آشنایی با ویندوز سرور ۲۰۱۹ windows Server 2019

معرفی ویندوز سرور ۲۰۱۹

امروز روزی بزرگ برای ویندوز سرور است. از طرف تیم فنی ویندوز سرور مفتخرم اعلام کنم که ویندوز سرور ۲۰۱۹ در نیمه دوم سال ۲۰۱۸ در دسترس عموم قرار خواهد گرفت. در حال حاضر با استفاده از برنامه Insiders، پیش نمایش آن ارایه شده است.

 تغییرات ویندوز سرور ۲۰۱۹

ویندوز سرور ۲۰۱۹ بر مبنای ویندوز سرور ۲۰۱۶ که مورد توجه مصرف کنندگان قرار گرفته است، ساخته شده است. ویندوز سرور ۲۰۱۶ سریعترین نسخه ویندوز سرور است. تیم فنی ما از زمان اعلام در اجلاس Ignite سال ۲۰۱۶ در حال دریافت بازخوردها و دیدگاههای مختلف به منظور ارتقا این نسخه است.
تیم فنی زمان زیادی را به منظور درک چالش های پیش روی کاربران و همچنین تغییرات روند صنایع و نیازهای آنها صرف کرده است. چهار موضوع مطرح در این زمینه شامل سازگاری با محیط ترکیبی، امنیت، بستر نرم افزاری و  HCI    Hyper-converged infrastructure است. ویندوز سرور ۲۰۱۹ نوآوری های بسیاری در این موارد ارایه کرده است.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای windows Server  را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

سناریوهای ابر ترکیبی

آنچه مشتریان از انتقال به محیط ابر انتظار دارند، فرآیندی است که اغلب شامل استفاده همزمان از محیط های محلی،ابری و انتقال تدریجی به محیط ابر است. گسترش سرویسهای Active Directory، سنکرون سازی فایل سرورها و پشتیبان گیری در محیط ابر تنها نمونه هایی از کاربری ابر توسط مشتریان به منظور توسعه دیتاسنترهای خود به ابرهای عمومی است. علاوه براین وجود راهکار ترکیبی، امکان استفاده از برنامه هایی را که به صورت محلی و ابری مانند IoT ارایه می شود، فراهم میکند. ابر ترکیبی رویکردی بلند مدت است که نقش مهمی در تعیین استراتژی های لازم برای پیش بینی نیازهای آتی را فراهم میکند.
در اجلاس Ignite سپتامبر ۲۰۱۷، پیش نمایش فنی پروژه Honolulu که راهکاری جدید به منظور مدیریت ویندوز و ویندوز سرور است، ارایه شد. این پرژوه بستری انعطاف پذیر، مبتنی بر مرورگرهای ساده و محلی برای مدیریت طرح های مختلف ارایه کرده است. یکی از اهداف این پروژه ارتباط ساده تر بسترهای موجود از ویندوز سرور تا سرویسهای Azure است. با استفاده از ویندوز سرور ۲۰۱۹ و پروژه Honolulu مشتریان قادر به یکپارچه سازی سرویسهای Azure مانند Azure Backup، Azure File Sync، بازیابی پس از وقوع رخدادها و سایر سرویسهای Azure بدون ایجاد خللی در فعالیت برنامه ها و زیرساخت، خواهند بود.

شکل ۱: داشبورد مدیریتی پروژه Honolulu برای سرویس Azure Backup در ویندوز سرور ۲۰۱۹


امنیت
همواره امنیت یکی از مهمترین اولویتهای مشتریان است. تعداد رخدادهای امنیتی همواره رو به رشد است و تاثیر این حوادث به شکل فزاینده ای مخرب خواهد بود. تحقیقات شرکت مایکروسافت نشان میدهد که مهاجمان به طور متوسط ۲۴ تا ۴۸ ساعت پس از نفوذ به اولین دستگاه، قابلیت تحت تاثیر قرار دادن کل محیط شبکه را دارند. علاوه براین مطابق گزارشهای FireEye/Mandiant مهاجمان به طور متوسط تا ۹۹ روز بدون اینکه شناسایی شوند، می توانند در شبکه تحت نفوذ خود فعالیت داشته باشند. تیم فنی ما مشتریان را در خصوص ارتقا وضعیت امنیتی خود از طریق ارایه آگاهی های لازم در خصوص دیتاسنترهای مقیاس جهانی مانند Microsoft Azure، Office 365 و سایر سرویسهای آنلاین، یاری میکند.
رویکرد تیم فنی ما در زمینه امنیت شامل سه بخش حفاظت، شناسای و پاسخگویی است. کلیه مشخصه های امنیتی فوق در ویندوز سرور ۲۰۱۹ مورد توجه قرار گرفته است. از منظر حفاظت، در ویندوز سرور ۲۰۱۶ مبحث Shielded VMs مطرح شد، که مورد توجه کاربران قرار گرفت. قابلیت Shielded VMs ماشین های مجازی را در مقابل compromised و یا فعالیتهای مخرب ادمین نیز محافظت میکند بنابراین ادمین ماشین مجازی، تنها در یک بستر مورد تایید و حفاظت شده قابلیت دسترسی به آن را خواهد داشت. در ویندوز سرور ۲۰۱۹ قابلیت Shielded VMs به بستر ماشین های مجازی تحت لینوکس نیز توسعه پیدا کرده است. همچنین ویژگی VMConnect به منظور ارتقا عیب یابی Shielded VMs در محیط ویندوز سرور و لینوکس تعبیه شده است. توانایی رمزنگاری شبکه به منظور ارایه قابلیت رمزنگاری بخشهای مختلف شبکه به وسیله سوئیچ های گوناگون در جهت حفاظت از ارتباط میان سرورها در اختیار ادمین قرار داده شده است.
ویندوز سرور ۲۰۱۹ در بخش شناسایی و پاسخگویی، قابلیت Windows Defender ATP را تعبیه کرده است که امکان حفاظت پیشگیرانه، شناسایی حملات و ممانعت از تهدیدات zero-day را دارد. این قابلیت امکان دسترسی به kernel و حافظه را در اختیار مشتریان قرارا میدهد و موجب ارتقا عملکرد سیستم در مقابل حملات مخرب شده و پاسخگویی سرورها را بهبود میبخشد.

شکل ۲: Windows Defender ATP در سیستمی با سیستم عامل ویندوز سرور ۲۰۱۹


بستر نرم افزاری:
پایه اصلی طرحهای تیم ویندزو سرور بر تمرکز ویژه در زمینه تجربیات توسعه استوار است. دو جنبه اصلی مورد توجه تیم در ارتقا Windows Server containers و WSL است.
با توجه به اینکه در معرفی Windows Server containers 2016 تلاش زیادی به منظور پذیرش آن صورت پذیرفت. ده ها تصویر containers از میان میلیونها تصویر Docker Hub دانلود شد. تیم فنی با توجه به بازخوردهای دریافت شده از کاربران متوجه شد، هر قدر سایز تصویر container کوچکتر باشد، توسعه دهندگان نرم افزارها و تیم های IT که در حال توسعه نرم افزارهای خود با استفاده از آن container هستند، عملکرد بهتری خواهند داشت. در ویندوز سرور ۲۰۱۹ هدف ما کاهش سایز تصویر container ویندوز سرور Core تا یک سوم حجم کنونی آن(۵GB) است. که این رویکرد موجب کاهش زمان دانلود تصویر تا ۷۲ درصد و بهینه سازی زمان توسعه و کارایی آن شده است.
همچنین تیم فنی ما در حال توسعه گزینه های موجود در هماهنگی و توسعه Windows Server container است. در حال حاضر Kubernete در نسخه بتا و ویندوز سرور ۲۰۱۹ پشتیبانی می شود و پیشرفتهای شگرفی در ارتقا پردازشها، ذخیره سازها و المان شبکه در یک Kubernetes cluster صورت پذیرفته است.
بازخوردی که همواره از توسعه دهندگان نرم افزارها دریافت می شود پیچیدگی موجود در گذار میان محیط های لینوکس و ویندوز است. به منظور پاسخگویی به این نیاز، تیم فنی قابلیت WSL را در ساختارهای درونی ویندوز سرور توسعه داده و در نتیجه مشتریان قادر به استفاده containers لینوکسی و ویندوزی به صورت همزمان در ویندوز سرور خواهند بود. همچنین تیم ما در حال توسعه WSL در ویندوز سرور ۲۰۱۹ به منظور تسهیل انتقال scripts کاربران لینکوس به محیط ویندوز در حین استفاده از استانداردهایی تجاری چون OpenSSH، Curl و Tar است.

  شکل ۳: مدیریت container که حاوی ویندوز سرور ۲۰۱۹ توسط Kubernate

 HCI

امروزه HCI یکی از آخرین پیشرفتها در حوزه سرور است. با توجه به گزارش IDC در سال ۲۰۱۶ حوزه HCI تا ۶۴ درصد رشد داشته است و باتوجه به گزارش Gartner تا پایان سال ۲۰۱۹ حجم این بازار تا ۵ بیلیون دلار خواهد بود. این گرایش عمدتا زمانیکه مشتریان اهمیت استفاده از سرورهای ۳۲ بیتی در یک دیسک محلی پرسرعت به منظور تامین همزمان نیازهای پردازشی و storage درک کردند، به وجود آمد. علاوه براین HCI انعطاف پذیری لازم به منظور توسعه چنین زیرساختی را ارایه میدهد.
در حال حاضر مشتریان به دنبال راهکارهای HCI هستند که امکان استفاده از ویندوز سرور ۲۰۱۶ و برنامه های Windows Server Software Defined) WSSD) را فراهم کند. تیم فنی ما با همکاری فروشندگان پیشرو حوزه سخت افزار راهکار HCI قوی و پایدار با طراحی معتبر را ارایه کرده است. در ویندوز سرور ۲۰۱۹ تیم فنی قابلیتهای مقیاس پذیری، اطمینان و عملکرد این بستر را ارتقا داده است. همچنین امکان مدیریت توسعه HCI در پروژه Honolulu به منظور تسهیل مدیریت و فعالیتهای روزانه در بسترHCI، افزوده شده است.

شکل ۴: داشبورد مدیریت HCI پروژه Honolulu در ویندوز سرور ۲۰۱۹


در نهایت آنچه مورد توجه کاربران ویندوز سروری که از System Center استفاده می کنند، خواهند بود پشتیبانی از System Center 2019 در ویندوز سرور ۲۰۱۹ است.
اطلاعات بیشتری تا پایان سال جاری ارایه خواهد شد که شامل جزئیات بیشتر در ارتباط با مزیتهای ویندوز سرور ۲۰۱۹ خواهد بود.

بررسی راهکارهای تحلیل Splunk Enterprise

الزامات SIEM در سرویس اسپلانک

اکنون که درون مایه راهکارهای تحلیلی SIEM بیان شد. شش قابلیت اصلی SIEM مبتنی بر تحلیل به شرح جدول زیر است.
پایش لحظه ای سرعت رشد تهدیدات بسیار بالا است و مدیران IT ملزم به پایش پیوسته و بررسی آنی ارتباط میان رخدادها به منظور شناسایی و متوقف کردن آنها هستند.
پاسخ آنی در برابر حوادث IT نیازمند یک روش سازماندهی شده به منظور مدیریت هر گونه نقص احتمالی به همراه هر گونه نقض امنیتی و یا حمله با هدف محدود کردن آسیب ها و کاهش زمان بازیابی است.
پایش کاربران نظارت دقیق بر فعالیت کاربران مساله ای بحرانی و حساس به منظور شناسایی نقاط ضعف و سوء استفاده ها است. نظارت بر فعالیت کاربران یکی از الزامات شناسایی compliance است.

سیستم هوشمند مقابله با تهدیدات چنین سیستم هوشمندی در شناسایی فعالیت های غیرمعمول، شناسایی ریسک های کسب و کار و اولویت بندی اقدامات نقش شایانی دارد.
تجزیه و تحلیل پیشرفته تحلیل حجم عظیم داده ها بهترین راه برای کسب دید کلی نسبت به آنها است و machine learning امکان تحلیل خودکار و شناسایی تهدیدات پنهان را در اختیارمان قرار می دهد.
سیستم پیشرفته شناسایی تهدیدات متخصصان امنیت نیازمند ابزارهای ویژه ای به منظور نظارت، تحلیل و شناسایی تهدیدات در سراسر زنجیره حملات هستند.
این قابلیت ها به سازمان ها امکان استفاده از SIEM در طیف گسترده ای از موارد امنیتی و compliance، را می دهد. در این بررسی عمیق تر به هر یک از قابلیت های پایه SIEM مبتنی بر تحلیل پرداخته می شود.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Splunk را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

پایش لحظه ای Real time Monitoring

هر چه زمان شناسایی یک تهدید طولانی تر باشد، به صورت بالقوه احتمال ایجاد آسیب های بیشتری وجود دارد. شرکت های IT نیازمند SIEM با قابلیت های پایش لحظه ای هر نوع داده ای بدون توجه به مکان داده (محلی و ابری) هستند. علاوه بر این قابلیت پایش ملزم به بازیابی contextual data feed مانند دارایی های اطلاعاتی و اطلاعات هویتی و فیدهای هوشمند مقابله با تهدیدات که با هدف ارایه هشدارها استفاده می شوند.
سیستم های SIEM مبتنی بر تحلیل ملزم به شناسایی کلیه نهادهای یک محیط IT شامل کاربران، ابزارها و نرم افزارها به همراه کلیه فعالیت های مرتبط با هر یک از این نهادها، است. SIEM به منظور شناسایی طیف گسترده ای از رفتارهای غیرمعمول، باید قادر به استفاده از این داده ها در هر لحظه ای باشد. پس از شناسایی، داده ها به شکلی ساده وارد جریان کار شناسایی و ارزیابی خطرات بالقوه شده و به این ترتیب ریسک های کسب وکار شناسایی و معرفی می شوند.
می بایست مجموعه ای از قوانین از پیش تعیین شده و سفارشی، یک کنسول رخدادهای امنیتی به منظور نمایش لحظه ای وقایع اتفاق افتاده و داشبوردهایی به منظور ارایه یک دیدکلی نسبت به تهدیدات پیوسته و در حال پیشرفت، وجود داشته باشد. در نهایت کلیه این قابلیت ها از طریق ارایه برنامه های جستجوی لحظه ای و برنامه ریزی شده به منظور شناسایی ارتباط رخدادها تکمیل می شود. این جستجوها از طریق یک UI با کاربری ساده در اختیار مدیران IT قرار می گیرد.
در نهایت SIEM مبتنی بر تحلیل نیازمند قابلیت جستجوی محلی داده ها در هر زمانی به منظور کاهش بار ترافیکی جستجوی داده ها نیز می باشد.

صرفه جویی در هزینه های سرمایه گذاری و زمان شرکت Autodesk با استفاده از بکارگیری Splunk در AWS

مشتریان در کلیه بخش های صنعت ساختمان، معماری، ساخت و ساز و صنایع سرگرمی شامل ۲۰ برنده برتر جایزه اسکار برای بهترین جلوه های بصری از نرم افزارهای Autodesk به منظور طراحی، تجسم و شبیه سازی ایده های خود استفاده کردند. با توجه به تاثیرات جهانی این مساله Autodesk با دو چالش مجزا روبرو بود: نیاز به کسب اطلاعات و آگاهی کلی در زمینه های عملیاتی، امنیتی و کسب وکار در سراسر گروه های مختلف داخلی و انتخاب بهترین زیرساخت به منظور استقرار نرم افزارهای هوشمند عملیاتی است.
پس از شرکت Autodesk از بستر Splunk ، این شرکت از مزایای زیر بهره مند شده است:
• پس انداز چندین هزار دلاری
• درک عملیاتی و امنیتی وسیع تر
• مشاهده آنی عملکرد محصولات

چرا Splunk ؟

Splunk اولین بار در سال ۲۰۰۷ در دفتر مرکزی Autodesk به عنوان راهی برای کنترل و مهار اطلاعات دستگاه ها مورد استفاده در عیب یابی عملی، مورد استفاده قرار گرفت. امروزه استفاده از این ابزار گسترش یافته و شامل پایش لحظه ای، نظارت امنیتی دقیق و تحلیل کامل فرآیندهای کسب و کار در سراسر بخش های اجرایی Autodesk شامل موارد زیر است:
• سرویس های اطلاعاتی سازمانی یا EIS : مسئولیت مدیریت اطلاعاتی سراسری شامل اطلاعات امنیتی و مدیریتی را بر عهده دارد.
• گروه های مشتریان Autodesk یا ACG : مسئولیت کلیه محصولات مصرفی Autodesk بر عهده این بخش است.
• مدل سازی اطلاعات و بستر محصولات یا IPG : مسئولیت راهکارهای Autodesk برای مشتریان تجاری و صنعتی شامل طراحان و مهندسین کلیه صنایع است.
Autodesk به منظور کاهش زمان شناسایی و حل مسایل امنیتی از Splunk ES استفاده می کند. همچنین این شرکت از Splunk App در AWS به منظور ارایه و مدیریت انعطاف پذیر منابع برای Splunk Enterprise و سایر برنامه های مهم و حساس، بهره می گیرد.
توانمندسازی تصمیم گیری های مبتنی بر داده
شرکت Autodesk با استفاده از Splunk Enterprise، Splunk App for AWS، Splunk Enterprise Security و سایر راهکارهای Splunk، درک کاملی نسبت به کارایی عملیاتی، امنیتی و عملکرد محصولات خود، کسب کرد. همچنین این شرکت با استفاده از تحلیل های مبتنی بر داده و انعطاف پذیر Splunk و بستر مبتنی بر AWS، نتایجی همچون صرفه جویی در زمان، کاهش هزینه سرمایه و افزایش حوزه و ژرفای تصمیمات حیاتی را کسب کرده است.

