در خصوص انواع تهدیدات سایبری را داشته باشند، کارمندانی که با اطلاعات مالی و حساس سازمان ها در ارتباط هستند از Backchannel استفاده کنند و همواره کارمندان نسبت به بروزرسانی سیستم ها و ابزارهایی ارتباطی خود آگاه شوند.

۷٫ آموزش کلیه کاربران و مدیران ارشد:

برنامه آموزشی مناسب برای کلیه کارمندان به منظور آگاهی رسانی در خصوص ایمیل هایی که دریافت می کنند، نحوه استفاده از وب و لینک هایی که احتمال وجود حملات مخرب وجود دارد. مساله سرمایه گذاری در خصوص آموزش کارمندان از منظر ایجاد یک فایروال انسانی در مقابل حملات فیشینگ و حملاتی که از طریق مهندسی اجتماعی صورت می گیرد، اهمیت می یابد. مدیران ارشد می بایست در ارتباط با کلاه برداری های سایبری و حملات BEC مطلع باشند، چرا که اغلب این افراد به عنوان هدفی ارزشمند برای مجرمان سایبری مطرح هستند.

۸٫ بروزرسانی پیوسته سیستم ها:

ضعف های موجود در برنامه ها، سیستم عامل ها، پلاگین ها و سیستم ها یکی از راه های نفوذ مجرمان سایبری است. بنابراین بروزرسانی سیستم ها با استفاده از patch معتبر شرکت های صادرکننده آن، اهمیت ویژه ای در جلوگیری از بروز این مشکل دارد. به عنوان مثال یکی از مهمترین منابع نفوذ عدم بروزرسانی Oracle Java، Adobe Flash و Adobe Reader است.

۹٫ اطمینان از پشتیبان گیری صحیح و بهروز:

راهکارهای تهیه پشتیبان درصدد تهیه پشتیبان از کل داده ها پیش از آلوده شدن و بازیابی آنها در صورت بروز هرگونه مشکلی است. امروزه این راهکارها از تکنیکهایEnterprise Key Management) EKM) به منظور حفاظت و رمزنگاری فایلهای پشتیبان استفاده می کنند.

۱۰٫ استقرارهای راهکارهای مقابله با بدافزارهاو باج افزارها:

امروزه راهکارهای امنیتی مناسبی جهت مقابله با این قبیل بدافزارها وجود دارد که امکان استقرار محلی و ابری آنها وجود دارد. این راهکارها قابلیت شناسایی حملات phishing، Spearphishing، باج افزار، data exfiltration و سایر تهدیدات را دارند. هر سازمانی با توجه به الزامات امنیتی مورد نیاز خود ملزم به استقرار زیرساخت متناسب است. DLP یک عنصر کلیدی در توسعه زیرساخت امنیتی به منظور کاهش خطرات مرتبط با نقض و افشای اطلاعات است.

۱۱٫ استفاده از سیستم¬های هوشمند مقابله با تهدیدات:

استفاده از سیستم های هوشمند امنیت Real-time در مقابله با طیف گسترده ای از تهدیدات ارایه میدهد. این سیستم ها قادر به بررسی اعتبار دامنه ها و جلوگیری از حملات ، Spearphishing و باج افزار که از طریق دامنه های فاقد اعتبار انجام میشود، است.

۱۲٫ پیاده سازی سیستم های مرکزی حفاظت از داده های حیاتی:

با وجود تمام تمهیدات امنیتی همواره احتمال نفوذ و عبور از زیرساخت امنیتی وجود دارد. بنابراین سازمانها ملزم به استقرار راهکارهایی به منظور غیرقابل استفاده شدن داده های حیاتی در زمان چنین حملاتی، هستند. این عمل از طریق تکنولوژی های جدید رمزنگاری مانند:Format-Preserving Encryption) FPE) صورت میگیرد.

۱۳٫ رمزنگاری ارتباطات ایمیل:

همواره رمزنگاری ارتباطات ایمیل به عنوان یک ابزار استاندارد در مقابله با حملات فیشینگ است. راهکاری که قادر به رمزنگاری end-to-end ایمیل از ارسال آن تا دریافت توسط گیرنده اصلی، باشد.

۱۴٫ تجزیه و تحلیل رفتارها:

در این روش الگوی رفتارهای سازمانها بررسی و چنانچه رفتاری خارج از این الگو مشاهده شود دسترسی به دادهها مسدود خواهد شد.

راهکارهای احراز هویت ایمیل با استفاده Cisco ESA بخش دوم

برای مطالعه بخش اول راهکارهای احراز هویت ایمیل با استفاده Cisco ESA اینجا کیلیک کنید

الزامات پیاده سازی DMARC

DMARC برای گیرنده

احراز هویت DMARC در ESA مبتنی بر پروفایل است ولی برخلاف DKIM پروفایل پیش فرض باید بگونه ای سازگار با مشخصه ها باشد. ESA به صورت پیش فرض به نحوی رفتار می کند که هیچ یک از پیام ها از بین نرود، بنابراین پروفایل پیش فرض احراز هویت DMARC به صورت “No Action” است. علاوه بر این به منظور فعال کردن قابلیت تولید گزارش ملزم به ویرایش بخش DMARC از پالیسی های ایمیل هستیم.
تنظیمات احراز هویت DMARC، مشابه دو مورد دیگر به بخش تنظیمات پیش فرض پالیسی Mail Flow اعمال می شود. از فعال شدن ارسال گزارش فیدبک اطمینان حاصل کنید، این گزینه یکی از مهمترین قابلیت-های DMARC برای فرستنده است. در زمان انتشار این مقاله ESA از تولید گزارش Failure به ازای هر پیام پشتیبانی نمیکرد (بر چسب “ruf” در پالیسی DMARC).
اقدامات و پالیسی های DMARC توسط فرستنده توصیه می شود لیکن برخلاف SPF و DKIM در عمل هیچ پیکربندی خارج از پروفایل پیکربندی قابل اعمال نیست. همچنین نیازی به ساخت فیلترهای محتوا نیست.
احراز هویت DMARC فیلدهایی را به هدر Authentication-Results می¬افزاید:
Authentication-Results: mx1.hc4-93.c3s2.smtpi.com; dkim=pass (signature verified)
header.i=MileagePlus@news.united.com; dmarc=pass (p=none dis=none) d=news.united.com
در نمونه فوق، DMARC براساس هم ترازی شناسه DKIM تایید می شود و فرستنده درخواست پالیسی “none” ارسال می کند. این مساله نشان دهنده وضعیت “monitor” در مراحل استقرار DMARC است.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای احراز هویت ایمیل با استفاده Cisco ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

چنانچه به سایر دامینها و یا ۳rd party سرویس ایمیل ارایه می کنید

بزرگترین مساله در سازگاری ESPs با DMARC، دستیابی به هماهنگی کامل شناسه است. زمانیکه قصد توسعه DMARC را دارید، ملزم به اطمینان از صحت تنظیمات SPF هستید، به گونه ای که کلیه دامنه های مرتبط، گیت وی خروجی شما را در رکوردهای SPF خود داشته و پیام هایی را که از منظر همترازی قابل قبول نیستند، ارسال نمی کنند. اصولا این عمل از طریق استفاده از دامین های متفاوت برای MAIL FROM و شناسه Header From صورت می گیرد. این خطا اغلب هنگامیکه از برنامه هایی که اعلان ها و هشدارهایی از طریق ایمیل ارسال می کنند رخ می دهد، زیرا اغلب توسعه دهندگان نرم افزارها از عواقب ناسازگاری شناسه های ایمیل اطلاعی ندارند.
همانگونه که پیشتر ذکر شد، ملزم به اطمینان از کاربری پروفایل امضا DKIM مجزا برای هریک از دامنه ها هستیم، بدین ترتیب پروفایل امضا شما به صورت صحیح به دامینی که درخواست امضا ارسال شده است، از طریق Header From ارجاع داده می شود. چنانچه شما از زیردامنه های خود استفاده می کنید، امکان امضا با یک کلید وجود دارد لیکن باید از مطابقت با DKIM در پالیسی های  adkim=”r”) DMARC”) اطمینان حاصل کنید.
به صورت کلی چنانچه سرویسهای ایمیل برای تعداد بالایی از ۳rd party ارایه می کنید، توصیه می شود راهنمایی هایی در مورد چگونگی ارسال ایمیلی که از دریافت آن اطمینان داشته باشیم تهیه کنید.

دامنه ها و زیردامنه های فاقد ترافیک ایمیل

از دیگر مزایای DMARC نسبت به سایر تکنولوژی های احراز هویت پیشین، قابلیت آن در برخورد با زیر دامنه ها است. به صورت پیش فرض پالیسی DMARC به کلیه زیردامنه ها اعمال می شود. زمانیکه رکوردهای DMARC policy را اصلاح می کنید، اگر هیچ رکوردی در سطح Header From FQDN تعریف نشده باشد، دریافت کننده ایمیل ملزم به تصمیم گیری در خصوص دامین فرستنده و جستجوی رکورد پالیسی است.
پالیسی برای Organizational Domain بگونه ایست که میتوان پالیسی مجزایی به هریک از زیردامنه ها اعمال کرد ( برچسب “sp” در رکورد DMARC) که این پالیسی به کلیه زیردامنه هایی که پالیسی DMARC مجزایی ندارند، اعمال خواهد شد.
در سناریوی بخش SPF شما امکان:
 انتشار یک رکورد صریح DMARC برای هریک از زیردامنه های که در گروه منابع معتبر ایمیل قرار دارند.
 پالیسی “reject” را در کلیه زیردامنه های رکوردهای Organizational Domain policy منتشر می کنیم، به این ترتیب کلیه ایمیلهایی که از منابع جعلی ارسال میشوند، پذیرفته نخواهند شد.
چنین ساختار احراز هویت ایمیل، بهترین روش برای حفاظت از زیرساخت و نام تجاری شما خواهد بود.