 

پاسخ رخدادها incident response splunk

درون مایه هر استراتژی واکنش در مقابل حوادث، شامل بستر پایداری از SIEM است که نه تنها امکان شناسایی رخدادهای متمایز را فراهم می کند بلکه ابزاری به منظور ردیابی و تفسیر آنها ارایه می دهد. راهکارهای امنیتی می بایست برای کلیه اعضای یک سازمان با سطوح مختلف دسترسی و نقش های کاری متفاوت فراهم شود. سایر قابلیت های کلیدی شامل همگرایی دستی و یا خودکار رویدادها، پشتیبانی از APIs که امکان استخراج و ورود اطلاعات سیستم های Third-party را داشته باشند، قابلیت تجمیع شواهد قانونی و کتابچه راهنما به منظور هدایت شرکت ها در پاسخگویی به حوادث امنیتی خاص است. مهمترین قابلیت SIEM مبتنی بر تحلیل شامل قابلیت پاسخگویی خودکار می شود که امکان ایجاد اختلال در فرآیند یک حمله سایبری را فراهم می کند.
در واقع بستر SIEM، می ایست به صورت hub around بوده به عبارت دیگر امکان تنظیم یک جریان کار سفارشی برای مدیریت حوادث وجود داشته باشد. مطمئنا هر یک از رخدادها سطح ضرورت متفاوتی دارند. بستر SIEM مبتنی بر تحلیل از طریق داشبوردهایی که قابلیت رده بندی رخدادهای مهم را دارند امکان طبقه بندی شدت تهدیدات بالقوه را خواهند داشت و به بررسی جزییات رخدادها با هدف کسب شواهد تحقیقاتی می پردازد. در نتیجه بستر SIEM مبتنی بر تحلیل، ابزاری ارزشمند به منظور تصمیم گیری و تعیین بهترین واکنش در مقابل هر رویدادی را در اختیار سازمان ها قرار می دهد.
قابلیت های پاسخگویی شامل توانایی شناسایی و تعیین وضعیت رخدادهای مهم، تعیین شدت آن، ایجاد روند بازسازی و رسیدگی کل فرآیند یک رخداد و حوادث جانبی آن است. در ضمن داشبوردی ساده جهت اعمال مستقیم فیلترها در حین یک تحلیل و توسعه و یا کاهش سطح تحقیق ضروری است. در نهایت کلیه اعضای تیم امنیتی باید امکان اعمال واکنش مناسب، تعیین جدول زمانی انجام کار و یادداشت اعمال صورت گرفته به منظور آگاهی سایر اعضای گروه از رخدادها و واکنش های در نظر گرفته شده، را داشته باشند. این جداول زمانی در یک دیتابیس به منظور بررسی حملات و اجرای راهکار مقابله با حوادث مشابه، نگهداری می شوند.

تضمین قابلیت پایش سراسری شبکه شرکت PagerDuty به وسیله Splunk Cloud و AWS

مشتریان گرایش خاصی به PagerDuty، enterprise incident response service دارند، این امر به منظور مدیریت و رفع سریع و کارآمد مشکلات IT به وجود آمده است. زمانی که شرکت های مبتنی بر ابر نیازمند راهکاری جهت تامین الزامات تحلیل های عملیاتی خود بودند؛ رویکردی که اغلب این شرکت ها در این خصوص اتخاذ کردند، استفاده از Splunk cloud در AWS است. PagerDuty با استفاده از Splunk cloud و AWS، دسترس پذیری سرویس ها و امکان توسعه آنها متناسب با تقاضای مشتریان را تضمین می کند. PagerDuty از زمان استقرار Splunk Cloud از مزایایی که از جمله آنها می توان به موارد زیر اشاره کرد، بهره مند شده است:
• تضمین رضایت مشتریان و ارایه خدمات ابری با دسترس ذیری بالا
• کاهش ۳۰ درصدی هزینه های ارایه خدمات نسبت به سرویس های پیشین
• کاهش زمان پاسخگویی و رفع مشکلات در زمان وقوع رخدادهای امنیتی (از ۱۰ دقیقه تا حدود یک دقیقه و یا چند ثانیه)

چرا Splunk ؟

Arup Chakrabarti، مدیر بخش مهندسی زیرساخت در PagerDuty که شامل بخش های قابلیت اطمینان سایت ها، بستر داخلی و مهندسی امنیتی است. هدف این بخش ارتقا بهره وری و کارایی در سراسر سازمان است.
PagerDuty پیش از استفاده از Splunk Cloud از یک راهکار مبتنی بر ثبت وقایع استفاده می کرده است، که با توجه به گسترش سازمان شاخص گذاری و نگهداری از هزاران گیگابایت رخداد ثبت شده غیر ممکن بوده است. علاوه بر این تیم امنیتی با مشکل بزرگتری مواجه بود و آن استخراج داده های عملی از حجم عظیم اطلاعات ثبت شده و تصمیم گیری و پاسخ سریع در زمان وقوع رویدادها است. پس از اجرای Splunk Cloud در کنار سرویس موجود، تیم امنیتی سرعت ارایه شده در پاسخگویی به رخدادها توسط Splunk Cloud را معقول و تضمین کننده سرعت بالای پاسخگویی و دسترس پذیری بالا برای مشتریان دانست. در طول چند روز مهندسین عملیات انتقال به Splunk Cloud را انجام دادند.
Chakrabarti بیان کرد:” با استفاده از راهکار پیشین، مدت زمان جستجو در داده ها تا ۳۰ دقیقه می رسید که اغلب نتیجه بدست آمده نیز غیر قابل قبول بوده است. با استفاده از Splunk Cloud، زمان مورد نیاز برای تفکیک داده ها از منظر مشتری از چند ثانیه تا حداکثر ۱۰ دقیقه کاهش یافته است. همچنین اگر چه انتخاب Splunk Cloud از منظر هزینه مورد بررسی قرار گرفته نشده بود، لیکن تیم حسابداری از کاهش هزینه های ایجاد شده توسط طرح جدید شگفت زده شده اند.”

پایش و نظارت بر کاربران 

کمترین وضعیت نظارت بر کاربران، شامل پایش فعالیت های کاربر، تحلیل میزان دسترسی، احراز هویت داده، استقرار user context و ارایه هشدارهای لازم در خصوص هرگونه رفتار مشکوک، نقض قوانین و سیاست گذاری ها است.
نظارت بر کاربران می بایست به صورت هدفمند صورت گیرد، برخی کاربران بیشتر از سایرین در معرض اهداف حملاتی قرار می گیرند؛ لذا لزوم بررسی دقیق تر این کاربران مشاهده می شود، چرا که در صورت قرار گرفتن آنها در معرض چنین خطراتی احتمال بروز آسیب بیشتری برای کل سیستم را در پی دارد. در حقیقت با توجه به وجود چنین ریسک هایی، بسیاری از صنایع قانونی از پایش کاربران، به منظور تامین الزامات قوانین گزارش compliance استفاده می کنند.
دستیابی به این اهداف نیازمند دیدگاه بهنگام و قابلیت های بهره برداری از مکانیزم های مختلف احراز هویت است که امکان توسعه در انواع مختلف برنامه های ۳rd party را داشته باشند.

بهره گرفتن شرکت Travis Perkins PLC از SIEM مبتنی بر تحلیل به منظور فعال سازی قابلیت گذار به ابر ترکیبی

شرکت Travis Perkins PLC یکی از خرده فروشان بازار بازسازی ساختمان ها در بریتانیا با ۲۸۰۰۰ کارمند و ۲۰۰۰ بازار فروش است. در سال ۲۰۱۴ این شرکت اولین اقدامات لازم به منظور استقرار سیستم های مبتنی بر ابر را آغاز کرد، لیکن راهکارهای امنیتی موجود در شرکت پاسخگوی نیازهای محیط هیبریدی نبود. بنابراین شرکت به بررسی راهکارهای جایگزین پرداخت و لذا Splunk Cloud را انتخاب کرد و Splunk Enterprise و Splunk ES را به عنوان SIEM مورد استفاده قرار داد. از زمان استقرار Splunk شرکت Travis Perkins PLC از مزایای آن شامل موارد زیر بهره مند شده است:

• افزایش قابلیت پایش و نظارت کل شبکه زیرساخت هیبریدی
• قابلیت شناسایی و واکنش در مقابل تهدیدات پیچیده سایبری
• کاهش هزینه های IT با توجه به کارایی بیشتر منابع

چرا Splunk ؟

با توجه به شرایط چالش برانگیز بازارها پس از رکود اقتصادی سال ۲۰۰۸، Travis Perkins PLC اولویت های سرمایه گذاری خود را تغییر داده و بدین ترتیب حوزه IT شرکت دیگر اولویت سرمایه گذاری شرکت نبوده است. در سال های اخیر، بهبود شرایط کسب وکار موجب بازنگری و بررسی استراتژیک زیر ساخت ها شده و بکارگیری راهکارهای مبتنی بر ابر به عنوان رویکردی در کاهش هزینه ها و افزایش انعطاف پذیری مورد استفاده قرار گرفتند. زمانی که Travis Perkins PLC سرویس هایی از جمله G Suite از Google Cloud، Amazon Web Services و Infor CloudSuite به صورت ابری منتشر کردند، متوجه عدم کارایی SIEM موجود در پاسخگویی به رخدادهای امنیتی موجود در یک محیط ترکیبی شدند. بنابراین به بررسی راهکارهای جایگزین ارایه شده توسط شرکت های HP، IBM و LogRhythm پرداختند و پس از مقایسه جزییات هر یک از این راهکارها، Splunk Cloud، Splunk Enterprise و Splunk ES به منظور کسب دیدکلی نسبت به رخدادهای امنیتی صورت گرفته انتخاب شدند.

ایجاد امنیت سراسری

Travis Perkins PLC از استقرار Splunk ES نه تنها به منظور بهره برداری امنیتی بلکه جهت ارتقا آگاهی امنیتی همه افراد استفاده می کنند. کارکنان تیم های IT، از طریق دسترسی به داشبوردهای خود و دریافت هشدارهای لازم امکان پاسخگویی موثر در مقابل تهدیدات بالقوه و انجام اقدامات ضروری پیش از ارجاع به تیم های امنیتی را خواهند داشت. بنابراین Travis Perkins PLC یک مرکز عملیاتی SOC بسیار مطمئن بدون نیاز به سرمایه گذاری قابل توجه مستقر کرده است.

سیستم دفاعی خودکار

تامین امنیت برای تیم فناوری شرکت Travis Perkins PLC، با وجود ۲۴۰۰۰ کارمند در سراسر بریتانیا که ابزارهای ارتباطی متفاوتی را مورد استفاده قرار می دهند، مساله ای چالش برانگیز است. در حال حاضر این شرکت با استفاده از Splunk ES، ریسک فعالیت های مختلف را بر اساس داده های موجود و یا بر مبنای هشدارهای ارایه شده توسط راهکارهای امنیتی موجود، محاسبه می کنند. در کسب وکارهایی که با مشکلاتی چون حملات فیشینگ ایمیل روبرو هستند، چنانچه کلاینت مشکوکی شناسایی شود، هشدارهای لازم از طریق بستر Splunk به صورت خودکار تولید و ارایه می شود. سپس تیم های مرتبط با استفاده از یک پاسخ از پیش تعیین شده واکنش متناسب را نشان می دهند. Splunk ES به صورت گلوگاهی با دید جامعی نسبت به کل دارایی ها و کاربران عمل کرده و نقش بسزایی در کاهش زمان مورد نیاز برای حل و فصل مشکلات امنیتی ایفا می کند.

 سیستم هوشمند مقابله با تهدیدات

SIEM مبتنی بر تحلیل دو شکل متمایز از سیستم های هوشمند دفاع در مقابل تهدیدات را ارایه می دهد.
نوع اول شامل اطلاعاتی چون شاخص های compromise، تکنیک ها و فرآیندهایی جهت مقابله با انواع مختلفی از رخدادهای امنیتی و فعالیت های مشکوک است. این سیستم هوشمند موجب سهولت شناسایی فعالیت های غیرمعمول مانند اتصالات outbound به IP خارجی که به عنوان سرور C2 وجود دارند، شده است. با این سطح از اطلاعات تهدیدات، تحلیلگران به ارزیابی دقیق تر خطرات پرداخته و تاثیر و اهداف حملات را بررسی و به اولویت بندی پاسخ ها می پردازند.
نوع دوم اطلاعات، شامل ارزیابی میزان اهمیت منابع، کاربری، ارتباطات، مالکیت و در نهایت نقش کاربران و وضعیت فعالیت های آنها است. این اطلاعات از لحاظ تحلیل میزان خطر و تاثیرات بالقوه آن اهمیت فراوانی دارد. به عنوان مثال SIEM مبتنی بر تحلیل، می بایست توانایی تایید اطلاعات هویتی کارمندان و مشخصات هویتی VPN آنها را در هنگام ورود به منظور ارایه اطلاعات مورد نیاز کارمندان در هر نقطه جغرافیایی، داشته باشد. به منظور ارایه سطوح عمیق تری از تحلیل های هوشمند، SIEM ملزم است قابلیت نفوذ به سایر API به منظور درک فرآیند کاری آنها و همچنین ترکیب داده های بدست آمده از دیتابیس های مرتبط با machine data را داشته باشد.
اطلاعات سیستم های هوشمند مقابله با تهدیدات می بایست با machine data تولید شده توسط زیرساخت های مختلف IT و برنامه های گوناگون به منظور ایجاد یک watch list ادغام شوند، قوانین همبستگی و Query مختلف در افزایش نرخ تشخیص موفق و زود هنگام هر گونه نقض قوانین و تعهدات تاثیر بسزایی خواهند داشت. این اطلاعات همواره ملزم به حفظ ارتباط و همبستگی با داده های رخدادها هستند و به بخش گزارشات داشبوردها افزوده شده و یا به ابزارهای مرتبط مانند فایروال و یا IPS که امکان بازیابی و پیشگیری از نفوذ را دارند، ارجاع داده می شوند.
داشبوردهای ارایه شده توسط SIEM باید قابلیت شناسایی و ردیابی وضعیت محصولات آسیب پذیر مستقر شده در محیط IT را داشته باشند؛ این مراحل شامل بررسی صحت و سقم سیستم های اسکن شده و مشخص کردن سیستم هایی که عملیات اسکن آسیب پذیری بر آنها صورت نگرفته است، می شود.
به طور خلاصه یک سیستم هوشمند مقابله با تهدیدات به ارایه پوشش کاملی از راهکارهای مقابله در برابر انواع مختلف تهدیدات، سیستم شناسایی تهدیدات مبتنی بر هوش مصنوعی، اولویت بندی تهدیدات بر مبنای لیست های مختلف تهدیدات و تعیین بار هر یک از تهدیدات به منظور تشخیص ریسک های واقعی تهدید کننده کسب و کارها، می پردازد.

یکپارچه سازی سیستم هوشمند امنیتی به اشتراک گذاشته شده در ۴۰ نمایندگی سطح شهر لس آنجلس

شهر لس آنجلس به منظور محافظت از زیرساخت های دیجیتالی خود نیازمند آگاهی وضعیتی از موقعیت امنیتی و استقرار سیستم های امنیتی هوشمند مقابله با تهدیدات برای ادارات و ذینفعان خود است. در گذشته بیش از ۴۰ سازمان از اقدامات امنیتی متفاوتی استفاده می کردند که این مساله پیچیدگی ترکیب و تحلیل داده ها را در پی داشت. لس آنجلس خواستار یک سیستم اطلاعاتی SaaS قابل توسعه و راهکاری برای مدیریت رخدادها به منظور شناسایی، اولویت بندی و کاهش تهدیدات به منظور پایش کامل فعالیت های مشکوک و ارزیابی خطرات موجود، بوده است. از زمان استقرار Splunk Cloud و Splunk ES، این شهر از مزایای زیر بهره مند شده است:
• ایجاد SOC در سطح شهر
• سیستم هوشمند بهنگام مقابله با تهدیدات
• کاهش هزینه های عملیاتی
ایجاد آگاهی situational
Splunk Cloud دیدگاه جامعی نسبت به موقعیت امنیتی این شهر فراهم کرده است. فرستنده های Splunk اطلاعات رخدادهای ثبت شده از بخش ها و ادارات مختلف شهر را به Splunk cloud ارسال می کنند، در این بخش اطلاعات نرمال سازی شده و به SOC یکپارچه بازگردانده می شوند، سپس اطلاعات بررسی شده و در داشبوردهای Splunk قابل مشاهده خواهند بود. با استفاده از داشبوردهای پیش ساخته و قابل تنظیم Splunk ES اطلاعات اجرایی و تحلیل های صورت گرفته همواره در دسترس خواهند بود و اطلاعات کاملی در ارتباط با رخدادهای امنیتی صورت گرفته در سراسر زیرساخت فناوری شهر فراهم می آورند. تیم Lee با استفاده از اطلاعات بروزرسانی شده، به مقایسه اطلاعات machine data، شامل اطلاعات ساختار یافته و غیر ساختار یافته پرداخته و کلیه اطلاعات مورد استفاده در سیستم های هوشمند مقابله با تهدیدات را استخراج می کنند.

سیستم هوشمند مقابله با تهدیدات بهنگام

SOC یکپارچه این شهر علاوه بر جمع آوری اطلاعات، به تهیه و ارایه اطلاعات عملی نیز می پردازد و اطلاعات Splunk Cloud را به سیستم های هوشمند مقابله با تهدیدات منتقل می کند. اطلاعات با نمایندگی های مختلف سطح شهر و همچنین سازمان های ذینفع خارج از شهر همچون FBI، اداره امنیت داخلی، سرویس های مخفی و سایر سازمان های اجرایی قانونی به اشتراک گذاشته می شود. با استفاده از این اطلاعات این شهر با سازمان های فدرال در شناسایی ریسک ها و توسعه استراتژی های جلوگیری از نفوذ همکاری می کند.
Lee اظهار داشت: “ما با استفاده از آگاهی situational، موقعیت و وضعیت خود را درک می کنیم، لیکن با استفاده از سیستم های هوشمند مقابله با تهدیدات قادر به شناسایی مهاجمان خواهیم بود. در حال حاضر درصدد اجرای یک برنامه هوشمند یکپارچه و Splunk SIEM به عنوان یک بستر مدیریت مرکزی اطلاعات که قابل استقرار در ISOC است، هستیم.”
تحلیل های پیشرفته

SIEM مبتنی بر تحلیل، امکان انجام تحلیل های پیشرفته از طریق بکارگیری روش های کمی پیشرفته همچون داده کاوی پیش نگر، آماری و توصیفی، machine learning، شبیه سازی و بهینه سازی، را به منظور ارایه دید کاملی نسبت به تهدیدات صورت گرفته دارد. روش های تجزیه و تحلیل پیشرفته شامل تشخیص رفتارهای خلاف قاعده، peer group profiling و مدل سازی ارتباطات کلیه ابزارها و نرم افزارها است. SIEM مبتنی بر تحلیل، نیازمند ارایه ابزارهایی جهت مشاهده قابلیت پایش و ایجاد ارتباط میان اطلاعات، به عنوان مثال نگاشت طبقه بندی شده رخدادها در مقابل زنجیره ای از حملات و یا ایجاد heat map به منظور پشتیبانی بهتر بررسی رخدادها، است.
تامین کلیه موارد بالا مستلزم دسترسی است که بستر SIEM امکان استفاده از الگوریتم های machine learning را ممکن کرده و امکان بررسی و شناسایی خودکار یک رفتار معمول و عادی از یک رفتار مشکوک را داشته باشد. این سطح از تحلیل رفتاری قابلیت ساخت، اعتبارسنجی و استقرار مدل های پیش نگر را فراهم می کند. در این مساله حتی امکان استفاده از مدل های ساخته شده با سایر نرم افزارهای ۳rd party نیز در بستر SIEM وجود دارد.

 مستقر کردن SIEM مبتنی بر ابر در سیستم هوشمند امنیتی شرکت Equinix

شرکت Equinix ارتباط میان کسب وکارهای پیشرو جهان با مشتریان و کارمندان آنها در ۳۳ بازار بزرگ در سراسر ۵ قاره را برقرار می کند. امنیت، یکی از مهمترین فاکتورها در شرکت Equinix است؛ زیرا هزاران شرکت در سراسر جهان بر دیتاسنترها و سرویس های ارتباطی این شرکت متکی هستند. Equinix به منظور کسب یک دیدگاه یکپارچه در زمینه زیر ساخت امنیتی خود، نیازمند یک راهکار مبتنی بر ابر با قابلیت مدیریت و پایش مرکزی، کاربری SIEM است که امکان استقرار ساده، سریع و عملیاتی آن وجود داشته باشد. از زمان استقرار Splunk Cloud و Splunk ES، این شرکت از مزایای زیر بهره مند شده است:
• قابلیت اطمینان
• ارتقا وضعیت امنیتی
• صرفه جویی در زمان و هزینه

ارزیابی میزان قابلیت پایش زیرساخت توسط Splunk Cloud و Splunk ES

قبل از Splunk Cloud شرکت Equinix در هر ماه با حجم عظیمی در حدود ۳۰ بیلیون اطلاعات خام رخدادهای امنیتی تولید شده، روبرو بود. با استفاده از Splunk Cloud و Splunk ES، تیم امنیتی این اطلاعات خام را در ۱۲۰۰۰ رخداد امنیتی مرتبط دسته بندی کرده است و ۲۰ هشدار امنیتی قابل اجرا ارایه می دهند، بنابراین یک سیستم هوشمند امنیتی عملیاتی که پایه SOC اختصاصی است، فراهم می شود. با استفاده از کلیه اطلاعات جمع آوری شده در بستر Splunk، تیم های امنیتی امکان بررسی داده های با مرجع متقابل بین سیستم ها و جستجو و پاسخ تا سی درصد سریع تر به رخدادها را خواهد داشت. George Do، مدیر امنیت اطلاعات شرکت Equinix بیان کرد:”هدف نهایی ما حفاظت از مشتریان، کارمندان و اطلاعات است. با استفاده از Splunk cloud و Splunk ES به عنوان بستر SIEM، اطلاعات همواره به صورت امن در دسترس ما خواهد بود”.
او همچنین اظهار داشت: “هر زمان نیاز به بررسی یک رویداد وجود داشته باشد، اطلاعات امنیتی مرتبط با آن در داشبورد Splunk تیم های امنیتی و مدیران اجرایی سطح C قابل مشاهده خواهد بود. در مقایسه با SIEM سنتی محلی موجود، این روش موجب صرفه جویی در زمان و کاهش ۵۰ درصدی هزینه های مالکیت (TCO ) شده است.”
در حال حاضر این شرکت با استفاده از مزیت های Splunk ES به یک راهکار تحلیل امنیتی جامع دست یافته است. هر زمان نشانه های رفتارهای مشکوک کاربری مشاهده شود، به عنوان مثال زمانی که یک کارمند محلی به صورت غیرمنتظره وارد سامانه قاره دیگری شود، بلافاصله هشدارهای با اولویت امنیتی بالا به تیم امنیتی ارسال می شود. همچنین بکارگیری Splunk Cloud به همراه Splunk ES در این شرکت امکان جلوگیری از افشای اطلاعات حساس را ایجاد کرده است. به ویژه در شرایط خاص مدیران از این اطلاعات به منظور تشخیص تخلفات کارمندان در خصوص سرقت اطلاعات محرمانه استفاده می کنند.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Splunk را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

قابلیت شناسایی پیشرفته تهدیدات

تهدیدات به صورت پیوسته تکامل می یابند. SIEM تحلیلی با استفاده از استقرار سیستم پایش امنیتی شبکه امکان مطابقت با تهدیدات جدید، شناسایی و بررسی endpoint قابلیت واکنش در مقابل sandboxing ارائه می دهد و تحلیل رفتاری در ترکیب با سایر سیستم های شناسایی قابلیت قرنطینه تهدیدات بالقوه جدید را خواهد داشت. اغلب فایروال ها و راهکارهای جلوگیری از نفوذ تمام این قابلیت ها را به صورت همزمان ندارند.
هدف نهایی نه تنها تشخیص تهدیدات است بلکه تعیین دامنه این تهدیدات از طریق شناسایی نحوه حرکت و تاثیرات آنها، نحوه محدود کردن و نوع به اشتراک گذاری اطلاعات را نیز در بر می-گیرد.

رویکرد SAIC در ارتقا قابلیت پایش و شناسایی تهدیدات

SAIC، یک تکنولوژی پیشرو در زمینه بازارهای فنی، مهندسی و اطلاعات سازمانی است. SAIC، با دارا بودن تخصص در زمینه های تحقیقات علمی، سرویس های مدیریت برنامه و IT بیشترین درآمد خود را از سازمان هایی چون دولت ایالات متحده امریکا کسب می کند. این شرکت نیاز به ساخت مرکز عملیات امنیتی (SOC) و یک تیم پاسخگویی به رویدادهای کامپیوتری (CIRT )، به منظور مقابله با حملات سایبری دارد. این شرکت از زمان توسعه بستر Splunk از مزایای زیر بهره مند شده است:
• ارتقا وضعیت امنیتی و عملیاتی
• کاهش ۸۰ درصدی زمان تشخیص و بازیابی
• امکان پایش کامل محیط شرکت
Why Splunk
در سال ۲۰۱۳ پس از تفکیک SAIC به دو شرکت مجزا با هدف تفکیک حوزه های کاری، SAIC ملزم به ساخت یک SOC به عنوان بخشی از برنامه امنیتی جدید خود بود. با وجود اینکه این شرکت زیرساخت های امنیتی مورد نیاز خود را داشته است لیکن کمبود راهکاری جهت مدیریت رخدادها و اطلاعات امنیتی به منظور تحکیم سیستم دفاعی مشهود می باشد. SIEM سنتی موجود در شرکت پاسخگوی نیازهای توسعه ای آن نیست؛ بنابراین این شرکت تصمیم به ارتقا SIEM با استفاده از Splunk Enterprise گرفته است، از طریق این بستر امکان شناسایی رخدادها با استفاده از بررسی ارتباطات آنها و تحقیق در ارتباط با رخدادهای امنیتی وجود دارد. در حال حاضر کارکنان IT شرکت از راهکارهای Splunk مستقر شده به منظور پایش شبکه، مدیریت عملکرد، تحلیل نرم افزارها و ارایه گزارش ها استفاده می کنند.
هنگامی که SAIC شروع به ساخت SOC جدید خود کرد، این شرکت تصمیم به استفاده از Splunk به عنوان یک بستر هوشمند امنیتی برای کلیه نیازهای SIEM خود همچون شناسایی رخدادها، بررسی و پایش پیوسته، ارایه هشدارها و تحلیل های یکپارچه، گرفته است.

شناسایی و نظارت کامل بر تهدیدات سراسر شبکه

در حال حاضر شرکت SAIC از Splunk به منظور نظارت بر تهدیدات سراسر شبکه استفاده می کند. در SOC، تحلیلگران داشبوردهای سفارشی Splunk را به منظور ارایه هشدارهای لازم در صورت مشاهده هرگونه نشانه ای از رفتارهای غیرمعمول و یا غیرمجاز، مورد استفاده قرار می دهند. در حال حاضر آنها از تهدیدات شناخته شده، مبتنی بر امضا (مانند تهدیداتی که از طریق IDS و یا بدافزارها وارد می شوند) و ناشناخته (همچون یک کاربر با دسترسی های مجاز فعالیت های مشکوکی را انجام می دهد)، به صورت آنی مطلع می شوند.
SIEM سنتی از روش های از پیش تعیین شده و غیر قابل تغییر به منظور انجام جستجوها استفاده می کنند که اغلب در بررسی تهدیدات پیشرفته و تولید خطای نوع اول و نوع دوم ناتوان هستند. تحلیلگران SAIC، با استفاده از بستر Splunk علاوه بر قابلیت جستجوهای دقیق به منظور شناسایی تهدیدات و هرگونه IOC ، تیم امنیتی امکان ارزیابی و مدیریت ریسک را خواهد داشت. در حال حاضر مدیران اجرایی از جمله CISO، می توانند شاخص های کلیدی فعالیت هر یک از تهدیدات شامل فرآیند تهدید، محل جغرافیایی منبع تهدید و جدیدترین IOC، را مشاهده کنند.

تکنیک های Cisoc ESA در مقابله با باج افزارها و حملات phishing

تکنیکهای مقابله با باجافزارها، حملات phishing و BEC

 مقدمه

حملات phishing، باج افزارها و Business Email Compromise) BEC) به یکی معضلات امنیتی سازمانها تبدیل شده است؛ این مساله از یک طرف با رشد تکنیک های پیچیده مورد استفاده توسط مجرمان سایبری و از طرف دیگر عدم آگاهی سازمان ها و افراد در برخورد با چنین حملاتی، روز به روز در حال گسترش است. به عنوان مثال باج افزارها در سال های اخیر به صورت اپیدمیک رشد یافته است به طوری که میزان خسارت از ۲۴ میلیون دلار در سال ۲۰۱۵ به یک بیلیون دلار در سال ۲۰۱۶ رسیده است. جدول شماره ۱، درصد سازمان هایی که در ۱۲ ماه گذشته مورد حملات سایبری مختلف قرار گرفته اند را نشان میدهد:

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Cisoc ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

جدول شماره ۱:

رویداد درصد سازمان­ها
حملات Phishing موفق ۳۷%
حملات باج­افزار موفق که منجر به رمزنگاری فایل­ها شده است ۲۴%
بدافزارهایی که موفق به تاثیرگذاری بر سیستم­ها شده و کانال ورودی آنها ناشناخته است ۲۲%
اطلاعات محرمانه و حساسی که به صورت تصادفی از طریق ایمیل فاش شده است ۲۲%
حملات drive-by attack که از وب­گردی کارمندان ایجاد شده است ۲۱%
حملات BEC ۱۲%
حملات spearphishing ایمیل که موفق به تاثیرگذاری بر سیستم­های حساس سازمان­ها شده است ۱۰%
اطلاعات محرمانه و حساسی که توسط یک بدافزار از طریق ایمیل فاش شده است ۷%
اطلاعات محرمانه و حساسی که به صورت تصادفی و یا بدافزاری از طریق ابزارهای مبتنی بر ابر مثل Dropbox فاش شده است ۶%
اطلاعات محرمانه و حساسی که به صورت تصادفی و یا بدافزاری از طریق شبکه­های اجتماعی فاش شده است ۲%
اطلاعات محرمانه و حساسی که به صورت تصادفی و یا بدافزاری به روش­های ناشناخته فاش شده است ۲%
سایر موارد ۲۵%

 

عمده مشکلات:

طیف گسترده ای از حملات سایبری وجود دارد که مدیران شبکه های سازمان ها ملزم به تصمیم گیری صحیح در برخورد با آنها هستند. همانطور که در شکل شماره ۱ نمایش داده شده است سه مورد اول که بیشترین توجهات را به خود جلب کرده اند مبتنی بر ایمیل هستند: که شامل Phishing، نفوذ بدافزار و Spearphishing است. با این حال بزرگترین نگرانی درخصوص نفوذ بدافزارها از طریق مرورگرهای وب، باج افزار و BEC است.

شکل شماره ۱:

چرا حملات Phishing، Spearphishing، BEC و باج ­افزارها تا حد زیادی موفقیت­ آمیز است؟

این حملات از جنبه هایی مختلفی سازمان ها را تحت تاثیر قرار داده و هزینه های هنگفتی را به آنها تحمیل می کنند. این امر می تواند منجر به وقوع خسارت های مالی، از دست دادن کارمندان و حسن شهرت شده و حتی اعتبار سازمان ها را در معرض خطر قرار دهد. مساله مهم بررسی دلایل موفقیت این نوع حملات است؟

کاربران به عنوان ضعیف­ترین عامل در این زنجیره حملات

کاربران، یکی از عوامل موفقیت بسیاری از حملات سایبری بوده و یکی از مشکلات اساسی سازمان ها در تامین امنیت کاربران هستند. اغلب کاربران در ارتباط با شناسایی و برخورد با حملات Phishing، Spearphishing، BEC و باج افزارها آموزش های لازم را دریافت نکرده اند، بنابراین بر لینک های مخرب و یا پیوست ایمیل های حاوی بدافزار بدون توجه به خطر بالقوه آنها کلیک کرده و در نتیجه سازمان ها و افراد را در معرض خطر قرار می دهند. بنابراین سازمان ها ملزم هستند تا با در نظر داشتن زیرساخت های مناسب هشدارهای لازم را به کاربران در ارتباط با لینک های مخرب و یا پیوست های ایمیل مشکوک ارائه دهند.
مدیران شبکه در نتیجه این آموزش های ضعیف از توانایی کاربران و سازمان ها در مقابله با تهدیدات، اطمینان ندارند. به عنوان مثال همانطور که در شکل شماره ۲ نشان داده شده است کمتر از پنج درصد مدیران شبکه ها از توانایی کارمندان سازمان خود در مقابله با شناسایی حملات باج افزارها اطمینان دارند:

شکل شماره ۲:

سازمان­ها کارایی لازم در برخورد با حملات را ندارند

مساله دیگری که منجر به پیچیدگی مقابله با حملات سایبری می شود، تلاش ناکارآمد سازمان ها در برخورد با حملات است. به عنوان مثال:
 بسیاری از سازمان ها فرآیندهای پشتیبان گیری کافی به منظور بازگرداندن سریع سرورها و Endpoint به وضعیت مناسب در صورت بروز حملات باج افزاری و سایر حملات را ندارند.
 بیشتر سازمان ها، کاربران خود را در برخورد با ایمیل های مخرب و میزان حساسیت آنها به این حملات آزمایش نمی کنند.
 بسیاری از سازمان ها فاقد سیستم های کنترل داخلی به منظور جلوگیری از حملات BEC هستند.
 اغلب سازمان ها فاقد سیستم ها و تکنولوژی های لازم در برخورد و کاهش تهدیدات پیش رو هستند.
 بسیاری از سازمان ها فاقد قوانین خاص در برخورد با BYOD بوده اند و کاربران با استفاده از ابزارهای سیار و نرم افزارهای تحت ابر و … امکان دستیابی به اطلاعات سازمانی و استفاده از آنها در ابزارهای دسترسی ناایمن دارند.

سازمان­های و گروه­ های مجرمانه تامین مالی می­شوند

سازمان­هایی که مرتکب جرایم سایبری می­شوند، معمولا منابع مالی مناسبی جهت انتشار انواع جدیدی از نرم ­افزارهای مخرب دریافت می­کنند. به عنوان مثال انواع مختلف باج­ افزارهایی که در سالهای اخیر منتشر شده ­اند، مانند: CryptoWall(2014)، CBT-Locker(2014)، Tesla-Crypt(1025)، Samas(2016)، Locky(2016 و (Zepto(2016 . این رشد بگونه ­ایست که واقعیتی چونransomware-as-a-service) RaaS)  به عنوان یکی از معضلات امنیتی امروزه تبدیل شده است. با توجه به منابع مالی بالا، این سازمان­های مجرمانه به سرعت امکان رشد و سازگاری با راهکارهای امنیتی جدید را خواهند داشت.

جرایم سایبری در حال تغییر و ارتقا خود هستند

پیشتر جرایم سایبری با تکیه بر دستیابی به اطلاعات افراد و فروش آن اطلاعات در فضای Darkweb استوار بودند، لیکن به تدریج با افزایش حجم اطلاعات به سرقت رفته و کاهش اهمیت این اطلاعات درآمد مجرمان سایبری کاهش پیدا کرد. در نتیجه شیوه های حملات سایبری تغییر پیدا کردند. مجرمان با استفاده از حملات Phishing و Spearphishing بدافزاری مانند Keylogger در سیستم قربانی نصب کرده و به انتقال وجه از حساب های مالی سازمان ها می پردازند، علاوه براین با استفاده از باج افزارها مستقیما وجه مورد نظر خود را دریافت می کنند، همچنین با بهره گیری از روش های BEC مدیران ارشد سازمان ها را فریب داده و مستقیما حجم بالایی از انتقالات مالی به حساب های مجرمان واریز می کنند. با این روش مجرمان سایبری به جای دزدی و فروش اطلاعات مستقیما به سرقت پول می پردازند.

در دسترس ­بودن، کم ­هزینه بودن و گستردگی ابزارهای phishing و باج ­افزار

نرم افزارهایی به منظور راهنمایی آماتورهایی با کمترین دانش IT در خصوص انجام حملات Phishing و ایجاد باج افزار، رشد قابل توجهی یافته اند. به صورتی که هر فردی با استفاده از Phishing Kit قادر به راه اندازی یک سایت فیشینگ است. بنابراین علاوه بر سازمان های بزرگی که حملات سایبری پیشرفته و ابزارهایی چون RaaS را توسعه می دهند، نسل جدیدی از حملات ناشی از ظهور رنج وسیعی از باج افزارها و سایر حملات ایجاد شده بوسیله این مجرمان آماتور است، بوجود آمده است.

 بدافزارها پیچیده تر شده است

با گذشت زمان باج­ افزارها ارتقا یافته و ساختار پیچیده­ تری پیدا کرده­اند. به عنوان مثال تلاش برای حملات فیشینگ از حملات ساده با هدف فریب کاربر جهت کلیک بر لینک مخرب تبدیل  شده است به حملات پیچیده BEC که می­توانند سازمان­های بزرگ را تحت تاثیر قرار دهد. باج­افزارها شکل­های پیچیده­تری یافته و به­سادگی اطلاعات افراد را رمزنگاری کرده و از دسترس فرد خارج می­کنند. در سال­های آینده باج­افزارها با استفاده از تکنولوژی­های machine learning ارتقا یافته و به­ صورت خودکار و هوشمند عمل خواهند کرد و به یکی از مهمترین تهدیدات سایبری تبدیل خواهند شد.