 مباحث ویژه در DMARC

چندین مشکل بالقوه در مبحث DMARC وجود دارد که از ماهیت و کاستی های سایر تکنولوژی هایی احراز هویتی که DMARC به آنها وابسته است، نشات گرفته است. مساله اصلی زمانی آشکار میشود که DMARC پالیسی “reject” اعمال و یا شناسه ارسال کنندگان متفاوت در یک پیام را با یکدیگر مرتبط می کند.
اغلب مشکلات با mailing list و نرم افزارهای مدیریت mailing list، زمانیکه یک ایمیل به یک mailing list ارسال می¬شود، در میان همه گیرندگان موجود در لیست توزیع می شود. اگرچه ایمیل نهایی، با آدرس فرستنده اصلی، از طریق زیرساخت مدیریت mailing list ارسال و درنتیجه تست failing SPF برای Header From صورت نخواهد گرفت ( اغلب زیرساختهای مدیریت mailing list از لیست ایمیلها با عنوان Envelope From و یا MAIL FROM و فرستنده اصلی با عنوان Header From استفاده می کنند.).
با توجه به اینکه DMARC احتمال شکست SPF وجود دارد، در این موارد به DKIM متکی خواهیم بود، اگرچه نرم افزارهای مدیرت mailing list اغلب پاورقی و یا برچسب موضوعی به همراه نام لیست به پیام می-افزایند که موجب ناکارآمدی تایید امضا DKIM خواهد شد.
توسعه دهندگان DKIM راهکارهای مختلفی را به منظور رفع این مشکل ارایه می کنند، که در اغلب این روشها از mailing list managers ، که از آدرس موجود در لیست در کلیه بخشهای From addresses و اشاره به فرستنده اصلی با استفاده از سایر روشها، استفاده می شود.
مشکلات مشابهی در فوروارد پیام از طریق کپی پیام اصلی و ارسال از طریق SMTP به گیرنده جدید، به وجود می آید. اگرچه امروزه بسیاری از Mail User Agent ، یک پیغام جدید ایجاد کرده و پیام فوروارد شده درون پیام جدید و یا بصورت پیوست آن قرار می دهند. پیامهایی که به این شکل ارسال می شوند چنانچه کاربر فوروارد کننده مورد قبول باشد، الزامات DMARC را فراهم میکنند( البته احراز هویت پیام اصلی را نمیتوان فراهم کرد).

نمونه ای از اقدامات صورت گرفته جهت پیاده سازی احراز هویت ایمیل

اگرچه ماهیت تکنولوژی ها احراز هویت ایمیل ساده است، لیکن روند اجرای یک زیرساخت کامل، پیچیده و طولانی خواهد بود. برای سازمانهای کوچک و افرادی که جریان ایمیل کنترل شده ای دارند این روند چندان پیچیده نیست لیکن پیاده سازی آن در سازمانهای بزرگ چالش برانگیز خواهد بود و معمولا آنها به منظور مدیریت پروژه از کمک مشاوران بهره می گیرند.

گام اول : DKIM

DKIM نسبتا بی وقفه است، زیرا پیامهای امضا نشده پذیرش خواهند شد..پیش از شروع پیاده سازی کلیه این مسایل را باید در نظر گرفت. با هر ۳rd party که قصد واگذاری عملیات امضا DKIM به او را دارید تماس حاصل کرده و استراتژی مدیریت سلکتور آنها را بررسی کنید. برخی سازمانها کلیدهای مجزایی ( سلکتور ) برای هریک از واحدهای سازمانی متفاوت استفاده می کنند. همچنین برای امنیت بیشتر از چرخش دوره ای کلیدها استفاده کنید، توجه داشته باشید تا پیش از اطمینان از دریافت کلیه ایمیلهای ارسالی کلید پیشین حذف نشوند.
ملاحظات ویژه ای درخصوص سایز کلیدها باید لحاظ شود. اگرچه بصورت عام تصور میشود هرچه سایز کلید بزرگتر باشد بهتر است، ولی باید توجه داشت تولید دو امضای دیجیتال به ازای هر پیام بار کاری بالایی برای CPU و تاثیر منفی بر عملکرد گیت وی ایمیلهای خروجی خواهد داشت. با توجه به حجم بالای محاسباتی، ۲۰۴۸ بیت در عمل بالاترین سایز کلید مورد استفاده است، لیکن در بسیاری از روشهای توسعه کلید ۱۰۲۴ بیتی سازگاری بهتری میان عملکرد و امنیت برقرار می کند.
به منظور پیاده سازی DMARC ملزم به :
a. شناسایی کلیه دامنه ها و زیردامنه هایی که به آنها ایمیل ارسال می کنید.
b. تولید کلید DKIM و ایجاد پروفایل امضا برای هریک از دامنه ها
c. ارایه کلید خصوصی مرتبط با هریک از ۳rd party
d. انتشار کلیه ملیدهای عمومی در DNS مرتبط
e. بررسی آمادگی ۳rd party جهت تایید امضا
f. فعال کردن قابلیت DKIM signing در بخش Mail Flow Policy مرتبط در ESAs
g. اعلام شروع عملیات امضا به ۳rd party

گام دوم : SPF

پیاده سازی SPF قطعا سخت ترین و زمان برترین بخش اجرای احراز هویت ایمیل است. باتوجه به اینکه کاربری و مدیریت ایمیل بسیار ساده و فارغ از الزامات امنیتی است، بنابراین شرکتها به صورت سنتی پالیسی های سختگیرانه ای در مورد ایمیل اعمال نمی کنند. این مساله منجر به عدم آگاهی سازمانها از منابع مختلف داخلی و خارجی ایمیل خود، شده است. بزرگترین مشکل پیاده سازی SPF تشخیص اینکه در حال حاضر چه کسی در حال ارسال ایمیل معتبر از طرف شما است.
مسایلی که باید دنبال کنید:
a. اهداف آشکار: سرورهای Exchange و یا هرگونه سرورهای groupware و گیت وی ایمیل خروجی
b. هرگونه راهکار DLP و یا سیستمهای پردازش ایمیلی که امکان ارایه هشدار دارد.
c. سیستمهای CRM که اطلاعات مرتبط با مشتریان را ارسال می کنند.
d. برنامه های ۳rd party مختلفی که ایمیل ارسال می کنند.
e. سرورهای تست ، lab و … که ایمیل ارسال می کنند.
f. رایانه های شخصی و سایر ابزارهایی که برای ارسال ایمیل خارجی پیکربندی شده است.
لیست فوق کامل نبوده زیرا سازمانها محیط های متفاوتی را تجربه می کنند، لیکن به عنوان یک راهنمای کلی مفید است. زمانیکه اغلب منابع ایمیل شما مشخص باشد، احتمال دارد تمایل داشته باشید یک قدم به عقب بازگشته و درعوض تایید جداگانه هر منبع از یک لیست استفاده کنید. در حالت ایده آل مگر در چند مورد استثنا، کلیه ایمیلهای خروجی شما ملزم به عبور از گیت وی خروجی است. چنانچه بازاریابی از طریق ایمیل داشته و یا از ۳rd party استفاده می کنید باید زیرساخت موجود را از production email gateway تفکیک کنید. چنانچه شبکه ارسال ایمیل شما پیچیده باشد، ممکن است تمایل به مستندسازی وضعیت فعلی SPF داشته باشید، که این مساله در آینده زمان زیادی برای پاکسازی نیاز دارد.
چنانچه شما به دامینهای متفاوت در یک زیرساخت سرویسی ارایه می دهید، تمایل به ایجاد یک رکورد SPF عمومی و ارجاع آن به هریک از دامینها با استفاده از مکانیزم “include” داشته باشید. اطمینان حاصل کنید که رکورد SPF شما بیش از حد گسترده نباشد؛ به عنوان مثال چنانچه تنها پنج ابزار ارسال SMTP در یک شبکه سابنت /۲۴ وجود داشته باشد، در مقابل افزودن آن به کل شبکه این پنچ آدرس مجزا را به رکورد SPF خود اضافه کنید. حال هدف این است که رکوردها تا حد امکان اختصاصی شود تا احتمال ایمیلهای حاوی بدافزار با به خطر انداختن شناسه شما، به حداقل برسد.
با گزینه Softfail برای فرستنده های ناسازگار (“~all”) آغاز کنید و تنها زمانیکه از شناسایی کلیه منابع ایمیل اطمینان حاصل کردید وضعیت را به  all”)  Hardfail-“) تغییر دهید، در غیراینصورت در خطر از دست دادن production email قرار خواهید گرفت. پس از استقرار DMARC و اجرای آزمایشی آن در حالت monitor، قادر به شناسایی کلیه سیستمهای از دست رفته و بروزرسانی کامل رکورد SPF خواهید بود. تنها در این وضعیت میتوان به صورت امن SPF را در وضعیت hardfail قرار داد.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای احراز هویت ایمیل با استفاده Cisco ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