امنیت سایبری باید ارتقا یابد

برای رفع مشکلات ناشی از حملات پیچیده سایبری چون Phishing، BEC و باج افزار، ملزم به ارتقا امنیت سایبری و تغییر دیدگاه امنیتی سازمان ها در ارتباط با امنیت هستیم. با این حال تحقیقات نشان می دهد پیشرفت هایی که در زمینه امنیت سایبری صورت می گیرد متناسب با رشد تهدیدات نیست.

راهکارهای امنیتی بصورت همه جانبه ارتقا نیافته و تنها در برخی زمینه­ ها رشد لازم را دارند

تحقیقات نشان می دهد راهکارهای مقابله با حملات Phishing، Spearphishing، BEC و باج افزارها در بسیاری از سازمان ها چنانچه در جوانب شناسایی، تشخیص و جلوگیری از تهدید پیش از تاثیرگذاری آن بر Enduser، ارتقا یابند تاثیرگذارتر خواهند بود و آثار حملات را کاهش خواهند داد. شکل شماره ۳ نظر بسیاری از سازمان ها در ارتباط با تغییرات راهکارهای امنیتی آنها را نشان میدهد:

 

شکل شماره ۳:

راهکارهای امنیتی کنونی تا چه اندازه موثر هستند؟

در این تحقیق از سازمان ها خواسته شد، میزان اثربخشی راهکارهای امنیت سایبری خود را ارزیابی کنند. همان طور که در شکل شماره ۴ نمایش داده شده است، ۵۶ درصد از افراد شرکت کننده در نظرسنجی معتقدند راهکارهای امنیتی آنها برای از بین بردن تهدیدات امنیتی پیش از رسیدن به کاربر موثر بوده است.

 

 

شکل شماره ۴:

همانطور که در شکل شماره ۵ مشاهده می کنید میزان اثربخشی راهکارهای امنیت سایبری در سازمان هایی که کارمندان آنها آموزش های بیشتری در ارتباط با حملات سایبری دیده اند (حداقل دو بار در سال دوره های آموزشی برگزار کرده اند)، بیش از سایر سازمان ها است:

شکل شماره ۵:

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Cisoc ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

تکنیک ­هایی که سازمان­ها در برخورد با تهدیدات سایبری می­بایست اتخاذ کنند

در این پژوهش ۱۴ گام به منظور محافظت سازمان ها در برابر حملات سایبری همچون Phishing، Spearphishing، BEC و باج افزارها پیشنهاد و ارائه می شود:

 ۱-درک خطراتی که سازمان با آنها مواجه است:

اگرچه ممکن است این گام در ظاهر توصیه ای واضح به نظر برسد، لیکن تنها در صورت درک صحیح مشکل از جانب سازمان ها زیرساخت های لازم جهت امنیت سایبری توسعه خواهد یافت. جرایم سایبری به صنعتی عظیم و پیچیده تبدیل شده است که مقابله با آن مستلزم سرمایه گذاری است.

۲٫ طرح یک بازرسی کامل نسبت به ابزارهای فعلی امنیت سایبری:

سازمان ها ملزم به آگاهی کامل از رویکرد امنیتی خود هستند که این موارد شامل: بازرسی کامل از زیرساخت امنیتی موجود، نحوه آموزش در خصوص حملات و نحوه برخورد راهکارهای موجود در بازیابی اطلاعات در صورت بروز حملات می شود. این مرحله یک گام اساسی در شناسایی کمبودها و اولویت گذاری هزینه ها به منظور ارتقا راهکارهای امنیتی است.

۳٫ ایجاد پالیسی ها امنیتی:

مساله اعمال پالیسی ها از اهمیت ویژه ای برخوردار است که شامل کلیه ایمیل ها، صفحات وب، شبکه های اجتماعی، ابزارهای سیار و هر گونه فناوری که دپارتمان IT اجازه استقرار آن را صادر کرده است، می شود. یک گام مهم در ایجاد پالیسی ها این است که، پالیسی ها بگونه ای اعمال شوند که کلیه ابزارهایی، را که احتمالا در آینده به شبکه افزوده می شود، را در بر بگیرند. پالیسی ها باید در بردارنده قوانینی در خصوص رمزنگاری ایمیل های حاوی اطلاعات حساس، پایش رفتار بدافزارها و کنترل استفاده از ابزارهای ارتباطی شخصی باشند.

۴٫ارایه راهکارهای جایگزین

مدیران IT شبکه ­ها، ملزم به ارایه راهکارهای جایگزین برای بسیاری از سرویس­های مستقر شده برای کارمندان هستند. به عنوان مثال  enterprise file sync and share) EFSS ،(voice-over-IP) VoIP ، cloud storage) ، ارتباطات real-time و سایر قابلیت­هایی که برای استفاده کارمندان توسعه یافته است، بنابراین تیم­ های IT باید راهکاری جامعی را ارایه دهند که قابلیت استقرار در کل سازمان و تامین الزامات امنیتی را داشته باشد.

۵٫اجرا و بروزرسانی رویکردهای امنیتی سازمان

هر سازمانی ملزم به استقرار و بروزرسانی دوره­ای رویکردهایی است که به منظور حفظ اطلاعات حساس شرکت تعبیه شده است. به عنوان مثال کلیه سازمان­ها نیاز به مجموعه­ای از راهکارهای تهیه فایل­های پشتیبان، قابلیت بازیابی و تست کل مجموعه دیتا دارند تا در صورت حمله باج ­افزارها امکان بازیابی اطلاعات وجود داشته باشد.

۶٫ اجرا بهترین روشها به منظور برخورد آگاهانه افراد با حملات:

سازمان ها ملزم به توسعه روش های هستند که کاربران را در مقابل شکاف های امنیتی موجود یاری کند. به عنوان مثال: کاربران آموزش های لازم در خصوص انواع تهدیدات سایبری را داشته باشند، کارمندانی که با اطلاعات مالی و حساس سازمان ها در ارتباط هستند از Backchannel استفاده کنند و همواره کارمندان نسبت به بروزرسانی سیستم ها و ابزارهایی ارتباطی خود آگاه شوند.

۷٫ آموزش کلیه کاربران و مدیران ارشد:

برنامه آموزشی مناسب برای کلیه کارمندان به منظور آگاهی رسانی در خصوص ایمیل هایی که دریافت می کنند، نحوه استفاده از وب و لینک هایی که احتمال وجود حملات مخرب وجود دارد. مساله سرمایه گذاری در خصوص آموزش کارمندان از منظر ایجاد یک فایروال انسانی در مقابل حملات فیشینگ و حملاتی که از طریق مهندسی اجتماعی صورت می گیرد، اهمیت می یابد. مدیران ارشد می بایست در ارتباط با کلاه برداری های سایبری و حملات BEC مطلع باشند، چرا که اغلب این افراد به عنوان هدفی ارزشمند برای مجرمان سایبری مطرح هستند.

۸٫ بروزرسانی پیوسته سیستم ها:

ضعف های موجود در برنامه ها، سیستم عامل ها، پلاگین ها و سیستم ها یکی از راه های نفوذ مجرمان سایبری است. بنابراین بروزرسانی سیستم ها با استفاده از patch معتبر شرکت های صادرکننده آن، اهمیت ویژه ای در جلوگیری از بروز این مشکل دارد. به عنوان مثال یکی از مهمترین منابع نفوذ عدم بروزرسانی Oracle Java، Adobe Flash و Adobe Reader است.

۹٫ اطمینان از پشتیبان گیری صحیح و بهروز:

راهکارهای تهیه پشتیبان درصدد تهیه پشتیبان از کل داده ها پیش از آلوده شدن و بازیابی آنها در صورت بروز هرگونه مشکلی است. امروزه این راهکارها از تکنیکهایEnterprise Key Management) EKM) به منظور حفاظت و رمزنگاری فایلهای پشتیبان استفاده می کنند.

۱۰٫ استقرارهای راهکارهای مقابله با بدافزارهاو باج افزارها:

امروزه راهکارهای امنیتی مناسبی جهت مقابله با این قبیل بدافزارها وجود دارد که امکان استقرار محلی و ابری آنها وجود دارد. این راهکارها قابلیت شناسایی حملات phishing، Spearphishing، باج افزار، data exfiltration و سایر تهدیدات را دارند. هر سازمانی با توجه به الزامات امنیتی مورد نیاز خود ملزم به استقرار زیرساخت متناسب است. DLP یک عنصر کلیدی در توسعه زیرساخت امنیتی به منظور کاهش خطرات مرتبط با نقض و افشای اطلاعات است.

۱۱٫ استفاده از سیستم¬های هوشمند مقابله با تهدیدات:

استفاده از سیستم های هوشمند امنیت Real-time در مقابله با طیف گسترده ای از تهدیدات ارایه میدهد. این سیستم ها قادر به بررسی اعتبار دامنه ها و جلوگیری از حملات ، Spearphishing و باج افزار که از طریق دامنه های فاقد اعتبار انجام میشود، است.

۱۲٫ پیاده سازی سیستم های مرکزی حفاظت از داده های حیاتی:

با وجود تمام تمهیدات امنیتی همواره احتمال نفوذ و عبور از زیرساخت امنیتی وجود دارد. بنابراین سازمانها ملزم به استقرار راهکارهایی به منظور غیرقابل استفاده شدن داده های حیاتی در زمان چنین حملاتی، هستند. این عمل از طریق تکنولوژی های جدید رمزنگاری مانند:Format-Preserving Encryption) FPE) صورت میگیرد.

۱۳٫ رمزنگاری ارتباطات ایمیل:

همواره رمزنگاری ارتباطات ایمیل به عنوان یک ابزار استاندارد در مقابله با حملات فیشینگ است. راهکاری که قادر به رمزنگاری end-to-end ایمیل از ارسال آن تا دریافت توسط گیرنده اصلی، باشد.

۱۴٫ تجزیه و تحلیل رفتارها:

در این روش الگوی رفتارهای سازمانها بررسی و چنانچه رفتاری خارج از این الگو مشاهده شود دسترسی به دادهها مسدود خواهد شد.

راهکارهای احراز هویت ایمیل با استفاده Cisco ESA بخش دوم

برای مطالعه بخش اول راهکارهای احراز هویت ایمیل با استفاده Cisco ESA اینجا کیلیک کنید

الزامات پیاده سازی DMARC

DMARC برای گیرنده

احراز هویت DMARC در ESA مبتنی بر پروفایل است ولی برخلاف DKIM پروفایل پیش فرض باید بگونه ای سازگار با مشخصه ها باشد. ESA به صورت پیش فرض به نحوی رفتار می کند که هیچ یک از پیام ها از بین نرود، بنابراین پروفایل پیش فرض احراز هویت DMARC به صورت “No Action” است. علاوه بر این به منظور فعال کردن قابلیت تولید گزارش ملزم به ویرایش بخش DMARC از پالیسی های ایمیل هستیم.
تنظیمات احراز هویت DMARC، مشابه دو مورد دیگر به بخش تنظیمات پیش فرض پالیسی Mail Flow اعمال می شود. از فعال شدن ارسال گزارش فیدبک اطمینان حاصل کنید، این گزینه یکی از مهمترین قابلیت-های DMARC برای فرستنده است. در زمان انتشار این مقاله ESA از تولید گزارش Failure به ازای هر پیام پشتیبانی نمیکرد (بر چسب “ruf” در پالیسی DMARC).
اقدامات و پالیسی های DMARC توسط فرستنده توصیه می شود لیکن برخلاف SPF و DKIM در عمل هیچ پیکربندی خارج از پروفایل پیکربندی قابل اعمال نیست. همچنین نیازی به ساخت فیلترهای محتوا نیست.
احراز هویت DMARC فیلدهایی را به هدر Authentication-Results می¬افزاید:
Authentication-Results: mx1.hc4-93.c3s2.smtpi.com; dkim=pass (signature verified)
header.i=MileagePlus@news.united.com; dmarc=pass (p=none dis=none) d=news.united.com
در نمونه فوق، DMARC براساس هم ترازی شناسه DKIM تایید می شود و فرستنده درخواست پالیسی “none” ارسال می کند. این مساله نشان دهنده وضعیت “monitor” در مراحل استقرار DMARC است.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای احراز هویت ایمیل با استفاده Cisco ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

چنانچه به سایر دامینها و یا ۳rd party سرویس ایمیل ارایه می کنید

بزرگترین مساله در سازگاری ESPs با DMARC، دستیابی به هماهنگی کامل شناسه است. زمانیکه قصد توسعه DMARC را دارید، ملزم به اطمینان از صحت تنظیمات SPF هستید، به گونه ای که کلیه دامنه های مرتبط، گیت وی خروجی شما را در رکوردهای SPF خود داشته و پیام هایی را که از منظر همترازی قابل قبول نیستند، ارسال نمی کنند. اصولا این عمل از طریق استفاده از دامین های متفاوت برای MAIL FROM و شناسه Header From صورت می گیرد. این خطا اغلب هنگامیکه از برنامه هایی که اعلان ها و هشدارهایی از طریق ایمیل ارسال می کنند رخ می دهد، زیرا اغلب توسعه دهندگان نرم افزارها از عواقب ناسازگاری شناسه های ایمیل اطلاعی ندارند.
همانگونه که پیشتر ذکر شد، ملزم به اطمینان از کاربری پروفایل امضا DKIM مجزا برای هریک از دامنه ها هستیم، بدین ترتیب پروفایل امضا شما به صورت صحیح به دامینی که درخواست امضا ارسال شده است، از طریق Header From ارجاع داده می شود. چنانچه شما از زیردامنه های خود استفاده می کنید، امکان امضا با یک کلید وجود دارد لیکن باید از مطابقت با DKIM در پالیسی های  adkim=”r”) DMARC”) اطمینان حاصل کنید.
به صورت کلی چنانچه سرویسهای ایمیل برای تعداد بالایی از ۳rd party ارایه می کنید، توصیه می شود راهنمایی هایی در مورد چگونگی ارسال ایمیلی که از دریافت آن اطمینان داشته باشیم تهیه کنید.

دامنه ها و زیردامنه های فاقد ترافیک ایمیل

از دیگر مزایای DMARC نسبت به سایر تکنولوژی های احراز هویت پیشین، قابلیت آن در برخورد با زیر دامنه ها است. به صورت پیش فرض پالیسی DMARC به کلیه زیردامنه ها اعمال می شود. زمانیکه رکوردهای DMARC policy را اصلاح می کنید، اگر هیچ رکوردی در سطح Header From FQDN تعریف نشده باشد، دریافت کننده ایمیل ملزم به تصمیم گیری در خصوص دامین فرستنده و جستجوی رکورد پالیسی است.
پالیسی برای Organizational Domain بگونه ایست که میتوان پالیسی مجزایی به هریک از زیردامنه ها اعمال کرد ( برچسب “sp” در رکورد DMARC) که این پالیسی به کلیه زیردامنه هایی که پالیسی DMARC مجزایی ندارند، اعمال خواهد شد.
در سناریوی بخش SPF شما امکان:
 انتشار یک رکورد صریح DMARC برای هریک از زیردامنه های که در گروه منابع معتبر ایمیل قرار دارند.
 پالیسی “reject” را در کلیه زیردامنه های رکوردهای Organizational Domain policy منتشر می کنیم، به این ترتیب کلیه ایمیلهایی که از منابع جعلی ارسال میشوند، پذیرفته نخواهند شد.
چنین ساختار احراز هویت ایمیل، بهترین روش برای حفاظت از زیرساخت و نام تجاری شما خواهد بود.

 مباحث ویژه در DMARC

چندین مشکل بالقوه در مبحث DMARC وجود دارد که از ماهیت و کاستی های سایر تکنولوژی هایی احراز هویتی که DMARC به آنها وابسته است، نشات گرفته است. مساله اصلی زمانی آشکار میشود که DMARC پالیسی “reject” اعمال و یا شناسه ارسال کنندگان متفاوت در یک پیام را با یکدیگر مرتبط می کند.
اغلب مشکلات با mailing list و نرم افزارهای مدیریت mailing list، زمانیکه یک ایمیل به یک mailing list ارسال می¬شود، در میان همه گیرندگان موجود در لیست توزیع می شود. اگرچه ایمیل نهایی، با آدرس فرستنده اصلی، از طریق زیرساخت مدیریت mailing list ارسال و درنتیجه تست failing SPF برای Header From صورت نخواهد گرفت ( اغلب زیرساختهای مدیریت mailing list از لیست ایمیلها با عنوان Envelope From و یا MAIL FROM و فرستنده اصلی با عنوان Header From استفاده می کنند.).
با توجه به اینکه DMARC احتمال شکست SPF وجود دارد، در این موارد به DKIM متکی خواهیم بود، اگرچه نرم افزارهای مدیرت mailing list اغلب پاورقی و یا برچسب موضوعی به همراه نام لیست به پیام می-افزایند که موجب ناکارآمدی تایید امضا DKIM خواهد شد.
توسعه دهندگان DKIM راهکارهای مختلفی را به منظور رفع این مشکل ارایه می کنند، که در اغلب این روشها از mailing list managers ، که از آدرس موجود در لیست در کلیه بخشهای From addresses و اشاره به فرستنده اصلی با استفاده از سایر روشها، استفاده می شود.
مشکلات مشابهی در فوروارد پیام از طریق کپی پیام اصلی و ارسال از طریق SMTP به گیرنده جدید، به وجود می آید. اگرچه امروزه بسیاری از Mail User Agent ، یک پیغام جدید ایجاد کرده و پیام فوروارد شده درون پیام جدید و یا بصورت پیوست آن قرار می دهند. پیامهایی که به این شکل ارسال می شوند چنانچه کاربر فوروارد کننده مورد قبول باشد، الزامات DMARC را فراهم میکنند( البته احراز هویت پیام اصلی را نمیتوان فراهم کرد).

نمونه ای از اقدامات صورت گرفته جهت پیاده سازی احراز هویت ایمیل

اگرچه ماهیت تکنولوژی ها احراز هویت ایمیل ساده است، لیکن روند اجرای یک زیرساخت کامل، پیچیده و طولانی خواهد بود. برای سازمانهای کوچک و افرادی که جریان ایمیل کنترل شده ای دارند این روند چندان پیچیده نیست لیکن پیاده سازی آن در سازمانهای بزرگ چالش برانگیز خواهد بود و معمولا آنها به منظور مدیریت پروژه از کمک مشاوران بهره می گیرند.

گام اول : DKIM

DKIM نسبتا بی وقفه است، زیرا پیامهای امضا نشده پذیرش خواهند شد..پیش از شروع پیاده سازی کلیه این مسایل را باید در نظر گرفت. با هر ۳rd party که قصد واگذاری عملیات امضا DKIM به او را دارید تماس حاصل کرده و استراتژی مدیریت سلکتور آنها را بررسی کنید. برخی سازمانها کلیدهای مجزایی ( سلکتور ) برای هریک از واحدهای سازمانی متفاوت استفاده می کنند. همچنین برای امنیت بیشتر از چرخش دوره ای کلیدها استفاده کنید، توجه داشته باشید تا پیش از اطمینان از دریافت کلیه ایمیلهای ارسالی کلید پیشین حذف نشوند.
ملاحظات ویژه ای درخصوص سایز کلیدها باید لحاظ شود. اگرچه بصورت عام تصور میشود هرچه سایز کلید بزرگتر باشد بهتر است، ولی باید توجه داشت تولید دو امضای دیجیتال به ازای هر پیام بار کاری بالایی برای CPU و تاثیر منفی بر عملکرد گیت وی ایمیلهای خروجی خواهد داشت. با توجه به حجم بالای محاسباتی، ۲۰۴۸ بیت در عمل بالاترین سایز کلید مورد استفاده است، لیکن در بسیاری از روشهای توسعه کلید ۱۰۲۴ بیتی سازگاری بهتری میان عملکرد و امنیت برقرار می کند.
به منظور پیاده سازی DMARC ملزم به :
a. شناسایی کلیه دامنه ها و زیردامنه هایی که به آنها ایمیل ارسال می کنید.
b. تولید کلید DKIM و ایجاد پروفایل امضا برای هریک از دامنه ها
c. ارایه کلید خصوصی مرتبط با هریک از ۳rd party
d. انتشار کلیه ملیدهای عمومی در DNS مرتبط
e. بررسی آمادگی ۳rd party جهت تایید امضا
f. فعال کردن قابلیت DKIM signing در بخش Mail Flow Policy مرتبط در ESAs
g. اعلام شروع عملیات امضا به ۳rd party

گام دوم : SPF

پیاده سازی SPF قطعا سخت ترین و زمان برترین بخش اجرای احراز هویت ایمیل است. باتوجه به اینکه کاربری و مدیریت ایمیل بسیار ساده و فارغ از الزامات امنیتی است، بنابراین شرکتها به صورت سنتی پالیسی های سختگیرانه ای در مورد ایمیل اعمال نمی کنند. این مساله منجر به عدم آگاهی سازمانها از منابع مختلف داخلی و خارجی ایمیل خود، شده است. بزرگترین مشکل پیاده سازی SPF تشخیص اینکه در حال حاضر چه کسی در حال ارسال ایمیل معتبر از طرف شما است.
مسایلی که باید دنبال کنید:
a. اهداف آشکار: سرورهای Exchange و یا هرگونه سرورهای groupware و گیت وی ایمیل خروجی
b. هرگونه راهکار DLP و یا سیستمهای پردازش ایمیلی که امکان ارایه هشدار دارد.
c. سیستمهای CRM که اطلاعات مرتبط با مشتریان را ارسال می کنند.
d. برنامه های ۳rd party مختلفی که ایمیل ارسال می کنند.
e. سرورهای تست ، lab و … که ایمیل ارسال می کنند.
f. رایانه های شخصی و سایر ابزارهایی که برای ارسال ایمیل خارجی پیکربندی شده است.
لیست فوق کامل نبوده زیرا سازمانها محیط های متفاوتی را تجربه می کنند، لیکن به عنوان یک راهنمای کلی مفید است. زمانیکه اغلب منابع ایمیل شما مشخص باشد، احتمال دارد تمایل داشته باشید یک قدم به عقب بازگشته و درعوض تایید جداگانه هر منبع از یک لیست استفاده کنید. در حالت ایده آل مگر در چند مورد استثنا، کلیه ایمیلهای خروجی شما ملزم به عبور از گیت وی خروجی است. چنانچه بازاریابی از طریق ایمیل داشته و یا از ۳rd party استفاده می کنید باید زیرساخت موجود را از production email gateway تفکیک کنید. چنانچه شبکه ارسال ایمیل شما پیچیده باشد، ممکن است تمایل به مستندسازی وضعیت فعلی SPF داشته باشید، که این مساله در آینده زمان زیادی برای پاکسازی نیاز دارد.
چنانچه شما به دامینهای متفاوت در یک زیرساخت سرویسی ارایه می دهید، تمایل به ایجاد یک رکورد SPF عمومی و ارجاع آن به هریک از دامینها با استفاده از مکانیزم “include” داشته باشید. اطمینان حاصل کنید که رکورد SPF شما بیش از حد گسترده نباشد؛ به عنوان مثال چنانچه تنها پنج ابزار ارسال SMTP در یک شبکه سابنت /۲۴ وجود داشته باشد، در مقابل افزودن آن به کل شبکه این پنچ آدرس مجزا را به رکورد SPF خود اضافه کنید. حال هدف این است که رکوردها تا حد امکان اختصاصی شود تا احتمال ایمیلهای حاوی بدافزار با به خطر انداختن شناسه شما، به حداقل برسد.
با گزینه Softfail برای فرستنده های ناسازگار (“~all”) آغاز کنید و تنها زمانیکه از شناسایی کلیه منابع ایمیل اطمینان حاصل کردید وضعیت را به  all”)  Hardfail-“) تغییر دهید، در غیراینصورت در خطر از دست دادن production email قرار خواهید گرفت. پس از استقرار DMARC و اجرای آزمایشی آن در حالت monitor، قادر به شناسایی کلیه سیستمهای از دست رفته و بروزرسانی کامل رکورد SPF خواهید بود. تنها در این وضعیت میتوان به صورت امن SPF را در وضعیت hardfail قرار داد.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای احراز هویت ایمیل با استفاده Cisco ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

 گام سوم : DMARC

پس از انجام تنظیمات SPF و DKIM زمان ایجاد پالیسی های DMARC رسیده است. شرایط مختلفی را که در بخش پیش به آنها اشاره شد در نظر گرفته و درصورت وجود زیرساخت ایمیل پیچیده آمادگی استقرار بیش از یک رکورد DMARC را داشته باشید.
ایجاد ایمیلهای جایگزینی که گزارشها را دریافت می کنند، و یا ایجاد نرم افزارهای تحت وب که امکان ارایه آن را داشته باشد. هیچ آدرس ایمیل دقیقی برای این منظور تعریف نشده است، لیکن میتواند به شکل توصیفی مانند : rua@domain.com، dmarc.rua@domain.com، mailauth-rua@domain.com و … ایجاد شوند. از وجود یک فرآیند جایگزین برای عاملی جهت پایش آدرسها و ویرایش پیکربندی SPF، DKIM و DMARC و هشدار تیم های امنیتی در وضعیت spoofing campaign، اطمینان حاصل کنید. در ابتدا، در زمان تعریف رکوردها به منظور پوشش کلیه مسایلی که در ارتباط با پیکربندی SPF و DKIM از قلم افتاده است، بار کاری زیادی وجود دارد. پس از مدتی گزارشات تنها احتمال تلاشهایی برای spoofing را نمایش خواهند داد.
در ابتدا پالیسی DMARC را در وضعیت “none” و وضعیت گزینه ارسال گزارش را در حالت تست تمام وضعیتهایfail  “fo=1 قرار داده، که در این حالت به سرعت کلیه خطاهای موجود در SPF و DKIM بدون تاثیرگذاری بر ترافیک گزارش می شود. زمانیکه نتایج گزارشها رضایت بخش بود باتوجه به پالیسی امنیتی و اولویت های خود، پالیسی را در وضعیت “quarantine” و “reject” قرار دهید. مجددا از وجود عاملی که به صورت پیوسته به تحلیل گزارشات DMARC دریافت شده برای کلیه حالتهای false positive، اطمینان حاصل کنید.
پیاده سازی صحیح و کامل DMARC، فرآیندی پیچیده و طولانی است. برخی از نتایج ( در پیاده سازی رسمی DMARC) از طریق انتشار یک مجموعه ناقص از رکوردها و پالیسی “none” بدست می آید. این مساله برای سازمانهای ارسال کننده و همچنین اینترنت به عنوان محلی که همه سازمانها به منظور ارتقا نهایی قابلیت هایش، آن را پیاده سازی می کنند جذاب است.
حال به ارایه یک طرح کلی و جدول زمانی مناسب برای پیاده سازی یک پروژه نمونه پرداخته می شود. باید توجه داشت که سازمانها متفاوت بوده و این مراحل برای کلیه سازمانها دقیق و متناسب با نیازهای آنها نخواهد بود:

ردیف موضوع زمان
۱ برنامه ­ریزی و تهیه مقدمات DKIM ۲-۴ هفته
۲ آزمون اجرای DKIM ۲ هفته
۳ شناسایی فرستنده معتبر SPF ۲-۴ هفته
۴ آماده­ سازی پالیسی DMARC ۲ هفته
۵ اجرای تست رکوردهای SPF و DMARC ۴-۸ هفته
۶ اجرای تست SPF به همراه hardfail ۲هفته
۷ اجرای تست DMARC به همراه quarantine/reject ۴ هفته
۸ پایش گزارشات DMARC و تطبیق SPF/DKIM با این گزارشات به صورت پیوسته

پیاده سازی در سازمانهای کوچک زمان کمتری به ویژه در مراحل ۳و۴ نیاز دارد. صرف نظر از سادگی زیرساخت ایمیل، معمولا زمان زیادی به انجام تستها و بررسی فیدبک گزارشها اختصاص دهید.
سازمانهای بزرگتر مراحل فوق را در زمانهای طولانی تر و الزامات سختگیرانه تری تجربه می کنند. معمولا سازمانهایی با زیرساخت ایمیل پیچیده، نه تنها از جنبه های پیاده سازی احراز هویت بلکه از منظر مدیریت کل پروژه و هماهنگی تیم ها و ادارات از کمک مشاوران بهره می گیرند.

جلوگیری از خطرات باج افزارها و بد افزارهای ایمیلی با استفاده از Cisco ESA

تعریف امنیت ایمیل

امنیت ایمیل به تکنیک های مختلف برای نگه داشتن اطلاعات حساس ایمیل و حساب های امنیتی در برابر دسترسی غیر مجاز می گویند، ایمیل رسانه ای محبوب برای گسترش بدافزارها، هرزنامه ها و حملات فیشینگ است، با استفاده از پیام های فریبنده برای جلب مخاطب برای افشای اطلاعات حساس، باز کردن فایل پیوست یا کلیک بر روی لینک هایی که نرم افزارهای مخرب را بر روی دستگاه قربانی نصب می کنند. ایمیل همچنین یک بردار ورودی معمول برای مهاجمان است که به دنبال کسب جایگاه در یک شبکه سازمانی هستند و اطلاعات شرکت های ارزشمندی را خراب می کنند. امنیت ایمیل برای هر دو حساب ایمیل شخصی و کسب و کار ضروری است و سازمان های متعدد باید اقدام به افزایش امنیت ایمیل کنند.

نیاز به امنیت ایمیل

با توجه به محبوبیت ایمیل به عنوان یک بردار حمله، بسیار مهم است که شرکت ها و افراد اقدامات لازم را برای ایمن سازی حساب های ایمیل خود در برابر حملات معمول و همچنین تلاش برای دسترسی غیرمجاز به حساب ها یا ارتباطات انجام دهند.

بدافزار ارسالی از طریق پیام های ایمیل می تواند کاملا مخرب باشد. ایمیل های فیشینگ ارسال شده به کارکنان اغلب حاوی نرم افزارهای مخرب در پیوست هایی هستند که برای نگاه کردن به اسناد قانونی طراحی شده اند و شامل لینک هایی هستند که منجر به وب سایت هایی می شوند که به نرم افزارهای مخرب خدمت می کنند. افتتاح یک ضمیمه ایمیل یا کلیک کردن بر روی یک لینک در یک ایمیل می تواند همه چیزهایی باشد که برای حساب یا دستگاه برای به خطر انداختن نیاز است.

ایمیل های فیشینگ نیز می تواند مورد استفاده برای فریب گیرندگان برای به اشتراک گذاشتن اطلاعات حساس، اغلب با قرار دادن به عنوان یک کسب و کار قانونی و یا مخاطبین مورد اعتماد. حملات فیشینگ علیه کسب و کار اغلب گروه هایی را اداره می کنند که مسئولیت رسیدگی به اطلاعات حساس شخصی یا مالی مانند حساب قابل پرداخت یا منابع انسانی را دارند. مهاجمین علاوه بر جعل هوشی به فروشندگان شناخته شده یا مدیران شرکت ها سعی دارند فوریتی در ایمیل های فیشینگ ایجاد کنند تا شانس موفقیت خود را افزایش دهند. ایمیل های فیشینگ که به منظور سرقت اطلاعات به طور معمول انجام می شود، از دریافت کنندگان برای تأیید اطلاعات ورود به سیستم، رمزهای عبور، شماره امنیت اجتماعی، شماره حساب بانکی و حتی اطلاعات کارت اعتباری درخواست خواهند کرد. برخی حتی به وب سایت های جعلی اشاره می کنند که دقیقا همانند یک فروشنده معتبر یا شریک تجاری هستند تا قربانیان را به ورود حساب یا اطلاعات مالی جلب کنند.

محافظت از بروز حمله پیشرو شما :
سازمان های امروز با یک چالش وحشتناک مواجه می شوند. ایمیل به طور همزمان مهمترین ابزار ارتباطات تجاری و بردار حمله پیشرو برای نقض امنیت است. در واقع، طبق گزارش سایبر امنیت سیسکو ۲۰۱۷، حمله کنندگان به عنوان بردار اولیه برای گسترش ransomware و دیگر نرم افزارهای مخرب به ایمیل مراجعه می کنند.

سیسکو ® امنیت ایمیل کاربران را قادر می سازد تا ارتباطی امن برقرارکنند . سیسکو ® امنیت ایمیل کمک می کند تا سازمان ها با ، ransomware، نرم افزارهای مخرب پیشرفته، فیشینگ، هرزنامه ها و از دست دادن اطلاعات با رویکرد چند لایه ای مبارزه کنند .

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Cisco ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

فواید

  • تیم تحقیق تهدید ما Talos با تشخیص دادن سریعتر تهدیدات با تهدیدات جدی تر مقابله می کند. Talos به طور خودکار هر پنج دقیقه یک بار اطلاعات به روز رسانی شده را ارسال میکند.
  • مبارزه با ransomware و نرم افزارهای مخرب پیشرفته که در فایل های مخفی از شناسایی با Advanced Malware Protection AMP و شبکه Talos سیسکو فرار می کنند.
  • شناسایی ایمیل هایی که دارای لینک های خطرناک یا دسترسی به سایت های تازه آلوده هستند به طور خودکار و با تجزیه و تحلیل URL در لحظه برای محافظت در برابر فیشینگ و BEC.
  • محافظت از محتوای حساس در ایمیل های خروجی با جلوگیری از دست دادن اطلاعات (DLP) و رمزگذاری ایمیل آسان برای استفاده، همه در یک راه حل.
  • حداکثر قابلیت انعطاف پذیری را با استفاده از استقرار ابری، مجازی، محل سکونت یا ترکیبی به دست آورید، یا به فاز به مرحله ابر بروید.

مزیت امنیت ایمیل سیسکو


Cisco Email Security  شامل قابلیت های حفاظتی پیشرفته تهدید است که با سریع تر تشخیص دادن، تهدید را کاهش می دهد. جلوگیری از دست رفتن اطلاعات؛ و اطمینان از اطلاعات مهم در حمل و نقل با رمزنگاری end-to-end از مزیت های آن است.

 Talos، یکی از بزرگترین تیمهای تشخیص تهدید در جهان، تهدیدات بیشتری را تهیه می کند و از طیف گسترده ای از منابع از جمله ۶۰۰ میلیارد پیام، ۱۶ میلیارد درخواست وب و ۱٫۵ میلیون نمونه بدافزار روزانه، گزارشی جامع را فراهم می آورد. Talos به طور همزمان هر سه تا پنج دقیقه اطلاعات را به روز رسانی و به راه حل های امنیتی سیسکو ایمیل تبدیل میکند .

با استفاده از Mailbox Auto-Remediation ، می توانید فایلهایی را که پس از بازرسی اولیه آلوده تشخیص داده می شوند را حذف کنید. مدیران می توانند سیسکو را پیکربندی کنند تا  پیام های حاوی پیوست های مخرب را forward ، حذف، یا به طور همزمان forward و حذف کنند که این باعث صرفه جویی در ساعات کاری میشود .

رمزگذاری ایمیل به صورت end-to-end
 Registered Envelope Service، یک راه حل مبتنی بر ابری انعطاف پذیر و مقیاس پذیر است که به سازمان ها کمک می کند تا از خواسته های مربوط به حفظ مالکیت معنوی بدون نیاز به سرمایه گذاری در سخت افزار اضافی بهرهمند شوند .

این سرویس همچنین پیچیدگی رمزنگاری و مدیریت کلید را از بین می برد، بنابراین کاربران می توانند پیام های بسیار امن و راحت را به راحتی به عنوان ایمیل های رمز گذاری نشده ارسال و دریافت کنند.

 

گزینه های استقرار
سیسکو امنیت ایمیل را می توان در فضای ابری مستقر یا در یک پیکربندی ترکیبی ایجاد کرد و سازمان ها می توانند به فضای ابری با حداکثر انعطاف پذیری مهاجرت می کنند .

راهنمای خریداری Cisco ایمیل:

 بردار حمله پیشرو برای حملات سایبری

مجرمان سایبری بیش از هر زمان دیگری با ارسال محتوی تهدید محوربرای معرفی نرم افزارهای مخرب به سیستم های شرکت ها، سرقت اطلاعات و اخاذی پول میپردازند . با در حال افزایش بودن سرویس های صندوق پستی مانند Office 365، حملات مخلوط می توانند یک سازمان را از بیش از یک طرف هدف قرار دهند.

اگر چه انواع مختلف حمله به تجارت الکترونیک ادامه دارد ، در حال حاضر سه دسته از حمله ها بیشترین نگرانی را ایجاد می کنند .