 گام سوم : DMARC

پس از انجام تنظیمات SPF و DKIM زمان ایجاد پالیسی های DMARC رسیده است. شرایط مختلفی را که در بخش پیش به آنها اشاره شد در نظر گرفته و درصورت وجود زیرساخت ایمیل پیچیده آمادگی استقرار بیش از یک رکورد DMARC را داشته باشید.
ایجاد ایمیلهای جایگزینی که گزارشها را دریافت می کنند، و یا ایجاد نرم افزارهای تحت وب که امکان ارایه آن را داشته باشد. هیچ آدرس ایمیل دقیقی برای این منظور تعریف نشده است، لیکن میتواند به شکل توصیفی مانند : rua@domain.com، dmarc.rua@domain.com، mailauth-rua@domain.com و … ایجاد شوند. از وجود یک فرآیند جایگزین برای عاملی جهت پایش آدرسها و ویرایش پیکربندی SPF، DKIM و DMARC و هشدار تیم های امنیتی در وضعیت spoofing campaign، اطمینان حاصل کنید. در ابتدا، در زمان تعریف رکوردها به منظور پوشش کلیه مسایلی که در ارتباط با پیکربندی SPF و DKIM از قلم افتاده است، بار کاری زیادی وجود دارد. پس از مدتی گزارشات تنها احتمال تلاشهایی برای spoofing را نمایش خواهند داد.
در ابتدا پالیسی DMARC را در وضعیت “none” و وضعیت گزینه ارسال گزارش را در حالت تست تمام وضعیتهایfail  “fo=1 قرار داده، که در این حالت به سرعت کلیه خطاهای موجود در SPF و DKIM بدون تاثیرگذاری بر ترافیک گزارش می شود. زمانیکه نتایج گزارشها رضایت بخش بود باتوجه به پالیسی امنیتی و اولویت های خود، پالیسی را در وضعیت “quarantine” و “reject” قرار دهید. مجددا از وجود عاملی که به صورت پیوسته به تحلیل گزارشات DMARC دریافت شده برای کلیه حالتهای false positive، اطمینان حاصل کنید.
پیاده سازی صحیح و کامل DMARC، فرآیندی پیچیده و طولانی است. برخی از نتایج ( در پیاده سازی رسمی DMARC) از طریق انتشار یک مجموعه ناقص از رکوردها و پالیسی “none” بدست می آید. این مساله برای سازمانهای ارسال کننده و همچنین اینترنت به عنوان محلی که همه سازمانها به منظور ارتقا نهایی قابلیت هایش، آن را پیاده سازی می کنند جذاب است.
حال به ارایه یک طرح کلی و جدول زمانی مناسب برای پیاده سازی یک پروژه نمونه پرداخته می شود. باید توجه داشت که سازمانها متفاوت بوده و این مراحل برای کلیه سازمانها دقیق و متناسب با نیازهای آنها نخواهد بود:

ردیف موضوع زمان
۱ برنامه ­ریزی و تهیه مقدمات DKIM ۲-۴ هفته
۲ آزمون اجرای DKIM ۲ هفته
۳ شناسایی فرستنده معتبر SPF ۲-۴ هفته
۴ آماده­ سازی پالیسی DMARC ۲ هفته
۵ اجرای تست رکوردهای SPF و DMARC ۴-۸ هفته
۶ اجرای تست SPF به همراه hardfail ۲هفته
۷ اجرای تست DMARC به همراه quarantine/reject ۴ هفته
۸ پایش گزارشات DMARC و تطبیق SPF/DKIM با این گزارشات به صورت پیوسته

پیاده سازی در سازمانهای کوچک زمان کمتری به ویژه در مراحل ۳و۴ نیاز دارد. صرف نظر از سادگی زیرساخت ایمیل، معمولا زمان زیادی به انجام تستها و بررسی فیدبک گزارشها اختصاص دهید.
سازمانهای بزرگتر مراحل فوق را در زمانهای طولانی تر و الزامات سختگیرانه تری تجربه می کنند. معمولا سازمانهایی با زیرساخت ایمیل پیچیده، نه تنها از جنبه های پیاده سازی احراز هویت بلکه از منظر مدیریت کل پروژه و هماهنگی تیم ها و ادارات از کمک مشاوران بهره می گیرند.

راهکارهای احراز هویت ایمیل با استفاده Cisco ESA بخش اول

 مقدمه

در این مقاله به بررسی سه تکنولوژی برتر احراز هویت ایمیل شامل DKIM ، SPF، MARC و جنبه­ های مختلف استقرار هر یک از آنها پرداخته می­شود. چندین ساختار معماری ایمیل به همراه دستوالعمل ­های پیاده ­سازی آنها در محصولات امنیت ایمیل سیسکو ارایه شده است. با توجه به اینکه این مقاله به صورت یک راهنمای عملی ارایه شده است، از بیان برخی موارد پیچیده اجتناب شده است. همچنین در صورت لزوم برخی مفاهیم بشکل ساده و فشرده ارایه شده است.

 پیش نیازها

خواننده این مقاله برای درک مطالب آن ملزم به آگاهی از ابزارهای امنیت ایمیل سیسکو است. علاوه ­بر­این خواننده می­بایست آگاهی لازم در خصوص DNS و SMTP و فرآیندهای آنها و اصول اولیه SPF، DKIM و DMARC داشته باشد.

بررسی اجمالی راهکارهای احراز هویت ایمیل

 پالیسی مبتنی بر فرستنده

چارچوب پالیسی­های مبتنی بر فرستنده برای اولین بار در سال ۲۰۰۶ با عنوان RFC4408 منتشر شد. نسخه کنونی RFC7208 است که در نسخه RFC7372 بروزرسانی شده است. در حقیقت، ساده­ ترین روش برای صاحبان دامنه به منظور ارسال ایمیل ­های معتبر به گیرندگان استفاده از DNS است. اگر چه SPF به­ صورت پیش­فرض مسیر بازگشت (mail from) را بررسی می­کند؛ توصیه می­شود مکانیزیمی جهت احراز هویت آرگومان­های HELO/EHLO، SMTP (FQDN گیت­وی فرستنده در زمان انتقال SMTP ارسال می­شود) وجود داشته باشد. SPF با استفاده از رکوردهای DNS از نوع TXT از ترکیبات ساده­ای چون مورد زیر استفاده می­کند:

 

spirit.com    text = “v=spf1 mx a ip4:38.103.84.0/24 a:mx4.spirit.com include:spf.protection.outlook.com~all”

 

رکورد Spirit Airlines به ایمیل­هایی با آدرس فرستنده حاوی @spirit.com که از آدرسی مشخصی با سابنت ۲۴/ اجازه عبور می­دهد، دو مکانیزم بر حسب FQDN و محیط Microsoft’s Office365 تعریف شده است. عبارت “~all” گیرنده را ملزم به فرض حالت Soft Fail، یکی از دو وضعیت SPF، در ارتباط با ایمیل­ های سایر منابع قرار می­دهد. توجه داشته باشید که فرستندگان از نحوه عملکرد گیرندگان در قبال پیام­ های Fail شده اطلاعی نخواهند داشت، تنها از میزان Fail آنها آگاه خواهند شد.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای احراز هویت ایمیل با استفاده Cisco ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

Delta طرح SPF متفاوتی را مورد استفاده قرار داده است:

Delta.com     text = “v=spf1 a:smtp.hosts.delta.com include:_spf.vendor.delta.com –all”

Delta به منظور به حداقل رساندن تعداد DNS queries، رکورد “A” حاوی لیست کلیه گیت­وی SMTP ایجاد کرده است، همچنین رکورد SPF مجزا برای فروشندگان ایجاد شده است، “_spf.vendor.delta.com”. دستوالعمل­ هایی در خصوص Hard Fail پیام­هایی که از طریق SPF احراز هویت نمی­شوند، ارایه شده است (عبارت “-all”). توضیحات تکمیلی در ارتباط با رکورد SPF فروشندگان به شرح زیر است:

_spf.vendor.delta.com text = “v=spf1 include:_spf-delta.vrli.com include:_spf-ncr.delta.com a:delta-spf.niceondemand.com include:_spf.airfrace.fr include:_spf.qemailserver.com include:skytel.com include:epsl1.com ?all”

بنابراین ایمیل ­هایی که از منبع @delta.com ارسال می­شوند؛ به صورت قانونی به عنوان مثال از گیت­وی ایمیل Air France عبور می­کند. United از طرح SPF ساده ­تری استفاده می­کند:

united.com            text = “v=spf1 include:spf.enviaremails.com.br include:spf.usa.net include:coair.com ip4:161.215.0.0/16 ip4:209.87.112.0/20 ip4:74.112.71.93 ip4:74.209.251.0/24 mx ~all”

علاوه بر گیت­وی ایمیل شرکت خود، ارایه ­دهندگان تجاری ایمیل (به عنوان مثال “usa.net” و “enviaremail.com.br”)، گیت، به همراه کلیه رکوردهای MX (مکانیزم “MX”) بهره می­برند. توجه داشته باشید که MX (گیت­وی ایمیل ورودی برای یک دامنه) مشابه خروجی نخواهد بود. در حالی­که معمولا شرکت­های کوچک معمولا گیت­وی ورودی و خروجی یکسان دارند، لیکن شرکت­های بزرگ زیرساخت مجزایی برای بررسی ایمیل­ های ورودی و خروجی استفاده می­کنند.

لازم به ذکر است که در نمونه ­های فوق از ارجاعات DNS بیشتر (مکانیزم “include”) استفاده شده است. با این­حال برای عملکرد بهتر، مشخصات SPF مجموع جستجوی DNS مورد نیاز جهت دریافت رکورد نهایی تا سطح ۱۰ را محدود می­کند. کلیه جستجوی­های SPF با سطح DNS recursion بالای ۱۰ رد خواهند شد.

DKIM

DKIM مشخص­ شده در RFCs، ۵۵۸۵، ۶۳۷۶ و ۵۸۶۳ ترکیبی از دو طرح Yahoo’s Domain Keys و Cisco’s Identified Internet Mail است؛ که برای ارسال­ کنندگان پیام راهکار ساده­ای جهت رمزنگاری امضا پیام خروجی شامل signatures (به همراه سایر بازبینی­ها در metadata) در DKIM-Signature) email header) قرار داده است. ارسال­ کنندگان پیام کلید عمومی خود را در DNS منتشر می­کنند، بنابراین هر گیرنده­ای به راحتی می­تواند کلید را دریافت و امضا آن را تایید کند. DKIM، امکان احراز هویت منبع فیزیکی پیام را ندارد، ولی با تکیه بر این واقعیت که منبع کلید خصوصی سازمان فرستنده را دارا است، بصورت ضمنی اجازه ارسال پیام تحت مالکیت آنها را دارد.