  • Ransomware نوع خاصی از نرم افزارهای مخرب که دسترسی یک شرکت هدف به داده های خود را مسدود می کند، ransomware باعث تلفات ۱ میلیارد دلار در سال ۲۰۱۶ شد (csoonline.com).
  • Business email compromise) BEC) یک ابزار واقعی برای مجرمان اینترنتی و یک تهدید حتی بزرگتر نسبت به ransomware است. BEC افراد را برای ارسال پول یا اطلاعات حساس متقاعد می کند. با توجه به مرکز شکایت اینترنتی IC3، ۵٫۳ میلیارد دلار به دلیل تقلب BEC از اکتبر ۲۰۱۳ تا دسامبر ۲۰۱۶ (ic3.gov) به سرقت رفته است.
  • فیشینگ همچنان به صورت یک روش حمله موثر با مهندسی اجتماعی هوشمندانه و هدفمند فیشینگ هدفدار که منتقل میشد کاربران به فعال کمپین های آنها و در نهایت به خطر انداختن کل سازمان. در سه ماهه دوم سال ۲۰۱۷، ۶۷ درصد از این بدافزارها از طریق حملات فیشینگ com تحویل داده شدند.

با Cisco Email Security، مجرمان سایبری نمی توانند در این سه حوزه فعالیت کنند:

  • بدنه ی ایمیل
  • پیوست ها
  • URLها در ایمیل

معیار خریدار برای امنیت ایمیل:

تحقیقات امنیتی سیسکو نشان می دهد که سازمان شما نیاز به یک راه حل ایمیل دارد که با پنج شاخص ضروری برای از لایه های کسب و کار شما حفاظت نیاز می کند.

  1. اطلاعات مؤثر، تجزیه و تحلیل و پاسخ در وضعیت امنیتی شما
  2. اصلاح سریع با دیدی از گذشته
  3. حفاظت در مقابل BEC
  4. حفاظت در برابر نشت اطلاعات در ایمیل های خارجی
  5. رمزگذاری اطلاعات حساس کسب و کار

اطلاعات موثر:

همانطور که حملات سایبری پیچیده تر شده است، بنابراین امنیت نیز علیه آنها اعمال شده است. مجرمان سایبری در حال حاضر طیف گسترده ای از تهدیدات را به چالش می کشد که روش های امنیتی سنتی را مورد انتقاد قرار می دهند. برای موثر بودن، راه حل امنیتی ایمیلی شما باید فراتر از ابزارهای محیط پایه باشد که ایمیل را در یک زمان واحد بررسی کنند.
علاوه بر پوشش اصول، باید لایه های مختلف امنیتی را در یک رویکرد کلی تر که به طور مداوم تهدیدات را تجزیه و تحلیل می کند و روندهای ترافیک را نظارت می کند، ادغام کند.

با استفاده از این روش، راه حل شما می تواند به سرعت به شاخص های تهدید بر اساس بهترین اطلاعات واکنش نشان می دهد. این به تیم امنیتی شما سطح بینایی عمیق و کنترل کامل میدهد تا زمان تشخیص حمله و محدوده ان را کاهش دهید و قبل از ایجاد آسیب،از بروز ان جلوگیری کنید.

چگونه سیسکو امنیت مؤثر را در میان بردارهای چندگانه ارائه می دهد؟

سیسکو چندین روش را برای ایجاد لایه های مختلف امنیتی مورد نیاز برای دفاع در برابر انواع حمله های مختلف اعمال می کند.

  • حفاظت در برابر فیشینگ هوشمند با سرعت کنترل محتوای ایمیل براساس مکان فرستنده.
  • موتور اسکنر Adaptive Context® CASE دارای نرخ جذب اسپم بیش از ۹۹ درصد را فراهم می کند و میزان مثبت کاذب صنعت کمتر از یک در یک میلیون است.
  • داده های تهدید خودکار تهیه شده از سیسکو Talos ™ تهدیدات را با افزایش سرعت، کاهش TTD و افشای حتی جدیدترین حملات zero-day را شناسایی می کند.
  • Advanced Malware Protection) AMP) ارائه دیدگاه جهانی و تجزیه و تحلیل مداوم در تمام اجزای معماری AMP برای نقاط نهایی و دستگاه های تلفن همراه و در ابر و شبکه برای شناسایی نرم افزارهای مخرب بر اساس آنچه که انجام می دهد، نه آنچه که به نظر می رسد
  • AMP همچنین حفاظت مداوم در برابر تهدیدات مبتنی بر URL را از طریق تجزیه و تحلیل real-time از لینک های مخرب فراهم می کند.

تشخیص سریع تر آسیب احتمالی را کاهش می دهد ! :

سیسکو  TTDمتوسط را از ۳۹ ساعت در ماه نوامبر ۲۰۱۵ کاهش داده است، زمانی که شرکت برای اولین بار ردیابی را آغاز کرد، تا حدود ۳٫۵ ساعت در دوره نوامبر ۲۰۱۶ تا مه ۲۰۱۷٫

Talos:

 Talos سیسکو از بیش از ۲۵۰ محقق تهدید کننده تمام وقت است که تهدیدات جدید و در حال ظهور را دنبال می کنند. اطلاعات از طیف گسترده ای از منابع، از جمله دیگر محصولات امنیتی سیسکو جمع آوری شده است، که پس از آن با مشتریان سیسکو برای حفاظت مؤثرتر به اشتراک گذاشته می شود. با مشاهده تهدید یک بار و مسدود کردن آن در همه جا،  Talos حفاظت در برابر حملات مخلوط در حال ظهور را شناسایی وآنها مسدود می کند.

Office 365:

AMP از امنیت خودکار پیشین استفاده می کند تا اقدامات خود را بر روی ایمیل های ورودی و خروجی آلوده برای مشتریان Office 365 انجام دهد تا سریعا و با کمترین تلاش برای مقابله با نقص ها اقدام کند. اگر یک پیوست ظاهرا خوب بعدا کشف شود که مخرب است، یک تماس API خودکار به Azure ساخته می شود و فایل ارسال یا حذف می شود.

اصلاح سریع با دیدی از گذشته

هنگامی که نرم افزارهای مخرب، حملات فیشینگ و یا یک URL مخرب از طریق ایمیل در مقابل خط خود استفاده می کنند، کسب و کار شما نیاز به نظارت و ارزیابی تهدید دائمی برای شناسایی مشکل، به سرعت درک تاثیر این رویداد، و سپس آن را به سرعت تا جایی که ممکن است.

چگونه سیسکو بهبود خودکار بعدی را ارائه می دهد
سیسکو به طور مداوم محیط امنیتی شما را برای فایل های مخرب یا URL هایی که ممکن است از مخرب یا با تغییر ناگهانی مخرب شوند را بررسی می کند.

  • فیلترهای پیشرفته بازرسی عمیق URL با قابلیت تجزیه و تحلیل در زمان کلیک این اکان را فراهم میکند تا حتی وب سایت هایی که از رفتار خوب به رفتار مخرب تغییر می کنند می توانند به سرعت مسدود شوند.
  • AMP به طور مداوم در حال نظارت و تجزیه و تحلیل به صورت real-time است و هوش مصنوعی تهدید سیسکو را برای شناسایی تهدیدات ناشناخته قبلی و یا تغییرات ناگهانی در یک فایل را بروز میکند.
  • AMP همچنین اقداماتی را برای به حداقل رساندن تجزیه و تحلیل و ارائه گزارش از جایی که نرم افزارهای مخرب ایجاد شده، سیستم هایی که تحت تاثیر قرار گرفته اند، و اقدامات بدافزار انجام می دهد. پس از تعیین اولویت بندی مجدد، AMP بر اساس این گزارش ، بر روی هر دو ایمیل ورودی و خروجی اقدام می کند.

 

حفاظت در مقابل BEC
Business email compromise) BEC) یک شکل از حمله است که در آن یک تبهکار سایبری خود را بجای یک مدیر اجرایی (اغلب مدیر عامل شرکت) جا میزند و تلاش میکند تا یک کارمند، مشتری، یا فروشنده را متقاعد کند تا انتقال وجوه و یا اطلاعات حساس را انجام دهد. حملات BEC به شدت متمرکز شده و از تکنیک های مهندسی اجتماعی استفاده میکنند ، اخبار شرکت ها را مطالعه می کنند و کارکنان تحقیقاتی در رسانه های اجتماعی را دنبال میکنند تا اطمینان ایجاد کنند و کابر را مشتاق انجام این کار کنند. از آنجا که آنها از نرم افزارهای مخرب یا URL های مخرب برای تهدید سازمان استفاده نمی کنند، حملات BEC می تواند برای شناسایی بسیار دشوار باشد.

 

حفاظت در سراسر بردارهای متعدد حمله
پیشرفته حفاظت از نرم افزارهای مخرب (AMP)، علاوه بر روش تشخیص سنتی در  point-in-time ، تجزیه و تحلیل مستمر و امنیت گذشته را در سراسر محیط امنیتی شما فراهم می کند.

چگونه امنیت سیسکو علیه BEC
سیسکو از یک رویکرد چند لایه برای BEC استفاده می کند که ترافیک ایمیل و وب را در سراسر جهان با استفاده از فیلترهای اعتبار وب پیشرفته و فن آوری های اعتبار سنجی پیشرفته ایمیل برای شناسایی تلاش های فیشینگ استفاده می کند.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Cisco ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

حفاظت در برابر نشت اطلاعات در ایمیل های خارجی:

راه حل های ایمیلی باید خطاهای ایمیل های خروجی را شناسایی، مسدود سازی و مدیریت کند. این شامل محافظت در مقابل محتوای مخرب ارسال شده به مشتریان و شرکای تجاری و جلوگیری از دسترسی به اطلاعات حساس خارج شده از شبکه که به صورت تصادفی یا طراحی شده ارسال شده اند است .

چگونه سیسکو محافظت در برابر نشت اطلاعات و خطر تهدیدات خروجی را انجام میدهد ؟

  • AMP لایه هایی امنیتی برای ایمیل های خروجی فراهم می کند، از جمله نظارت رفتاری برای تشخیص حساب های آسیب دیده، محدود کردن سرعت برای ترافیک خروجی و اسکن ضد اسپم و آنتی ویروس – که می تواند ماشین ها و یا حساب های شرکت شما را از طریق گرفتن در لیست سیاه لیست ایمیل ها به خطر بیافتد.
  • تکنولوژی DLP سیسکو دانش محتوا، زمینه و مقصد را برای جلوگیری از از دست دادن داده های تصادفی یا مخرب فراهم می کند، انطباق را انجام می دهد و از نام تجاری و شهرت شرکت محافظت می کند. شما کنترل می کنید که چه اطلاعاتی را در کجا و چگونه می تواند ارسال کند.
  • بیش از ۱۰۰ خط مشی از پیش تعریف شده تا به جلوگیری از از دست دادن اطلاعات و پشتیبانی از استانداردهای امنیتی و حفظ حریم خصوصی برای دولت، بخش خصوصی و مقررات ویژه شرکت ها کمک کند. برای مثال، فیلترهایی مانند “HIPAA”، “GLBA” یا “DSS” اسکن خودکار و رمزگذاری را طبق سیاست برای جلوگیری از از دست دادن اطلاعات فعال می کنند. گزینه های بهبود شامل اضافه کردن زیرساخت ها و سلب مسئولیت ها، اضافه کردن (BCC)، اطلاع رسانی، قرنطینه کردن، رمزگذاری و غیره است.
  • علاوه بر این، گواهی های دیجیتال حمل و نقل لایه (TLS) حفاظت از ارتباطات را با تأیید هویت کاربر و همچنین شبکه برای حفظ حریم خصوصی و یکپارچگی داده ها بین فرستنده و گیرنده فراهم می کند.

سیاست های از پیش تعیین شده برای انطباق

امنیت ایمیل سیسکو به سازمانها کمک می کند تا با این استانداردهای حریم خصوصی و امنیتی مطابقت داشته باشند:

  • Payment Card Industry Data Security Standard) PCI DSS)
  • Health Insurance Portability and Accountability Act) HIPAA)
  • Sarbanes-Oxley Act (SOX)Gramm-Leach-Bliley Act) GLBA)
  • State and European privacy directives and regulations

 

اطلاعات تجاری حساس را رمزگذاری کنید:

شرکتها باید با تکیه برارتباطات امن به انجام فعالیت های کسب و کار خود بپردازند. رمزگذاری یکی از لایه های امنیتی بحرانی برای محافظت از داده هایی است که شبکه شما را ترک می کند. رمزگذاری می تواند اطلاعات حساس مانند اطلاعات مالی و شخصی، اطلاعات رقیب و مالکیت معنوی را از قرار گرفتن در معرض عموم حفظ کند.

چگونه سیسکو رمزگذاری داده ها را انجام میدهد؟

سیسکو از پیشرفته ترین سرویس رمزنگاری در دسترس برای مدیریت گیرنده ایمیل، احراز هویت، و کلیدهای رمزنگاری برای هر پیام / هر گیرنده استفاده می کند.

  • پشتیبانی از TLS کمک می کند تا بهترین روش تحویل را ارائه دهد.
  • داشبورد گزارش دهی قابل تنظیم، دسترسی سریع به اطلاعات مربوط به ترافیک ایمیل رمزگذاری شده، از جمله روش تحویل و فرستنده ها و گیرنده ها را فراهم می کند.

 

پیشنهادات راه حل امنیتی ایمیل سیسکو

راه حل امنیت ایمیل سیسکو، لایه های دسترسی در دسترس را برای محافظت از ایمیل در برابر تهدیدات پویا و سریع که امروزه بر سازمان تاثیر می گذارد، ارائه می دهد. رویکرد منحصر به فرد ما، محافظت، اغلب ساعت ها یا روزهای پیش از رقابت بر اساس اطلاعات از Talos، بزرگترین سازمان تحقیقات امنیتی صنعت است.

 

SPLUNK چیست؟

اسپلانک

SPLUNK چیست؟

Splunk یک SIEM است که بصورت پلتفرمی قدرتمند بمنظور جمع ­آوری لاگ‌ها، جستجو، مشاهده، آنالیز و تحلیل داده‌ها در سازمانها نصب می­شود و فعالیت می­کند. کشف اطلاعات از طریق پردازش هزاران داده از بررسی لاگ­ها انجام می­شود. به بیانی دیگر Splunk داده‌های خام را جمع ­آوری و  فهرست بندی می‌کند و به شما این امکان را می­دهد که بتوانید بر روی تمام داده‌ها عملیات جستجو را انجام دهید و نتایج را به هر صورت قابل دلخواه مشاهده کنید.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای SPLUNK را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

ضمناً توسط Splunk می­توان از تمامی داده‌های جمع­ آوری شده به بهترین نحو استفاده و بهره­ برداری کرد همچنین این امکان نیز فراهم می‌شود تا با ایجاد سطحی از هوش عملیاتی، سازمان را در سطح بالاتری از عملکرد، رقابت، سودآوری و امنیت قرار دهد تا بتواند به نوعی تمامی داده­ها را مشاهده نماید.

Splunk Enterprise و قابلیت های آن

این نرم افزار مانند Google برای LogFile های تولیدی در یک شبکه از تجهیزات رایانه­ای و الکترونیکی است که به نوع و فرمت Log ها وابستگی ندارد و فقط متنی بودن Log ها کافی است تا بتوان آنها را به Splunk Enterprise  وارد کرد.

مثالهای مختلفی از منابع تولید این لاگ­ها در ادامه آورده شده است:

  • لاگهای ایجاد شده توسط تجهیزات امنیتی از قبیل IPS, Firewall, Anti-Virus
  • لاگهای ایجاد شده توسط تجیزات زیرساخت از قبیل Switch, Router, Modem
  • لاگهای ایجاد شده توسط نرم­ افزارهای داخلی از قبیل بانکداری، اتوماسیون، مالی، انبار
  • لاگهای ایجاد شده توسط سرویس­ های داخلی ار قبیل AD, DNS, IIS, Apache, DHCP
  • لاگهای ایجاد شده توسط سیستم عامل های مختلف از قبیل Windows, Linux, MacOS
  • لاگهای ایجاد شده توسط تجهیزات هوشمند و همراه از قبیل گوشی و تبلت
  • لاگهای ایجاد شده توسط تجهیزات الکترونیکی از قبیل دربهای برقی، آسانسور، حسگرها، کنترل تردد

Splunk Enterprise  تمام لاگهای تولید شده را یکجا دخیره و دسته بندی می­کند و امکان ارتباط بین تغییرات و رخدادهای گوناگون در بخشهای مختلف را می­دهد و می­توان به ایجاد اصلاحات اقدام نماییم.

همچنین از Splunk Enterprise به عنوان یک نرم افزار مانیتورینگ ۳۶۰ می­توان استفاده کرد بدون نیاز به افزودن SNMP یا موارد دیگری که سایر محصولات مشابه نیاز دارند.

ضرورت استفاده از SPLUNK به عنوان  SIEM

بدون بررسی و تحلیل لاگ‌های ثبت شده، امکان تشخیص وقوع حمله وجود ندارد. لاگ‌ها تنها راه برای تشخیص هویت مهاجمین می­باشند. حتی در صورت اطلاع سازمان از وقوع حمله، بدون داشتن لاگ‌هایی جامع و دست‌کاری نشده توسط مهاجمین، سازمان نسبت به جزییات حمله هیچ دیدی نخواهد داشت.

امروزه با بهرگیری از یک سامانه متمرکز به منظور دریافت، جمع ­آوری و ساختار دادن به این وقایع، میتواند کمک بسیاری زیادی در تحلیل سریع و برقراری ارتباط‌های منطقی بین این وقایع گزارش شده نماید.

قابلیت های SPLUNK

  • سرعت بالا در پردازش داده‌ها
  • سطح بالای سازگاری با داده‌های مختلف
  • امکان انواع روش­های جستجو (جستجوهای منطقی، امکان جستجوی رشته­ای، استفاده از wildcard در پارامترهای جستجو، جستجوی بلادرنگ، جستجو در بازه زمانی و …) و نمایش نتایج جستجو به صورت گزارش، نمودار و داشبوردهای متنوع
  • استخراج هوشمندانه فیلدها و بازیابی سریع داده­ها، امکان شناسایی فیلدها
  • پایش و اخطار و زمانبندی ارائه این هشدارها و مدیریت نمایش هشدارها (ارسال رایانامه، اجرای Script و یا نمایش اخطار و ….)
  • گزارش­های متنوع (در قالب‌های مختلف و نمودارهای متنوع) و امکان نمایش در داشبوردهای کاربری
  • مقیاس پذیری (امکان استفاده از Splunk در سطح سازمان‌ها و شرکت‌های کوچک و متوسط تا سازمان‌های بزرگ از قابلیت‌های آن است.)
  • لایسنس و فعال سازی اسپلانک(Splunk License)
    • وجود نسخه تریال دوماهه و رایگان که از وبسایت شرکت اسپلانک قابل دانلود و نصب می باشد. هیچ یک از محصولات رقیب از جمله HP ArcSight و IBM Qradar  دارای چنین امکانی نیست.
    • لایسنس اسپلانک میزان حجم لاگهای ورودی در ۲۴ ساعت را مد نظر قرار می­دهد. تا محدودیتی برای ارسال لاگهای تجهیزات خود را به سرویس SIEM نداشته باشند.( لایسنس سایر محصولات معمولاً بر اساس تعداد لاگ تولید شده درثانیه (EPS) می باشد)
  • هزینه خرید به مراتب پایین تر نسبت سایر رقبا
  • دارای سیستم امنیت مبتنی بر تجزیه و تحلیل هوشمند
  • انطباق سریع داده ها با تغییرات در تهدیدات و رویارویی با تهدیدات پیشرفته
  • شناسایی سریع تهدیدات در کسری از ثانیه
  • تجزیه و تحلیل تهدیدات و پاسخ به تهدایدات
  • قدرت‌بخشی به SOC با پلتفرم هوش امنیتی سریع و انعطاف‌پذیر
  • شناسایی، بررسی و گزارش آنی در موارد کلاهبرداری و سوء ‌استفاده
  • افزایش اثربخشی فرآیندها و پرسنل SOC
  • قابلیت پیاده‌سازی به صورت Cloud، On-Premise و ترکیبی از این دو حالت
  • قابلیت مقیاس‌پذیری و چابکی

روش­های ورود اطلاعات به Splunk

روش‌های مختلفی برای ورود اطلاعات وجود دارد که به شرح زیر معرفی می­گردند:

  • بارگذاری فایل‌ها درفرمت‌های ساخت یافته‌ای مانند CSV و فایل‌های ثبت وقایع محلی.
  • دریافت خودکار داده‌ها از مسیری مشخص، Syslog ، Script ، WMI و …
  • دریافت داده از ارسال کننده Splunk

 

شاخص بندی داده ها در Splunk

همچنین با توجه به هوشمندی Splunk، امکان شاخص‌بندی داده‌های متعارف شامل موارد زیر قابل انجام می‌باشد:

  • داده­های ساخت یافته، مانند CSV , JSON, XML
  • فایل‌های رویداد و ثبت وقایع محصولات مایکروسافت مانندActive Directory، Exchange …
  • رویدادهای قابل ارسال از طریق Syslog (جمع­آوری رویدادها از تجهیزاتی مانند سوئیچ‌های سیسکو)
  • رویدادهای ایجاد شده توسط سرویس دهنده‌های وب مانند Apache و IIS
  • سرویس دهنده‌های بانکهای اطلاعاتی، Oracle, MS SQL Server, My SQL

 

Enterprise Security

شرکت اسپلانک علاوه بر افزونه­های رایگان متعدد، تعداد محدودی افرونه غیر رایگان نیز ارائه       می­دهد که مشتریان بنا به نیاز خود با پرداخت مبالغ مشخص می­توانند این افرونه­ها را به صورت مدت­دار یا نامحدود استفاده نمایند، یکی از این افزونه­های یاد شده    Enterprise Security می­باشد.

 

توانایی­های Enterprise Security در یک نگاه

  • امکان تجمیع، تحلیل و گزارش­ها از لاگ­های ایجاد شده
  • امکان تشخیص و اقدام لازم برای تیم­های امنیتی در زمان به حملات شناخته شده و حتی شناخته نشده داخلی و خارجی
  • قابلیت همخوانی با تمامی تجهیزات امنیتی
  • مانیتورینگ لحظه­ای و دوره­ای وضعیت امنیتی شبکه و رخدادهای امنیتی بر اساس  الویت­های دلخواه
  • اولیت­بندی رخداد­ها و تعریف عکس العمل­های متناسب با هر رخداد
  • تعریف Search های دلخواه روی لاگ­های موجود به منظور یافتن رفتارهای غیر عادی در شبکه
  • تعریف آنالیزهای پویا و به روز به منظور یافتن فعالیت­های مخرب در شبکه به صورت خودکار

 

بیگ دیتا (Big Data)

بیگ دیتا از نظر لغوی به‌معنای «داده بزرگ» است و اصطلاحی رایج است که رشد و در دسترس بودن داده، چه ساختارمند و چه غیرساختارمند، را توصیف می­­کند. با تجزیه و تحلیل آن می‌توان، «الگوهای پنهان» و «همبستگی‌های ناشناخته» و سایر اطلاعات مفید را استخراج کرد. در بیگ دیتا عموماً با داده‌هایی سر و کار داریم که حجم آنها بیشتر از ظرفیت نرم‌افزارهای عادی است  بنابراین در این پروسه، حجم عظیمی از اطلاعات تفکیک نشده و ساختار نیافته در اختیار قرار می­گیرد که ساختار بندی و کشف الگوها، کاری دشوار محسوب می‌شود.

دلایل اهمیت بیگ دیتا (Big Data)

  • تعیین علت­ های اصلی شکست­ ها، مسائل و نقوص در لحظه و صرفه­ جویی میلیاردها دلار
  • بهینه سازی مسیر وسیله ­­های حمل بسته­­ های تحویلی که هنوز در جاده هستند
  • محاسبه مجدد ریسک­ ها در مدت زمان کوتاه
  • شناسایی سریع مشتریان دارای بالاترین درجه از اهمیت

 

 

Splunk  و ارتقا  SIEM

نرم افزار Splunk از قابلیت ­های عملکردی SIEM نیز فراتر رفته است و امکانات و توانایی ­هایی افزون بر SIEM دارد که در ادامه به آنها اشاره خواهد شد:

  • Splunk دارای پلتفرم هوش امنیتی کاملاً یکپارچه و مبتنی بر Big Data نسبت به SIEM است.
  • Splunk قابلیت تجزیه و تحلیل هوشمند حجم انبوهی از داده‌ های نرمال و قابل اطمینان نسبت به SIEM دارد.
    • ارزیابی وضعیت امنیت، مانیتورینگ، کنترل رویداد و هشدار
    • تحلیل و بررسی نقض داده‌ها
    • پاسخ‌گویی به تهدیدات پیشرو
    • همبستگی‌های بین رویدادها
    • جستجوهای زمینه‌ای
    • تحلیل و شناسایی سریع تهدیدات پیشرفته
    • ساده‌سازی روند مدیریت تهدیدات
    • کاهش ریسک‌ها و حفظ امنیت کسب‌ و‌کار

 

راهکارهای مختلف نرم‌افزار Splunk در تکمیل پیاده‌سازی‌های فعلی SIEM

راهکارهای پیاده­سازی سناریو ۱ سناریو ۲ سناریو ۳
یکپارچه­سازی Splunk Feeds SIEM SIEM Feeds Splunk
Logging Splunk & SIEM Splunk SIEM
بررسی Forensics Splunk Splunk Splunk
همبستگی / اعلام هشدار/گزارش گیری SIEM SIEM Splunk
انطباق SIEM Splunk Splunk
سایر نکات منابع داده مختلف برای Splunk و SIEM Splunk صرفاً زیر مجموعه های داده های خام را به SIEM ارسال می­نماید. در ابتدا کانکتورهای SIEM روی تعداد زیادی Host قرار دارند که جایگزینی آن را مشکل می­کند.

 

کاربرد Splunk با اهداف مختلف در راه‌اندازی  SIEM

  1. دستیابی به SIEM در سطح پایه با Splunk Enterprise و Splunk Cloud
  2. دستیابی به SIEM پیشرفته با Splunk Enterprise Security
  3. وجود بیش از ۳۰۰ برنامه امنیتی ، افزونه و امکانات دیگر در Splunk با قابلیت­هایی نظیر جستجوهای ازپیش‌تعریف‌شده، گزارش‌گیری و تصویرسازی، مانیتور کردن امنیت، فایروال‌های نسل بعدی (Next-Generation Firewall) ، مدیریت تهدیدات پیشرفته و ….
  4. شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای SPLUNK را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

 

معرفی Splunk ES

Splunk Enterprise Security یا به اختصار  Splunk ES می‌تواند به عنوان یک راهکار امنیتی مطلوب به صورت On-Premise ،Public Cloud ،Private Cloud ،SaaS  یا هر ترکیبی از آنها باشد. همچنین این تکنولوژی را می‌توان به صورت نرم‌افزار همراه با Splunk Enterprise  یا به عنوان سرویس Cloud همراه با Splunk Cloud استفاده نمود. در ادامه توانایی­های Splunk ES به اختصار ذکر می گردد:

  • مانیتورینگ مستمر در جهت واکنش نسبت به رویدادها
  • ایجاد یک مرکز عملیات امنیت (SOC)
  • شناسایی سریع حملات داخلی و خارجی و واکنش مقتضی
  • تسهیل مدیریت تهدید
  • کاهش ریسک و افزایش محافظت از کسب‌ و کار
  • امکان استفاده از تمام داده­ها برای تیم امنیتی در تمام سطوح سازمان
  • ارائه قابلیت‌های جدید برای مدیریت Alertها، قدرت کشف و شناسایی پویا، جستجوهای زمینه‌ای و همچنین شناسایی و تحلیل سریع تهدیدهای پیشرفته
  • ارائه انعطاف‌پذیری در سفارشی‌سازی در جهت بهبود عملکردهایی شامل جستجوها، هشدارها، گزارشات و داشبوردها مطابق با نیازهای خاص؛ برای انجام مانیتورینگ مستمر، پاسخ‌گویی به رویدادها، مرکز عملیات امنیتی (SOC)
  • ایجادامنیت مبتنی بر تجزیه و تحلیل و مانیتورینگ مستمر برای تهدیدها
  • بهینه‌سازی عملیات‌های امنیتیبا زمان پاسخ‌گویی کوتاه‌تر
  • بهبود وضعیت امنیتبا ایجاد دید End-to-End نسبت به تمامی اطلاعات دستگاه‌ها
  • افزایش قابلیت‌های بررسی و شناسایی با هدف شناسایی ناهنجاری­ها و تهدیدها
  • اتخاذ تصمیمات آگاهانه‌تر نسبت به تهدیدات

نتیجه گیری

با توجه به مطالبی که ذکر شد، SIEM  یک فن­آوری جدیدی است که برای امنیت سازمان­ها به­ کار می­رود تا بتوان به­وسیله آن از حملات هکرها و بدافزارهای مخرب جلوگیری کرد. هدف اصلی SIEM متمرکز کردنLog  ها، گزارشگیری  و مدیریت آنها می­باشد. امروزه شرکت­های بسیاری این محصول را در معماری­های مختلف ارائه می­دهند که یکی از برترین این شرکت ها در زمینه SIEM شرکت SPLUNK  است.

آشنایی با سرویس امنیت ایمیل سیسکو Cisco Email Security

Cisco Email Security Advanced Email Protection

بررسی اجمالی محصول

امروزه بسیاری از مشتریان از ایمیل برای ارتباطات تجاری خود استفاده می کنند که با توجه به احتمال حملات از این طریق به عنوان یک چالش امنیتی مطرح است. راهکارهای امنیت ایمیل سیسکو نه تنها تامین کننده امنیت ایمیل های سازمان ها بلکه رویکردی چندلایه جهت مقابله با  business email compromise) BEC)، باج افزارها، بدافزارها، phishing، spam و جلوگیری از میان رفتن اطلاعات است.

قابلیت های منحصربفرد راهکارهای امنیت ایمیل سیسکو

راهکارهای امنیت ایمیل سیسکو شامل شناسایی، بلوکه سازی تهدیدات و بازسازی سیستم  ها، انتقال امن اطلاعات حیاتی از طریق رمزگذاری end-to-end آنها است. با استفاده از این راهکارها مشتریان قابلیتی های ذیل را در اختیار خواهند داشت:

    • شناسایی و بلوکه سازی بیشتر تهدیدات از طریق سیستم هوشمند Talos
    • شناسایی و مقابله با باج­ افزارهای موجود در پیوست ایمیل­ها از طریق سیسکو AMP و Cisco Threat Grid
    • بلوکه سازی ایمیل­های حاوی لینک­های مخرب و یا محدودسازی دسترسی به سایتهای آلوده از طریق تحلیل بهنگام URL در مقابله با تهدیدهای phishing و BEC
    • محافظت از اطلاعات حیاتی در ایمیلهای ارسالی شرکتها از طریق DLP و رمزگذاری آنها
    • دستیابی به حداکثر قابلیت انعطاف­پذیری در توسعه از طریق ابر، مجازی­سازی، ترکیبی از هردو روش و یا انتقال به cloud in phases امکان­پذیر خواهد بود.
شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Cisco Email Security را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

قابلیت­ها

امروزه تهدیدهای امنیتی حوزه ایمیل شامل باج افزارها، بدافزارهای پیشرفته، BEC، Phishing و Spam است. فناوری مقابله با تهدیدات ایمیل، شرکتها را در دریافت ایمیلهای موجه یاری می کند. سیسکو از یک شیوه چند لایه  شامل اقدامات پیشگیرانه و تقویت  سیستم دفاعی جهت ایجاد حداکثر قابلیت امنیتی بهره می گیرد. جدول ۱ قابلیت های راهکارهای دفاع در مقابل تهدیدات ایمیل سیسکو را ارایه می دهد.

جدول شماره ۱: قابليت­هاي اصلي

قابلیت شرح
سیستم هوشمند مقابله با تهدیدات سیسکو امكان دريافت حفاظت جامع و سریع از ایمیل­ها از طریق بهره ­گیری از بزرگ­ترین شبکه­ های تهدیدات شناسایی شده در جهان، Talos ، را فراهم کرده است که شامل:

 – ۶۰۰ میلیارد ایمیل در روز

 – ۱۶ میلیارد صفحه وب در روز

 – ۱٫۵ میلیون نمونه از بدافزارها

سیسکو تالوس ترافیک ارتباطات جهانی را به صورت ۲۴ ساعته بررسی كرده و به تحلیل کلیه ترافیک­های غیرمعمول، پایش رفتار آن­ها و شناسایی تهدیدات جدید می­پردازد. همچنین از طریق تولید مداوم قوانیني که ابزارهای امنیتی را به روزرسانی می­کنند به مقابله با حمله ­های zero-hour می­پردازد. ازآنجا كه به­ روز رسانی­ها در هر ۳ تا ۵ دقیقه صورت می­گیرد، به سريع­ترین سیستم دفاعی در صنعت تبدیل شده است.

فیلترینگ بر مبنای اعتبار ایمیل ها ایمیلهای ناخواسته براساس فیلترهای اعتبارسنجی ایمیل، که از اطلاعات به دست آمده  از Talos کار می کند، مسدود می شوند.صحت هریک از هایپرلینکها بررسی و منابع آنها تایید صلاحیت می­شوند. وبسایتهای حاوی اعتبارات ناشناخته به صورت خودکار بلوکه می شوند. فیلترهای اعتبارسنجی نود درصد Spam را قبل از ورود به شبکه ها مسدود کرده بنابراین راهکارهای مقابله با تهدیدات ایمیل تنها ملزم به بررسی ده درصد باقی­مانده ایمیلها جهت بررسی هرزنامه ها است.
حفاظت در مقابل Spam Spam مشکل پیچیده است که نیاز به راهکارهای پیشرفته به منظور حل و رفع آن است، سیسکو در این زمینه راهکارهای مناسبی پیشنهاد داده است. به منظور جلوگیری از ورود Spam به Inbox، راهکار چند لایه ترکیبی وجود دارد که تا ۹۹ درصد از Spam را مسدود می کند که میزان صحت آن در حد یک در میلیون است.قابلیت Antispam سیسکو از سیسکو Context Adaptive Scanning Engine) CASE) .بهره می گیرد. CASE محتوای ایمیل، نوع ساخت پیام، ارسال کننده پیام و دریافت کننده، جهت بررسی صحت پیام بررسی می­کند و از طریق ترکیب این عناصر درصد بالایی از تهدیدات ایمیل ها را شناسایی و مسدود می کند.
شناسایی ایمیل های ساختگی شناسایی ایمیل های جعلی در حفاظت از شبکه در مقابل spoofing attack (حمله ای است که نرم افزار مخرب از جعل هویت یک فرد و یا نرم افزار دیگر برای نفوذ به سیستم استفاده می کند.) که بر مدیران و که همان اهداف ارزشمند شناخته می شوند متمرکز است. این قابلیت بلوکه سازی این حملات را توسط  فیلترهای محتوای اختصاصی کنترل می کند و گزارش تمام اقدامات صورت گرفته را فراهم می کند.
مقابله با ویروس­ها مقابله با ویروسها از طریق اسکن ویروسها در دروازه­های ورودی صورت می­گیرد که سیسکو یک راهکار چندلایه که قابلیت پشتیبانی از محصولات ارایه شده شرکتهای مختلف را دارد.
Graymail detection and safe unsubscribe Graymail شامل بازاریابی، شبکه ­های اجتماعی و پیام­های انبوه است. قابلیت­های شناسایی Graymail شرکت­ها را در دسته­ بندی و نظارت دقیق ورود آن­ها و اقدام مناسب در خصوص آن­ها یاری می­دهد. Graymail اغلب شامل یک لینک unsubscribe است که کاربران از طریق آن به فرستنده اجازه ارسال این ایمیل­ها را می­دهند، باتوجه به اینکه اغلب مکانیزم­های phishing از تکنیک­های unsubscribe تقلید می­کنند کاربران باید در استفاده از چنین لینک­هایی احتیاط لازم را داشته باشند.

راهکار safe unsubscribe عملکردی به شکل زیر خواهد داشت:

  – حفاظت در برابر تهدیدات مخربی به شکل unsubscribe

– یک واسط مناسب برای مدیریت تمامی اشتراک­ها

 – ارائه دید بهتر برای کاربران و مدیران در ارتباط با چنین ایمیل­هایی

Cisco Advanced Malware Protection and Cisco Threat Grid ابزارهای امنیت ایمیل سیسکو شامل AMP است، که امکان اعتبارسنجی، بلوکه ­سازی، تحلیل ایستا و پویای فایل­ها Sandboxing (زمانی که بدافزاری شناسایی می شود، سیسکو AMP فایل ها مشکوک را در یک Sandbox به منظور بررسی رفتار بدافزار از طریق Machine-Learning  و تعیین سطح تهدیدات آن قرار می دهد) و بازبینی فایل­ها برای تحلیل پیوسته تهدیدات حتی پس از ورود از gateway ایمیل، را فراهم می­آورد. کاربران قابلیت بلوکه­سازی حمله ­ها، ردیابی فایل­های مشکوک، کاهش دامنه شیوع حمله ­ها و کنترل سریع آن­ها را خواهد داشت. AMP به صورت یک لایسنس اضافی در تمامی ابزارهای امنیت ایمیل در دسترس خواهد بود. سیسکو AMP Threat Grid با به کارگیری تجهیزات داخلی سازمان­هایی که امکان سازگاری و اعمال سیاست­گذاری­های امنیتی را دارند نمونه­ هایی از تهدیدات جهت ارائه به ابر و شناسایی و محدودسازی آن­ها فراهم می­کند.