برای پیاده ­سازی DKIM، سازمان ارسال­ کننده چندین کلید عمومی تولید و در DNS به ­صورت رکورد TXT منتشر می­کند. هر جفت کلید توسط یک “selector” ارجاع داده می­شود، بنابراین DKIM امکان تمایز میان کلیدها را خواهد داشت. پیام خروجی امضا شده و هدر DKIM-Signature وارد می­شود:

DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=united; d=news.united.com;h=MIME-Version:Content-Type:Content-Transfer-Encoding:Date:To:From:Reply-To:Subject:List-Unsubscribe:Message-ID; i=MileagePlus@news.united.com; bh=IBSWR4yzI1PSRYtWLx4SRDSWII4=; b=HrN5QINgnXwqkx+Zc/9VZys+yhikrP6wSZVu35KA0jfgYzhzSdfA2nA8D2JYIFTNLO8j4DGmKhH1MMTyYgwYqT01rEwL0V8MEY1MzxTrzijkLPGqt/sK1WZt9pBacEw1fMWRQLf3BxZ3jaYtLoJMRwxtgoWdfHU35CsFG2CNYLo=

فرمت امضا قالب ساده­ای دارد. برچسب “a” الگوریتم مورد استفاده به منظور امضا، برچسب “c” مشخص ­کننده طرح­های نرمال­سازی (جهت کسب اطلاعات بیشتر در مورد طرح­های نرمال­ سازی به بخش DKIM canonicalization مراجعه شود.) مورد استفاده، برچسب “s” سلکتور و یا مرجع کلید و “d” دامین امضا کننده است. سایر بخش­های باقی­مانده هدر DKIM-Signature خصوصیات پیغام را مشخص می­کند: “h” لیست هدرهای امضا شده، “i” هویت امضای کاربران و در نهایت هدر به دو هش مجزا ختم می­شود: “bh” مخلوطی از هدرهای امضا شده، در حالی­که “b” مقدار هش برای متن پیام است.

زمانی­که پیغام DKIM-signed دریافت می­شود، گیرنده کلید عمومی را از طریق DNS query جستجو می­کند:

<selector>._domainkey.<signing domain>

همانطور که در هدر DKIM-Signature نیز نشان داده شده است. در مثال بالا Query به صورت “united._domainkey.news.united.com” خواهد بود:

united._domainkey.news.united.com   text = “g=*\; k=rsa\; n=” “Contact” “postmaster@responsys.com” “with” “any” “questions” “concerning” “this” “signing” “\;
p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/Vh/xq+sSRLhL5CRU1drFTGMXX/Q 2KkWgl35hO4v6dTy5Qmxcuv5AwqxLiz9d0jBaxtuvYALjlGkxmk5MemgAOcCr97GlW7Cr11eLn87
qdTmyE5LevnTXxVDMjIfQJt6OFzmw6Tp1t05NPWh0PbyUohZYt4qpcbiz9Kc3UB2IBwIDAQAB\;”

رکوردی که بازگردانده می­شود حاوی کلید و سایر پارامترهای اختصاصی است.

مشکل اصلی در DKIM، عدم اجازه انتشار استفاده فرستنده از DKIM در مقدار مشخصه اولیه است. بنابراین چنانچه پیامی که حاوی امضا نباشد، دریافت شود، گیرنده راهی برای درک این موضوع نداشته و در این صورت به احتمال بالا تایید هویت نخواهد شد. امکان تشخیص دامنه DKIM-enabled، در شرایطی که یک سازمان قادر به استفاده از چندین سلکتور است، وجود ندارد. استاندارد مجزایی به منظور پوشش این مساله، Author Domain Signing Practice، منتشر شد ولی در سال ۲۰۱۳ به دلیل عدم استقبال، استفاده از آن منسوخ شد.

احراز هویت پیام مبتنی بر دامین، ارایه گزارش و سازگاری آنها

DMARC ، جدیدترین پروتکل احراز هویت است که به منظور رفع نواقص سایر روش­های احراز هویت SPF و DKIM ارایه شده است. برخلاف دو روش دیگر، DMARC بخش Header From پیام را اعتبارسنجی کرده و ارتباطی میان آن سایر فاکتورهای بررسی شده توسط دو پروتکل دیگر برقرار می­کند. DMARC در RFC7489 تعریف شده است.

مزیت­های DMARC نسبت به روش­های SPF و DKIM شامل موارد زیر است:

  1. اطمینان از هم ­ترازی (مطابقت کامل و یا تابعیت آن) کلیه مشخصه­ های موجود (HELO، MAIL FROM، DKIM signing domain) با From header
  2. صاحب دامنه ارسال­ کننده پیام، امکان ایجاد پالیسی­های امنیتی برای گیرنده پیام جهت تصمیم ­گیری در ارتباط با برخورد با پیام­های fail را خواهد داشت.
  3. صاحب دامنه ارسال­ کننده پیام، امکان دریافت فیدبک لازم در خصوص پیغام­های fail را خواهد داشت؛ بنابراین امکان شناسایی حملات phishing و یا هر گونه خطایی در پالیسی­های SPF/DKIM/DMARC را خواهد داشت.

DMARC از یک مکانیزم ساده پالیسی مبتنی بر توزیع DNS استفاده می­کند:

_dmarc.aa.com text = “v=DMARC1\; p=none\; fo=1\; ri=3600\; rua=mailto:american@rua.agari.com,mailto:dmarc@aa.com\; ruf=mailto:american@ruf.agari.com,mailto:dmarc@aa.com”

تنها بر چسب الزامی در تعیین پالیسی­های DMARC، “p” است، که نحوه برخورد با پیام­های fail را تعیین می­کند؛ که یکی از سه روش none، quarantine و reject در ارتباط با این قبیل پیام­ها اتخاذ می­شود. ارایه گزارش در بسیاری از این پارامترها الزامی است: “rua” معرف آدرس URL (یا به صورت mailto و یا آدرس http:// URL با استفاده از روش POST) که به منظور ارسال گزارش­های تجمیعی در ارتباط با پیام­های Fail از یک دامنه مشخص است. “ruf” معرف URL به منظور ارایه گزارشات فوری در ارتباط با کلیه پیام­های Fail است.

با توجه به ویژگی­های تعریف شده گیرنده پیام ملزم به مطابقت با پالیسی ­های اعلام شده است. چنانچه گیرنده رویکرد متفاوتی را در پیش بگیرد گزارش کاملی به صاحب دامنه ارسال­ کننده پیام ارسال می­شود. یکی از مفاهیم اصلی DMARC هماهنگی شناسه است. هماهنگی شناسه معرف نحوه عبور پیام از تایید هویت DMARC را نمایش می­دهد. SPF و DKIM به صورت مجزا تنظیم شده، و پیام به منظور تامین الزامات DMARC ملزم به تایید کلیه این مراحل است. پالیسی­ های DMARC بگونه ­ای است که فرستنده امکان درخواست ارایه گزارش failure در مواردی که یکی از تنظیمات صحیح و بقیه fail باشند را نیز دارد. این مساله در مثال بالا از طریق بر چسب “fo” که مقدار “۱” به آن اختصاص داده شده است مشخص  می­شود.

دو روش جهت تایید هماهنگی شناسه پیام حالت­های DKIM و SPF وجود دارد که شامل وضعیت­های strict و relaxed است. پیوستگی Strict به معنی FQDN بخش Header From ملزم به تطبیق کامل با شناسه امضای دامنه (بر چسب “d”) از امضا DKIM و یا FQDN مربوط به دستور MAIL FROM SMTP برای SPF است. از سوی دیگر پیوستگی Relaxed بخش Header From FQDN به صورت زیر دامنه موارد فوق قرار می­گیرد. این موارد هنگام ارسال ترافیک به ۳rd party اهمیت ویژه­ای می­یابد.

 الزامات استقرار SPF

SPF برای گیرنده

SPF جزو جدایی­ ناپذیر در پیکربندی سیسکو Email Security Appliance) ESA) و Cloud Email Security virtual appliance است. در ادامه این مقاله هرگونه ارجاعی مرتبط با ESA شاملCisco Email Security) CES) نیز است.

اعتبارسنجی SPF در پالیسی­های Mail Flow تبیین شده است؛ ساده ­ترین راه برای اجرای آن فعال کردن آن در بخش Default Policy Parameters مرتبط با listener مناسب است. چنانچه listener مشابهی برای ایمیل­ های دریافتی و ارسالی استفاده می­کنید، از غیر فعال بودن اعتبارسنجی SPF در پالیسی­های جریان ایمیل حاصل کنید.

باتوجه به اینکه SPF اجازه تایید پالیسی را نمی­دهد، اعتبارسنجی SPF (مشابه DKIM) تنها به تایید پیام و ورود مجموعه­ ای از هدرها برای هر بخش بررسی شده SPF می­پردازد:

Received-SPF: Pass (mx1.hc4-93.c3s2.smtpi.com: domain of
united.5765@envfrm.rsys2.com designates 12.130.136.195 as
permitted sender) identity=mailfrom;
client-ip=12.130.136.195; receiver=mx1.hc4-93.c3s2.smtpi.com;
envelope-from=”united.5765@envfrm.rsys2.com”;
x-sender=”united.5765@envfrm.rsys2.com”;
x-conformance=sidf_compatible; x-record-type=”v=spf1″
Received-SPF: None (mx1.hc4-93.c3s2.smtpi.com: no sender
authenticity information available from domain of
postmaster@omp.news.united.com) identity=helo;
client-ip=12.130.136.195; receiver=mx1.hc4-93.c3s2.smtpi.com;
envelope-from=”united.5765@envfrm.rsys2.com”;
x-sender=”postmaster@omp.news.united.com”;
x-conformance=sidf_compatible

توجه کنید در این پیام دو مشخصه توسط SPF تایید شده ­اند: “mailfrom” به عنوان یک حکم و “helo” به عنوان یک پیشنهاد توسط مشخصه­ ها ارایه شده است. این پیام SPF را عبور خواهد زیرا تنها پیغام قبلی الزامات SPF را تامین می­کند لیکن برخی از گیرندگان فرستنده را به نداشتن رکورد SPF در شناسه HELO ملزم میدارند. بنابراین قرار دادن نام­های گیت­وی میزبان ایمیل خروجی در رکوردهای SPF روش مناسبی خواهد بود.

زمانی­که پالیسی Mail flow پیامی را تایید می­کند، تصمیم­ گیری در ارتباط با اتخاذ واکنش مناسب به مدیران محلی واگذار شده است. این کار با استفاده از قوانین فیلترینگ پیام  spf-status (ایجاد فیلترهای پیام فراتر از محدوده این مقاله بوده و برای دریافت اطلاعات بیشتر به بخش AsyncOS for Email مراجعه کنید.)، یا توسط ساخت یک فیلتر محتوای ورودی و اعمال پالیسی ایمیل ورودی انجام می­شود.

فیلترهای توصیه شده موجب متوقف کردن پیام­های  all ) Fail- در رکورد SPF) ، قرنطینه پیام­های all ) Softfail~ در رکورد SPF) در Policy Quarantine  میشود، در حالی­که این مساله با توجه به الزامات امنیتی سازمان­ها تغییر می­کند. برخی گیرندگان پیام تنها بر چسب پیغام Fail را قرار داده و یا عملی انجام نداده و تنها گزارشی به ادمین ارسال می­کنند.

اخیرا محبوبیت SPF افزایش یافته است ولی بسیاری از دامنه­ ها رکوردهای SPF نادرست و یا ناقص منتشر کرده­اند. توصیه میشود به منظور حفظ امنیت، خواستار قرنطینه کلیه پیام­های SPFfailing باشید، و همه پیام­های قرنطینه را برای مدت محدودی پایش کرده تا از احتمال “false positive” آنها اطمینان حاصل شود.

 چنانچه سرویس ایمیل را برای سایر دامنه­ها و یا ۳rd party ارایه می­دهید

چنانچه سرویس ارسال ایمیل، سرویس­های hosting برای ۳rd party ارایه می­کنید، ملزم به افزودن نام میزبان و IP برای ارسال پیام­ها به رکوردهای SPF آنها هستید. ساده­ ترین راه برای ارایه ­دهندگان سرویس ایجاد رکورد SPF “umbrella” است و مشتریان ملزم به استفاده از مکانیزم “include” در رکورد SPF خود هستند.

suncountry.com text = “v=spf1 mx ip4:207.238.249.242 ip4:146.88.177.148 ip4:146.88.177.149
ip4:67.109.66.68 ip4:198.179.134.238 ip4:107.20.247.57 ip4:207.87.182.66 ip4:199.66.248.0/22
include:cust-spf.exacttarget.com ~all”

همانطور که مشاهده می­کنید Sun Country برخی از ایمیل­ هایش را تحت مدیریت سازمان خود درآورده ولی بازاریابی از طریق ایمیل خود را به ۳rd party برون­سپاری کرده است. توسعه رکوردهای ذکر شده لیستی از آدرس­های IP مورد استفاده توسط ارایه­ دهندگان سرویس بازاریابی از زریق ایمیل را نشان می­دهد:

cust-spf.exacttarget.com              text = ” v=spf1 ip4:64.132.92.0/24 ip4:64.132.88.0/23
ip4:66.231.80.0/20 ip4:68.232.192.0/20 ip4:199.122.120.0/21 ip4:207.67.38.0/24
ip4:207.67.98.192/27 ip4:207.250.68.0/24 ip4:209.43.22.0/28 ip4:198.245.80.0/20
ip4:136.147.128.0/20 ip4:136.147.176.0/20 ip4:13.111.0.0/18 -all”

این انعطاف­پذیری قابلیت توسعه ارایه سرویس ایمیل بدون نیاز به دسترسی و ویرایش رکورد DNS هر یک از مشتریان را در اختیار شما قرار می­دهد.

چنانچه از سرویس­های ایمیل ۳rd party استفاده می­کنید

مشابه بخش قبل چنانچه شما از هر گونه سرویس ایمیل ۳rd party استفاده می­کنید و مایل به ایجاد روند احراز هویت ایمیل SPF هستید، ملزم به داشتن رکوردها SPF آنها هستید.

jetblue.com descriptive text “v=spf1 include:_spf.qualtrics.com ?all”

JetBlue، از سرویس تحلیل­ های Qualtrics استفاده می­کند، بنابراین تنها کافی است تا آنها رکوردهای SPF معتبر از Qualtrics را در اختیار داشته باشند. به صورت مشابه بسیاری از Email service provider) ESPs) رکوردهای SPF برای مشتریان فراهم می­کنند.

چنانچه ESP یا email marketer رکوردهای SPF را ارایه ندهد، ملزم به تنظیم لیست گیت­وی ایمیل­ های خروجی … هستید. با این حال مسئولیت بروزرسانی و حفظ رکوردها بر عهده شماست و چنانچه ارایه­ دهنده سرویس تغییری در IP، Hostname و افزودن گیت­وی جدید دهد، جریان ایمیل شما تحت تاثیر قرار خواهد گرفت.

خطرات دیگر ۳rd party فارغ از SPF ناشی از منابع اشتراکی است: چنانچه ESP از آدرس IP مشابهی جهت ارسال ایمیل­ های چند مشتری استفاده کند، یک مشتری امکان ایجاد پیام با SPF معتبر متعلق به مشتریان دیگر را دارد؛ به همین علت پیش از قرار دادن محدودیت­های SPF پالیسی­ های امنیتی   Managed Service Provider) MSP) و احراز هویت ایمیل قرار داده می­شود. چنانچه پاسخگوی سوالات شما در ارتباط با اینکه چگونه SPF یکی از مکانیزم­های Trust در اینترنت است، نباشد توصیه می­شود در انتخاب MSP خود تجدیدنظر کنید. این مساله تنها در ارتباط با امنیت نیست، ارسال­ کننده معمولا از هر چهار روش SPF، DKIM، DMARC و سایر روش­ ها به همراه اعمال MSPs به منظور تضمین ارسال پیام استفاده می­کند. چنانچه MSP مطابق آنها نباشد قابلیت اطمینان آنها را پایین آورده و پیام توسط سیستم­های گسترده­ای با تاخیر و یا حتی خطر مسدود شدن، مواجه می­شود.

زیردامنه ­هایی فاقد ترافیک ایمیل

امروزه اغلب سازمان­ها از چندین دامنه با هدف بازاریابی استفاده کرده ولی معمولا از یک دامنه فعال برای ایمیل­های تجاری استفاده می­کنند. حتی اگر SPF به صورت صحیح پیاده ­سازی نشده باشد، سوء­استفاده ­کنندگان از سایر دامنه­های غیر فعال به­ منظور Email spoofing از اطلاعات هویتی یک سازمان استفاده می­کنند. SPF برای جلوگیری از این موضوع از رکورد SPF در حالت “deny all” استفاده می­کنند، برای هر یک از دامنه­ ها و زیر دامنه­ هایی که ترافیک ایمیل ایجاد نمی­کنند در DNS دستور “v=spf1 –all” را منتشر کنید. بهترین نمونه از این مطلب وبسایت شورای SPF با نام openspf.org است.

با توجه به اینکه SPF delegation تنها در یک دامنه معتبر است، استفاده از رکورد SPF بصورت “deny all” برای هریک از زیر دامنه­ ها صحیح نبوده و حتی ممکن است این رکورد در دامنه­ ای که ترافیک ایمیل تولید نمیکند استفاده شود. حتی چنانچه production domain رکورد SPF به صورت “regular” داشته و تلاش مضاعفی به منظور افزودن رکورد “deny all” به زیردامنه فاقد ترافیک ایمیل صورت گرفته باشد. حتما توجه داشته باشید که دریافت ایمیل معادل ارسال آن نیست: یک دامنه می­تواند دریافت ­کننده ایمیل خوبی بوده ولی هرگز منبع آن نباشد. این مساله در ارتباط با دامنه ­های با اهداف بازاریابی کوتاه­ مدت (به عنوان مثال حوادث، تبلیغاتی با محدوده زمانی مشخص، عرضه کالاهای جدید و …)، ایمیل­های ورودی به این دامنه­ ها از production domain ارسال شده و هرگونه پاسخی به این ایمیل­ ها از همین دامنه ارسال می­شود. این دامنه­ های کوتاه مدت تنها یک رکورد MX معتبر داشته ولی ملزم به دارا بودن رکورد SPF نیز هست که آنها را به عنوان یک منبعی که حاوی ترافیک ایمیل نیست، مطرح میکند.

 الزامات پیاده­ سازی DKIM

 DKIM  برای گیرندگان

پیکربندی احراز هویت DKIM در ESA مشابه SPF است. در پالیسی­ های پیش­فرض اعمالی به Mail Flow تنها کافیست اعتبارسنجی DKIM را در حالت “on” قرار دهید. با­توجه به اینکه DKIM مجوزpolicy specification را نمی­دهد، بنابراین این گزینه تنها به تایید امضا و اعمال هدر “Authentication-Results” می­پردازد:

Authentication-Results: mx1.hc4-93.c3s2.smtpi.com; dkim=pass (signature verified)
header.i=MileagePlus@news.united.com

هرگونه اقدامی براساس اعتبارسنجی DKIM براساس فیلترهای محتوا صورت می­گیرد:

برخلاف SPF که رویکرد ساده­ای دارد، DKIM اصل پیام را مدیریت کرده و بنابراین برخی پارامترها محدود خواهند شد. امکان ایجاد پالیسی دلخواه متناسب با سازمان و اختصاص پروفایل­های اعتبارسنجی متفاوت به Mail Flow Policies وجود دارد. این مساله امکان محدودکردن سایز کلید امضاهای مورد پذیرش، تعریف اقدامات بازیابی در صورت نامعتبر بودن کلید و پیکربندی میزان اعتبارسنجی DKIM را در اختیار شما قرار می­دهد.

زمانی­که پیام از چندین گیت­وی عبور می­کند، امکان وجود چندین امضا حین عبور از این گیت­وی وجود دارد. پیامی که به صورت DKIM اعتبارسنجی می­شود نیاز به تایید هر یک از این امضاها دارد. به صورت پیش­فرض ESA قابلیت تایید اعتبار تا پنج امضا را دارد. با توجه به اینکه به صورت تاریخی SMTP و ایمیل ساختار آشکاری دارند و سیستم اینترنت به صورت کلی در مقابل تغییرات-هر چند مثبت- مقاومت بالایی دارد، بنابراین موقعیت­ هایی که امضا DKIM به صورت قانونی Fail شوند، وجود خواهد داشت؛ به عنوان مثال زمانیکه پیام ها در عوض تغییر به پیام جدید و یا ارسال بصورت پیوست مستقیما فوروارد میشوند. به همین دلیل در بسیاری از حالت­های failing DKIM شایسته است پیام قرنطینه یا بر چسب­ گذاری شده و رها نشود.

 فراهم کردن امضا به­ وسیله  DKIM

پیش از فعال کردن  امضا DKIM  در RELAYED Mail Flow Policy، ملزم به تولید/ورود کلیدها، ایجاد پروفایل امضاDKIM  و انتشار کلید عمومی آن در DNS هستید.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای احراز هویت ایمیل با استفاده Cisco ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

چنانچه امضا برای یک تک دامین باشد، فرآیند صریح و ساده خواهد بود. تولید یک جفت کلید، ایجاد یک پروفایل امضا در بخش Domain Keys section of Mail Policies و پس از آماده شدن پروفایل، بر گزینه “Generate” در “DNS Text Record” کلیک کنید. کلید تولید شده در DNS را منتشر کنید و در نهایت گزینه DKIM Signing در Mail Flow Policy را فعال کنید.

چنانچه از چندین دامین مجزا امضا دریافت شده باشد، روند پیچیده ­تری به وجود خواهد آمد. در این حالت شما دو راه پیش­رو خواهید داشت:

  1. برای ثبت ­نام در تمامی دامنه­ ها از پروفایل امضا واحدی استفاده کنید. تنها یک کلید عمومی در DNS دامین “master” نگهداری کنید و امضا DKIM به این کلید ارجاع داده شود. این روش قبلا در ESPs مورد استفاده قرار می­گرفت و امکان امضا در مقیاس­ های بالا بدون نیاز به هیچ­گونه تعاملی با فضای DNS مشتریان را فراهم می­کرد(این روش مبتنی بر این واقعیت است که در اصل DKIM منبع پیام را همانطور که در Mail From و یا Header From بیان شده است تایید نمیکند. این مساله تنها تایید کننده صحت شناسه دامنه امضاکننده و وجود کلید عمومی در آن میزبان است ( پارامتر “d” در امضا DKIM و “domain name” در پروفایل امضا). اصالت فرستنده از طریق بررسی وجود هدر امضا “from” تایید میشود. فقط از وجود کلیه دامنه­ ها  و زیردامنه­ ها در بخش “profile users” اطمینان حاصل کنید.).
  2. یک پروفایل امضا مجزا برای هر یک از دامین­ هایی که امضا کرده ­اید، ایجاد کنید. این مساله الزامات پیکربندی پیچیده­ تری دارد ولی انعطاف­پذیری بیشتری دارد. برای هر یک از دامنه­ ها یک جفت کلید ایجاد کرده و پروفایل ویژه­ای برای هر یک از دامنه­ ها در بخش “Profile Users” ساخته (شامل زیر دامنه­ ها نیز خواهد بود) و کلید عمومی مرتبط با آن دامین را در DNS مرتبط با آن منتشر می­کنیم.

اگرچه گزینه a ساده ­تر خواهد بود ولی در نهایت احتمال شکست DMARC وجود دارد، زیرا نیاز به هماهنگی شناسه Signing Domain و Header From است؛ بنابراین احتمال عدم هماهنگی میان شناسه و DKIM وجود دارد. برای رفع این مشکل نیاز به پیکربندی صحیح SPF و تطبیق شناسه SPF به­ منظور تایید DMARC است.

از طریق استقرار گزینه b، دیگر نیازی به نگرانی در خصوص DMARC نیست و ابطال و پیکربندی مجدد سرویس امضا برای یک تک دامین بسیار ساده خواهد بود. همچنین چنانچه سرویس ایمیلی برای دامین ۳rd party ارایه می­کنید، ملزم به دریافت کلید (و ورود آن به ESA خود) از آنها هستید. این کلید مختص به آن دامنه بوده بنابراین باید پروفایل مجزایی برای آن ساخته شود.

 چنانچه از سرویس های ایمیل ۳rd party استفاده می­کنید

چنانچه از امضا DKIM استفاده کرده و بخشی از فرآیندهای پردازش ایمیل خود ( مانند بازاریابی از طریق ایمیل) را به ۳rd party واگذار کرده­اید، قطعا شما تمایلی به استفاده آنها از کلیدهای مشابه خود ندارید. این مساله یکی از دلایل اصلی وجود سلکتور در DKIM است. در عوض ملزم به ایجاد یک جفت کلید جدید و انتشار آن در DNS خود و ارسال کلید خصوصی به سایرین هستید. به این ترتیب شما به سرعت امکان ابطال آن کلید در شرایط خاص بدون هرگونه تغییر در زیرساخت DKIM خود را دارید.

اگر چه ساخت زیر دامنه مجزا برای هر ایمیل مرتبط با ۳rd party در DKIM (پیام­های مرتبط با یک دامنه مشابه امکان امضا توسط کلیدهای چندگانه متفاوت را دارند) ضروری نیست، ولی بهتر است دامنه ­های مجزا مورد استفاده قرار گیرند. این روش موجب ردیابی ساده ­تر پیام­ها و پیاده­ سازی ساده­تر DMARC می­شود. به عنوان مثال پنج هدر DKIM-Signature از پیام­های چندگانه Lufthansa را در نظر بگیرید:

DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=lufthansa;
d=newsletter.milesandmore.com;
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=lufthansa2; d=newsletter.lufthansa.com;
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=lufthansa3; d=lh.lufthansa.com;
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=lufthansa4; d=e.milesandmore.com
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=lufthansa5; d=fly-lh.lufthansa.com;

همان­گونه که مشاهده می­کنید، Lufthansa از پنج کلید متفاوت (سلکتور) که در پنج زیر دامنه مجزا از دو production     lufthansa.com) domain و milesandmore.com) تقسیم شده است. این به­ معنی امکان کنترل مستقل و برون­ سپاری هر یک به ارایه ­دهندگان سرویس متفاوت است.

 ادامه دارد…

برای مطالعه بخش دوم راهکارهای احراز هویت ایمیل با استفاده Cisco ESA اینجا کیلیک کنید.

 

جلوگیری از خطرات باج افزارها و بد افزارهای ایمیلی با استفاده از Cisco ESA

تعریف امنیت ایمیل

امنیت ایمیل به تکنیک های مختلف برای نگه داشتن اطلاعات حساس ایمیل و حساب های امنیتی در برابر دسترسی غیر مجاز می گویند، ایمیل رسانه ای محبوب برای گسترش بدافزارها، هرزنامه ها و حملات فیشینگ است، با استفاده از پیام های فریبنده برای جلب مخاطب برای افشای اطلاعات حساس، باز کردن فایل پیوست یا کلیک بر روی لینک هایی که نرم افزارهای مخرب را بر روی دستگاه قربانی نصب می کنند. ایمیل همچنین یک بردار ورودی معمول برای مهاجمان است که به دنبال کسب جایگاه در یک شبکه سازمانی هستند و اطلاعات شرکت های ارزشمندی را خراب می کنند. امنیت ایمیل برای هر دو حساب ایمیل شخصی و کسب و کار ضروری است و سازمان های متعدد باید اقدام به افزایش امنیت ایمیل کنند.

نیاز به امنیت ایمیل

با توجه به محبوبیت ایمیل به عنوان یک بردار حمله، بسیار مهم است که شرکت ها و افراد اقدامات لازم را برای ایمن سازی حساب های ایمیل خود در برابر حملات معمول و همچنین تلاش برای دسترسی غیرمجاز به حساب ها یا ارتباطات انجام دهند.

بدافزار ارسالی از طریق پیام های ایمیل می تواند کاملا مخرب باشد. ایمیل های فیشینگ ارسال شده به کارکنان اغلب حاوی نرم افزارهای مخرب در پیوست هایی هستند که برای نگاه کردن به اسناد قانونی طراحی شده اند و شامل لینک هایی هستند که منجر به وب سایت هایی می شوند که به نرم افزارهای مخرب خدمت می کنند. افتتاح یک ضمیمه ایمیل یا کلیک کردن بر روی یک لینک در یک ایمیل می تواند همه چیزهایی باشد که برای حساب یا دستگاه برای به خطر انداختن نیاز است.

ایمیل های فیشینگ نیز می تواند مورد استفاده برای فریب گیرندگان برای به اشتراک گذاشتن اطلاعات حساس، اغلب با قرار دادن به عنوان یک کسب و کار قانونی و یا مخاطبین مورد اعتماد. حملات فیشینگ علیه کسب و کار اغلب گروه هایی را اداره می کنند که مسئولیت رسیدگی به اطلاعات حساس شخصی یا مالی مانند حساب قابل پرداخت یا منابع انسانی را دارند. مهاجمین علاوه بر جعل هوشی به فروشندگان شناخته شده یا مدیران شرکت ها سعی دارند فوریتی در ایمیل های فیشینگ ایجاد کنند تا شانس موفقیت خود را افزایش دهند. ایمیل های فیشینگ که به منظور سرقت اطلاعات به طور معمول انجام می شود، از دریافت کنندگان برای تأیید اطلاعات ورود به سیستم، رمزهای عبور، شماره امنیت اجتماعی، شماره حساب بانکی و حتی اطلاعات کارت اعتباری درخواست خواهند کرد. برخی حتی به وب سایت های جعلی اشاره می کنند که دقیقا همانند یک فروشنده معتبر یا شریک تجاری هستند تا قربانیان را به ورود حساب یا اطلاعات مالی جلب کنند.

محافظت از بروز حمله پیشرو شما :
سازمان های امروز با یک چالش وحشتناک مواجه می شوند. ایمیل به طور همزمان مهمترین ابزار ارتباطات تجاری و بردار حمله پیشرو برای نقض امنیت است. در واقع، طبق گزارش سایبر امنیت سیسکو ۲۰۱۷، حمله کنندگان به عنوان بردار اولیه برای گسترش ransomware و دیگر نرم افزارهای مخرب به ایمیل مراجعه می کنند.

سیسکو ® امنیت ایمیل کاربران را قادر می سازد تا ارتباطی امن برقرارکنند . سیسکو ® امنیت ایمیل کمک می کند تا سازمان ها با ، ransomware، نرم افزارهای مخرب پیشرفته، فیشینگ، هرزنامه ها و از دست دادن اطلاعات با رویکرد چند لایه ای مبارزه کنند .

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Cisco ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

فواید

  • تیم تحقیق تهدید ما Talos با تشخیص دادن سریعتر تهدیدات با تهدیدات جدی تر مقابله می کند. Talos به طور خودکار هر پنج دقیقه یک بار اطلاعات به روز رسانی شده را ارسال میکند.
  • مبارزه با ransomware و نرم افزارهای مخرب پیشرفته که در فایل های مخفی از شناسایی با Advanced Malware Protection AMP و شبکه Talos سیسکو فرار می کنند.
  • شناسایی ایمیل هایی که دارای لینک های خطرناک یا دسترسی به سایت های تازه آلوده هستند به طور خودکار و با تجزیه و تحلیل URL در لحظه برای محافظت در برابر فیشینگ و BEC.
  • محافظت از محتوای حساس در ایمیل های خروجی با جلوگیری از دست دادن اطلاعات (DLP) و رمزگذاری ایمیل آسان برای استفاده، همه در یک راه حل.
  • حداکثر قابلیت انعطاف پذیری را با استفاده از استقرار ابری، مجازی، محل سکونت یا ترکیبی به دست آورید، یا به فاز به مرحله ابر بروید.

مزیت امنیت ایمیل سیسکو


Cisco Email Security  شامل قابلیت های حفاظتی پیشرفته تهدید است که با سریع تر تشخیص دادن، تهدید را کاهش می دهد. جلوگیری از دست رفتن اطلاعات؛ و اطمینان از اطلاعات مهم در حمل و نقل با رمزنگاری end-to-end از مزیت های آن است.

 Talos، یکی از بزرگترین تیمهای تشخیص تهدید در جهان، تهدیدات بیشتری را تهیه می کند و از طیف گسترده ای از منابع از جمله ۶۰۰ میلیارد پیام، ۱۶ میلیارد درخواست وب و ۱٫۵ میلیون نمونه بدافزار روزانه، گزارشی جامع را فراهم می آورد. Talos به طور همزمان هر سه تا پنج دقیقه اطلاعات را به روز رسانی و به راه حل های امنیتی سیسکو ایمیل تبدیل میکند .

با استفاده از Mailbox Auto-Remediation ، می توانید فایلهایی را که پس از بازرسی اولیه آلوده تشخیص داده می شوند را حذف کنید. مدیران می توانند سیسکو را پیکربندی کنند تا  پیام های حاوی پیوست های مخرب را forward ، حذف، یا به طور همزمان forward و حذف کنند که این باعث صرفه جویی در ساعات کاری میشود .

رمزگذاری ایمیل به صورت end-to-end
 Registered Envelope Service، یک راه حل مبتنی بر ابری انعطاف پذیر و مقیاس پذیر است که به سازمان ها کمک می کند تا از خواسته های مربوط به حفظ مالکیت معنوی بدون نیاز به سرمایه گذاری در سخت افزار اضافی بهرهمند شوند .

این سرویس همچنین پیچیدگی رمزنگاری و مدیریت کلید را از بین می برد، بنابراین کاربران می توانند پیام های بسیار امن و راحت را به راحتی به عنوان ایمیل های رمز گذاری نشده ارسال و دریافت کنند.

 

گزینه های استقرار
سیسکو امنیت ایمیل را می توان در فضای ابری مستقر یا در یک پیکربندی ترکیبی ایجاد کرد و سازمان ها می توانند به فضای ابری با حداکثر انعطاف پذیری مهاجرت می کنند .

راهنمای خریداری Cisco ایمیل:

 بردار حمله پیشرو برای حملات سایبری

مجرمان سایبری بیش از هر زمان دیگری با ارسال محتوی تهدید محوربرای معرفی نرم افزارهای مخرب به سیستم های شرکت ها، سرقت اطلاعات و اخاذی پول میپردازند . با در حال افزایش بودن سرویس های صندوق پستی مانند Office 365، حملات مخلوط می توانند یک سازمان را از بیش از یک طرف هدف قرار دهند.

اگر چه انواع مختلف حمله به تجارت الکترونیک ادامه دارد ، در حال حاضر سه دسته از حمله ها بیشترین نگرانی را ایجاد می کنند .

  • Ransomware نوع خاصی از نرم افزارهای مخرب که دسترسی یک شرکت هدف به داده های خود را مسدود می کند، ransomware باعث تلفات ۱ میلیارد دلار در سال ۲۰۱۶ شد (csoonline.com).
  • Business email compromise) BEC) یک ابزار واقعی برای مجرمان اینترنتی و یک تهدید حتی بزرگتر نسبت به ransomware است. BEC افراد را برای ارسال پول یا اطلاعات حساس متقاعد می کند. با توجه به مرکز شکایت اینترنتی IC3، ۵٫۳ میلیارد دلار به دلیل تقلب BEC از اکتبر ۲۰۱۳ تا دسامبر ۲۰۱۶ (ic3.gov) به سرقت رفته است.
  • فیشینگ همچنان به صورت یک روش حمله موثر با مهندسی اجتماعی هوشمندانه و هدفمند فیشینگ هدفدار که منتقل میشد کاربران به فعال کمپین های آنها و در نهایت به خطر انداختن کل سازمان. در سه ماهه دوم سال ۲۰۱۷، ۶۷ درصد از این بدافزارها از طریق حملات فیشینگ com تحویل داده شدند.

با Cisco Email Security، مجرمان سایبری نمی توانند در این سه حوزه فعالیت کنند:

  • بدنه ی ایمیل
  • پیوست ها
  • URLها در ایمیل

معیار خریدار برای امنیت ایمیل:

تحقیقات امنیتی سیسکو نشان می دهد که سازمان شما نیاز به یک راه حل ایمیل دارد که با پنج شاخص ضروری برای از لایه های کسب و کار شما حفاظت نیاز می کند.

  1. اطلاعات مؤثر، تجزیه و تحلیل و پاسخ در وضعیت امنیتی شما
  2. اصلاح سریع با دیدی از گذشته
  3. حفاظت در مقابل BEC
  4. حفاظت در برابر نشت اطلاعات در ایمیل های خارجی
  5. رمزگذاری اطلاعات حساس کسب و کار

اطلاعات موثر:

همانطور که حملات سایبری پیچیده تر شده است، بنابراین امنیت نیز علیه آنها اعمال شده است. مجرمان سایبری در حال حاضر طیف گسترده ای از تهدیدات را به چالش می کشد که روش های امنیتی سنتی را مورد انتقاد قرار می دهند. برای موثر بودن، راه حل امنیتی ایمیلی شما باید فراتر از ابزارهای محیط پایه باشد که ایمیل را در یک زمان واحد بررسی کنند.
علاوه بر پوشش اصول، باید لایه های مختلف امنیتی را در یک رویکرد کلی تر که به طور مداوم تهدیدات را تجزیه و تحلیل می کند و روندهای ترافیک را نظارت می کند، ادغام کند.

با استفاده از این روش، راه حل شما می تواند به سرعت به شاخص های تهدید بر اساس بهترین اطلاعات واکنش نشان می دهد. این به تیم امنیتی شما سطح بینایی عمیق و کنترل کامل میدهد تا زمان تشخیص حمله و محدوده ان را کاهش دهید و قبل از ایجاد آسیب،از بروز ان جلوگیری کنید.

چگونه سیسکو امنیت مؤثر را در میان بردارهای چندگانه ارائه می دهد؟

سیسکو چندین روش را برای ایجاد لایه های مختلف امنیتی مورد نیاز برای دفاع در برابر انواع حمله های مختلف اعمال می کند.

  • حفاظت در برابر فیشینگ هوشمند با سرعت کنترل محتوای ایمیل براساس مکان فرستنده.
  • موتور اسکنر Adaptive Context® CASE دارای نرخ جذب اسپم بیش از ۹۹ درصد را فراهم می کند و میزان مثبت کاذب صنعت کمتر از یک در یک میلیون است.
  • داده های تهدید خودکار تهیه شده از سیسکو Talos ™ تهدیدات را با افزایش سرعت، کاهش TTD و افشای حتی جدیدترین حملات zero-day را شناسایی می کند.
  • Advanced Malware Protection) AMP) ارائه دیدگاه جهانی و تجزیه و تحلیل مداوم در تمام اجزای معماری AMP برای نقاط نهایی و دستگاه های تلفن همراه و در ابر و شبکه برای شناسایی نرم افزارهای مخرب بر اساس آنچه که انجام می دهد، نه آنچه که به نظر می رسد
  • AMP همچنین حفاظت مداوم در برابر تهدیدات مبتنی بر URL را از طریق تجزیه و تحلیل real-time از لینک های مخرب فراهم می کند.

تشخیص سریع تر آسیب احتمالی را کاهش می دهد ! :

سیسکو  TTDمتوسط را از ۳۹ ساعت در ماه نوامبر ۲۰۱۵ کاهش داده است، زمانی که شرکت برای اولین بار ردیابی را آغاز کرد، تا حدود ۳٫۵ ساعت در دوره نوامبر ۲۰۱۶ تا مه ۲۰۱۷٫

Talos:

 Talos سیسکو از بیش از ۲۵۰ محقق تهدید کننده تمام وقت است که تهدیدات جدید و در حال ظهور را دنبال می کنند. اطلاعات از طیف گسترده ای از منابع، از جمله دیگر محصولات امنیتی سیسکو جمع آوری شده است، که پس از آن با مشتریان سیسکو برای حفاظت مؤثرتر به اشتراک گذاشته می شود. با مشاهده تهدید یک بار و مسدود کردن آن در همه جا،  Talos حفاظت در برابر حملات مخلوط در حال ظهور را شناسایی وآنها مسدود می کند.

Office 365:

AMP از امنیت خودکار پیشین استفاده می کند تا اقدامات خود را بر روی ایمیل های ورودی و خروجی آلوده برای مشتریان Office 365 انجام دهد تا سریعا و با کمترین تلاش برای مقابله با نقص ها اقدام کند. اگر یک پیوست ظاهرا خوب بعدا کشف شود که مخرب است، یک تماس API خودکار به Azure ساخته می شود و فایل ارسال یا حذف می شود.

اصلاح سریع با دیدی از گذشته

هنگامی که نرم افزارهای مخرب، حملات فیشینگ و یا یک URL مخرب از طریق ایمیل در مقابل خط خود استفاده می کنند، کسب و کار شما نیاز به نظارت و ارزیابی تهدید دائمی برای شناسایی مشکل، به سرعت درک تاثیر این رویداد، و سپس آن را به سرعت تا جایی که ممکن است.

چگونه سیسکو بهبود خودکار بعدی را ارائه می دهد
سیسکو به طور مداوم محیط امنیتی شما را برای فایل های مخرب یا URL هایی که ممکن است از مخرب یا با تغییر ناگهانی مخرب شوند را بررسی می کند.

  • فیلترهای پیشرفته بازرسی عمیق URL با قابلیت تجزیه و تحلیل در زمان کلیک این اکان را فراهم میکند تا حتی وب سایت هایی که از رفتار خوب به رفتار مخرب تغییر می کنند می توانند به سرعت مسدود شوند.
  • AMP به طور مداوم در حال نظارت و تجزیه و تحلیل به صورت real-time است و هوش مصنوعی تهدید سیسکو را برای شناسایی تهدیدات ناشناخته قبلی و یا تغییرات ناگهانی در یک فایل را بروز میکند.
  • AMP همچنین اقداماتی را برای به حداقل رساندن تجزیه و تحلیل و ارائه گزارش از جایی که نرم افزارهای مخرب ایجاد شده، سیستم هایی که تحت تاثیر قرار گرفته اند، و اقدامات بدافزار انجام می دهد. پس از تعیین اولویت بندی مجدد، AMP بر اساس این گزارش ، بر روی هر دو ایمیل ورودی و خروجی اقدام می کند.

 

حفاظت در مقابل BEC
Business email compromise) BEC) یک شکل از حمله است که در آن یک تبهکار سایبری خود را بجای یک مدیر اجرایی (اغلب مدیر عامل شرکت) جا میزند و تلاش میکند تا یک کارمند، مشتری، یا فروشنده را متقاعد کند تا انتقال وجوه و یا اطلاعات حساس را انجام دهد. حملات BEC به شدت متمرکز شده و از تکنیک های مهندسی اجتماعی استفاده میکنند ، اخبار شرکت ها را مطالعه می کنند و کارکنان تحقیقاتی در رسانه های اجتماعی را دنبال میکنند تا اطمینان ایجاد کنند و کابر را مشتاق انجام این کار کنند. از آنجا که آنها از نرم افزارهای مخرب یا URL های مخرب برای تهدید سازمان استفاده نمی کنند، حملات BEC می تواند برای شناسایی بسیار دشوار باشد.

 

حفاظت در سراسر بردارهای متعدد حمله
پیشرفته حفاظت از نرم افزارهای مخرب (AMP)، علاوه بر روش تشخیص سنتی در  point-in-time ، تجزیه و تحلیل مستمر و امنیت گذشته را در سراسر محیط امنیتی شما فراهم می کند.

چگونه امنیت سیسکو علیه BEC
سیسکو از یک رویکرد چند لایه برای BEC استفاده می کند که ترافیک ایمیل و وب را در سراسر جهان با استفاده از فیلترهای اعتبار وب پیشرفته و فن آوری های اعتبار سنجی پیشرفته ایمیل برای شناسایی تلاش های فیشینگ استفاده می کند.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Cisco ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

حفاظت در برابر نشت اطلاعات در ایمیل های خارجی:

راه حل های ایمیلی باید خطاهای ایمیل های خروجی را شناسایی، مسدود سازی و مدیریت کند. این شامل محافظت در مقابل محتوای مخرب ارسال شده به مشتریان و شرکای تجاری و جلوگیری از دسترسی به اطلاعات حساس خارج شده از شبکه که به صورت تصادفی یا طراحی شده ارسال شده اند است .

چگونه سیسکو محافظت در برابر نشت اطلاعات و خطر تهدیدات خروجی را انجام میدهد ؟

  • AMP لایه هایی امنیتی برای ایمیل های خروجی فراهم می کند، از جمله نظارت رفتاری برای تشخیص حساب های آسیب دیده، محدود کردن سرعت برای ترافیک خروجی و اسکن ضد اسپم و آنتی ویروس – که می تواند ماشین ها و یا حساب های شرکت شما را از طریق گرفتن در لیست سیاه لیست ایمیل ها به خطر بیافتد.
  • تکنولوژی DLP سیسکو دانش محتوا، زمینه و مقصد را برای جلوگیری از از دست دادن داده های تصادفی یا مخرب فراهم می کند، انطباق را انجام می دهد و از نام تجاری و شهرت شرکت محافظت می کند. شما کنترل می کنید که چه اطلاعاتی را در کجا و چگونه می تواند ارسال کند.
  • بیش از ۱۰۰ خط مشی از پیش تعریف شده تا به جلوگیری از از دست دادن اطلاعات و پشتیبانی از استانداردهای امنیتی و حفظ حریم خصوصی برای دولت، بخش خصوصی و مقررات ویژه شرکت ها کمک کند. برای مثال، فیلترهایی مانند “HIPAA”، “GLBA” یا “DSS” اسکن خودکار و رمزگذاری را طبق سیاست برای جلوگیری از از دست دادن اطلاعات فعال می کنند. گزینه های بهبود شامل اضافه کردن زیرساخت ها و سلب مسئولیت ها، اضافه کردن (BCC)، اطلاع رسانی، قرنطینه کردن، رمزگذاری و غیره است.
  • علاوه بر این، گواهی های دیجیتال حمل و نقل لایه (TLS) حفاظت از ارتباطات را با تأیید هویت کاربر و همچنین شبکه برای حفظ حریم خصوصی و یکپارچگی داده ها بین فرستنده و گیرنده فراهم می کند.

سیاست های از پیش تعیین شده برای انطباق

امنیت ایمیل سیسکو به سازمانها کمک می کند تا با این استانداردهای حریم خصوصی و امنیتی مطابقت داشته باشند:

  • Payment Card Industry Data Security Standard) PCI DSS)
  • Health Insurance Portability and Accountability Act) HIPAA)
  • Sarbanes-Oxley Act (SOX)Gramm-Leach-Bliley Act) GLBA)
  • State and European privacy directives and regulations

 

اطلاعات تجاری حساس را رمزگذاری کنید:

شرکتها باید با تکیه برارتباطات امن به انجام فعالیت های کسب و کار خود بپردازند. رمزگذاری یکی از لایه های امنیتی بحرانی برای محافظت از داده هایی است که شبکه شما را ترک می کند. رمزگذاری می تواند اطلاعات حساس مانند اطلاعات مالی و شخصی، اطلاعات رقیب و مالکیت معنوی را از قرار گرفتن در معرض عموم حفظ کند.

چگونه سیسکو رمزگذاری داده ها را انجام میدهد؟

سیسکو از پیشرفته ترین سرویس رمزنگاری در دسترس برای مدیریت گیرنده ایمیل، احراز هویت، و کلیدهای رمزنگاری برای هر پیام / هر گیرنده استفاده می کند.

  • پشتیبانی از TLS کمک می کند تا بهترین روش تحویل را ارائه دهد.
  • داشبورد گزارش دهی قابل تنظیم، دسترسی سریع به اطلاعات مربوط به ترافیک ایمیل رمزگذاری شده، از جمله روش تحویل و فرستنده ها و گیرنده ها را فراهم می کند.

 

پیشنهادات راه حل امنیتی ایمیل سیسکو

راه حل امنیت ایمیل سیسکو، لایه های دسترسی در دسترس را برای محافظت از ایمیل در برابر تهدیدات پویا و سریع که امروزه بر سازمان تاثیر می گذارد، ارائه می دهد. رویکرد منحصر به فرد ما، محافظت، اغلب ساعت ها یا روزهای پیش از رقابت بر اساس اطلاعات از Talos، بزرگترین سازمان تحقیقات امنیتی صنعت است.