سیستم AMP به سادگی امکان استقرار توسط لایسنس ابر خصوصی AMP را دارد، این مساله به ویژه در خصوص مشتریانی که به دلیل الزامات خاص سازمانی امکان استفاده از ابر عمومی AMP را ندارند، اهمیت پیدا می­کند؛ و به آن­ها امکان بهره­برداری از update ابر عمومی AMP را می­دهد. به عنوان مثال، AMP با استفاده از قابلیت retrospective security به اصلاح خودکار نقص­های Office 365 در کمترین زمان ممکن پرداخته است؛ کاربران با قرار دادن وضعیت امنیت ایمیل خود در وضعیت خودکار به سادگی از حفاظت در مقابل ایمیل­های آلوده بهره­مند خواهند شد.

Outbreak filters Outbreak filters حفاظت در مقابل تهدیدات جدید و حمله­ های ترکیبی را بر عهده دارند، در ضمن قابلیت اعمال قوانین با هر ترکیبی از پارامترهای نوع فایل، نام فایل، اندازه فایل و URL موجود در یک پیغام، را دارند. همچنانکه اطلاعات دریافتی تالوس با شیوع حمله ­ها افزایش پیدا می­کند، امکان تغییر قوانین و انتشار پیغام­ها در ارتباط با نحوه قرنطینه آن­ها را به دست می­آورد. همچنین Outbreak filters امکان بازنویسی لینک­های URL موجود در  پیام­های مشکوک و هدایت گیرنده به Cisco Web Security proxy را دارند. سپس محتوای وب­سایت بررسی و در صورت وجود هرگونه نرم­ افزار مخرب outbreak filters آن را مسدود و یک صفحه مبنی بر بلوکه­ سازی آن نمایش می­دهد.
Web interaction
tracking
راهکار یکپارچه امنیت ایمیل مدیران شبکه را در ردیابی URL که توسط ESA بازنویسی شده و کاربران بر روی آن کلیک کرده اند، یاری می کند. گزارشات شامل موارد زیر است:

– کاربرانی که بیش از همه بر URL های مخرب کلیک کرده اند.

– URL های مخربی که بیش از همه توسط کاربران استفاده شده اند.

– تاریخ، زمان، علت بازنویسی URL و عملکرد URL مخرب

همچنین مدیر شبکه امکان ردیابی تمام پیغام های حاوی URL مشخص شده را دارد.

تامین امنیت اطلاعات حیاتی موجود در محتوای ایمیل­های ارسالی شرکت سیسکو به منظور تامین امنیت ایمیلها دو شیوه موثر DLP و رمزنگاری ایمیلها را ارایه می­دهد.این راهکار با توجه به مدیریت متمرکز و تهیه گزارش های مورد نیاز موجب تسهیل حفاظت از اطلاعات می­شود.

DLP

حفاظت از پیام های خروجی از طریق DLP صورت می­گیرد، که با کلیه مقررات کشورهای سراسر جهان مطابقت داشته و مانع از خروج اطلاعات حیاتی سازمانها می­شود.  سیاست گذاری­های امنیتی بر مبنای مرجعی که تامین کننده قوانین کشورها، بخش خصوصی و مقررات سازمان ها است، انتخاب می­شود. راهکار امنیت ایمیل سیسکو دربردارنده سیاست­گذاری­های کنترل محتوای پیام­های خروجی و DLP است. به منظور بهبود و بازیابی از روش­های رمزنگاری، افزودن BCCs و footers and disclaimers، اطلاع رسانی و قرنطیه بهره میگیرند. به منظور تامین امنیت شرکتهایی که نیازهای امنیتی بالاتری دارند از قالب­های سفارشی از مجموعه این سیاست­ گذاری­ها استفاده می­شود.

رمزنگاری

کنترل محتوای پیام، حتی پس از ارسال آن نیز صورت می­گیرد. از طریق رمزنگاری، ارسال­ کننده پیام قادر به قفل محتوای پیام در هرلحظه ه­ای هستند و دیگر در ارتباط با خطاهای صورت گرفته در آدرس گیرنده، محتوا و ارسال اطلاعات حساس نگرانی وجود نخواهد داشت. فرستنده یک پیام رمزنگاری­ شده در ارتباط با دریافت ایمیل توسط گیرنده دریافت خواهد کرد، دریافت­ کننده پیام هنگام ارسال پاسخ نیز قادر به رمزنگاری است که به منظور حفظ حریم شخصی این رمزنگاری در زمان پاسخ از سمت گیرنده صورت می­گیرد، و نیاز به هیچ زیرساخت برای انجام این عمل نیست. به منظور امنیت بیشتر محتوای پیام به صورت مستقیم به گیرنده ارسال می­شود و تنها کلید رمزنگاری در ابر ذخیره می شود.

این راهکار بدون ایجاد بار کاری برای مدیران ایمیل­ها، فرستنده و گیرنده، تضمین کننده استانداردهای امنیت داده PCI DSS، HIPAA، GLBA، SOX، مقررات حفظ حریم شخصی و دستورالعمل­های اتحادیه اروپا است. موارد مطرح شده در ارتباط با رمزنگاری فقط با عنوان یک سرویس قابل ارایه است و هیچ الزامی در این ارتباط وجود ندارد. علاوه بر Cisco Registered Envelope ما با همکاری ZixCorp سرویس رمزنگاری داخلی ZixGateway با تکنولوژی سیسکو ارایه شده است که موجب یکپارچگی سرویس امنیت ایمیل سیسکو که به طور خودکار حفاظت اطلاعت حساس ایمیل­ها را برعهده دارد.

قابلیتهای مدیریتی پشتیبانی از ابزارها در سطح جهانی

اطمینان از اینکه همه کاربران بدون توجه به ابزار ارتباطی آنها، گوشی­های هوشمند، تبلت، لپ­تاپ و کامپیوترها، به اطلاعات مور نیازشان دسترسی دارند.پشتیبانی از محصولات در سطح جهانی تضمین کننده دسترسی امن همه کاربران بدون توجه به ابزار ارتباطی آنها و خوانا بودن پیام­ها برای تمامی آن ­هاست. plug-in اختصاصی برنامه­ ها را برای کاربران Microsoft Outlook، Apple iOS و Google Android ارایه می دهند.

نمای کلی داشبورد سیستمی

پایش مرکزی و ارایه گزارش از پیام­های خروجی توسط داشبورد سیستمی سفارشی صورت میگیرد. ارایه گزارش­های جامع از کسب­ و­کار دید کاملی نسبت به سازمان ارایه می­دهد که امکان دریافت جزییات هر گزارش نیز وجود دارد.

ردیابی جزییات پیام­ها

پیغام­ها از طریق گیرنده، فرستنده، موضوع، پیوست ها و رویدادهای پیام شامل سیاست­گذاری­های DLP و IDs، قابل ردگیری است. زمانیکه پیامی از طریق Cisco Email Security ارسال می­شود در عرض یک تا دو دقیقه دیتابیس ردیابی پیغام تشکیل شده و قادر به مشاهده رویدادهای اتفاق افتاده برای پیام در هر لحظه خواهید بود.

Cisco Email Security Software Licenses

سه نوع بسته نرم ­افزاری امنیت ایمیل سیسکو وجود دارد: Cisco Email Security Inbound Essentials، Cisco Email Security Outbound Essentials، Cisco Email Security Premium همچنین گزینه های تکمیلی در جدول ۲ ارایه شده است. تنها کافیست به تعداد mailbox مورد نیاز خود مجوزهای لازم را خریداری کنید و برای ابر و ابزارهای مجازی لایسنس نرم­افزار برای دسترسی به آن مورد نیاز است.

اشتراک لایسنس های مبتنی بر زمان، لایسنس هایی است که به مدت ۱، ۳ و یا ۵ سال اعتبار دارد.

اشتراک لایسنس های مبتنی بر تعداد، راهکارهای امنیت ایمیل سیسکو از شیوه قیمت گذاری براساس تعداد Mailbox استفاده می کنند، که فروشندگان و نمایندگان شرکت در ارتباط با خرید لایسنس مناسب جهت استقرار در شرکت، شما را یاری خواهند کرد.

 

جدول شماره ۲: اجزای نرم افزار

بسته نرم افزاری شرح
Cisco Email Security Inbound این بسته نرم افزاری شامل حفاظت در مقابل تهدیدات مبتنی بر ایمیل از جمله antispam با قابلیت شناسایی Graymail، آنتی ویروس Sophos، virus outbreak filters، شناسایی ایمیل های جعلی است.
Cisco Email Security Outbound این بسته مسول حفاظت در مقابل از بین رفتن اطلاعات است که سازگار با DLP است و قابلیت هایی چون رمز گذاری ایمیل ها را دارد.
Cisco Email Security Premium این بسته ترکیبی از دو مورد فوق است جهت حفاظت در مقابل تهدیدات مبتنی بر ایمیل و از بین رفتن اطلاعات  و تامین کننده DLP و رمزنگاری مورد نیاز است.
مجموعه با کاربری مستقل شرح
AMP  AMP را می توان به همراه هر بسته نرم افزاری سیسکو خریداری کرد، که راهکاری جامع جهت مقابله با گسترش بدافزارها است و قابلیت شناسایی، تحلیل پیوسته، بلوکه سازی و هشدارهای گذشته نگر را دارد.

AMP قابلیت های همچون شناسایی و مسدود کردن بدافزارها که در ESA وجود دارد، را با ویژگی هایی چون اعتبارسنجی و بلوکه سازی فایل ها، تجزیه و تحلیل ایستا و پویا فایل ( Sanboxing ) ،  بازگردانی فایل ها برای تحلیل مستمر تهدیدها حتی پس از عبور از Gateway ، تقویت می کند .

پس از خرید سخت افزار مورد نیاز، یک لایسنس نامحدود از AMP Threat Grid دریافت خواهید کرد، سیستم AMP به همراه ابزارهای Threat Grid می تواند به صورت کامل، در محل سایت مورد نظر توسط لایسنس ابر خصوصی AMP نصب شود.

Graymail safe unsubscribe Graymail از طریق برچسب “ unsubscribe” مشخص می شود. این برچسب امن “ unsubscribe” به صورت یک طرفه در سمت کاربر  عمل می کند و همچنین درخواست های graymail unsubscribe را مانیتور می کند. کلیه این مراحل از طریق Lightweight Directory Access Protocol) LDAP) مدیریت می شوند.

Software License Agreements

Cisco End-User License Agreement و Web Security Supplemental End-User License Agreement با خرید هر نرم افزار ارایه می شود.

Software Subscription Support

کلیه لایسنس های امنیت ایمیل شامل software subscription support است که به منظور حفظ دسترسی ابزارهای امنیتی، کارایی و امنیت بالای آن ها الزامی است. در تمام مدت اشتراک خریداری شده پشتیبانی کامل از سرویس های زیر ارایه می شود.

  • به روز رسانی نرم افزارها و ارتقا برنامه ها در بهترین وضعیت کارکرد و بیشترین قابلیت ها
  • مرکز پشتیبانی فنی سیسکو، پشتیبانی سریع و تخصصی را فراهم می آورد.
  • ابزارهای آنلاین ساخت و توسعه تجارت های خانگی و کسب و کارهای با سرعت رشد بالا.
  • یادگیری مشارکتی امکان توسعه دانش و فرصت های آموزشی جدید را فراهم می آورد.

محل استقرار

کلیه راهکارهای امنیت ایمیل با روش­های ساده پیاده ­سازی می­شوند. لایسنس­ها هم می­تواند مبتنی بر کابر و هم مبتنی بر ابزار بوده حفاظت از ایمیل های ورودی و خروجی در درگاه­ها بدون اعمال هزینه های اضافی، تضمین کند.

ابر

امنیت ایمیل با یک روش انعطاف ­پذیر قابل توسعه در ابر است که نقش بسزایی در کاهش هزینه ها از طریق مدیریت مشترک بدون نیاز به زیرساخت خاصی دارد. از طریق توسعه راهکارهای امنیت ایمیل در چندین دیتاسنتر سیسکو به طور همزمان بالاترین سطح دسترسی به این سرویس و حفاظت از اطلاعات تضمین می شود. راهکارهای امنیت ایمیل از طریق حفظ دسترسی مشتریان به زیرساخت ابری و ارایه گزارش­های جامع و ردیابی پیام، امکان مدیریت انعطاف­پذیری را تضمین می­کنند. این قابلیت سرویسی همه جانبه با نرم­ افزار، قدریت پردازشی بالا و بسته های پشتیبانی از نرم­افزار است.

مجازی

ابزارهای مجازی­ امنیت ایمیل سیسکو نقش بسزایی در کاهش هزینه­ها در توسعه امنیت ایمیل در شبکه­های توزیع­شده دارند. این ابزار به مدیران شبکه امکان ساخت Instance مورد نیاز در مکان­ها و زمان­های مختلف از طریق زیرساخت­های موجود را می­دهد. نسخه نرم­افزاری ابزارهای فیزیکی در VMware ESXi hypervisor و UCS قابل اجرا است. از طریق خریداری بسته نرم ­افزاری Cisco Email Security لایسنس کاملی از ابزارهای مجازی را خواهید داشت. با استفاده از ابزارهای مجازی و برنامه ­ریزی­های ظرفیت، قادر به پاسخگویی آنی به رشد روزافزون ترافیک هستید، نیازی به حمل و نقل ابزارهای فیزیکی نیست بنابراین امکان استفاده از فرصت­های تجاری جدید بدون افزودن پیچیدگی­های زیاد به دیتاسنترها و استخدام افراد جدید خواهید بود.

On-Premises

ابزارهای امنیت ایمیل سیسکو به صورت Gateway در network edge فایروال ( ناحیه demilitarized نامیده می شود) مستقر می شوند. ترافیک SMTP ورودی باتوجه به مشخصات تعیین شده توسط رکودهای mail exchange  به اینترفیس دیتای ورودی ابزارهای امنیت ایمیل هدایت می­شوند. دستگاه ترافیک را فیلتر کرده و آن را به سمت mail server ارسال می­کند. mail server ایمیل­های خروجی را با توجه به سیاست­گذاری­های تعریف شده به ابزارهای امنیت ایمیل هدایت کرده و این ابزارها ایمیل­ها را به مقاصد مختلف ارسال می­کنند.

ترکیبی

راهکارهای ترکیبی تکنیک­های انعطاف­پذیری را ارایه می­دهند به این روش امکان ترکیب راهکارهای مختلف برای توسعه مناسب­ ترین راهکار برای شبکه خود هستید. به عنوان مثال از راهکارهای امنیت ایمیل به منظور حفاظت در مقابل تهدیدات ناشی از پیام­های ورودی همزمان با کنترل پیام­های خروجی در ابر استفاده می­شود. امکان اجرای همزمان راهکارهای مجازی امنیت ایمیل و on-premises آن وجود دارد، بنابراین شعب ادارات و مکان های دور از مرکز، امکان حفاظت از ایمیل­ها بدون نیاز به نصب و پشتیبانی سخت ­افزاری را خواهند داشت. امکان مدیریت زیرساخت­های مستقر شده از طریق ابزارهای Cisco Content Security Management و Cisco Content Security Management Virtual وجود دارد.

مشخصات محصولات امنیت ایمیل سیسکو

جدول شماره ۳ مشخصات عملکرد Email Security Appliance) ESA) ، جدول شماره ۴ مشخصات سخت­ افزاری این ابزارها، جدول شماره ۵ مشخصات ابزارهای مجازی و جدول شماره ۶ مشخصات ابزارهای مدیریت امنیتی (زیرساخت سری M) را نشان می­دهند.

جدول شماره۳ : مشخصات عملکرد ESA

محل استقرار مدل ظرفیت هارد دیسک نوع RAID Memory CPUs
بنگاه­های اقتصادی بزرگ ESA C690  

۲٫۴ TB

RAID 10 ۳۲ GB DDR4 ۲ x 2.4 GHz, 6 core
بنگاه­های اقتصادی بزرگ ESA C690X ۴٫۸ TB RAID 10 ۳۲ GB DDR4 ۲ x 2.4 GHz, 6 core
بنگاه­های اقتصادی بزرگ ESA C680 ۱٫۸ TB RAID 10 ۳۲ GB DDR3 ۲ x 2.0 GHz, 6 core
شرکت­ها و سازمان­هایی در مقیاس متوسط ESA C390 ۱٫۲ TB RAID 1 ۱۶ GB DDR4 ۱ x 2.4 GHz, 6 core
شرکت­ها و سازمان­هایی در مقیاس متوسط ESA C380 ۱٫۲ TB RAID 1 ۱۶ GB DDR3 ۱ x 2.0 GHz, 6 core
دفاتر کوچک و شعب ادارات ESA C190 ۱٫۲ TB RAID 1 ۸ GB DDR4 ۱ x 1.9 GHz, 6 core
دفاتر کوچک و شعب ادارات ESA C170 ۵۰۰ GB RAID 1 ۴ GB DDR3 ۱ x 2.8 GHz, 2 core

 

 

جدول شماره ۴: مشخصات سخت­افزاری این ابزارها

ESA C170 ESA 190 ESA C380 ESA C390 ESA C680 ESA C690X ESA C690 Model
۱RU ۱RU ۲RU ۱RU ۲RU ۲RU ۲RU Rack units (RU)
۱٫۶۷ in. x 16.9 in. x 15.5 in.

(۴٫۲۴ x 42.9 x 39.4 cm)

۱٫۷ in. x 19 in. x 31 in.

(۴٫۳ x 48.3 x 78.7 cm)

۳٫۵ x 19 x 29 in.

(۸٫۹ x 48.3 x 73.7 cm)

۱٫۷ in. x 19 in. x 31 in.

(۴٫۳ x 48.3 x 78.7 cm)

۳٫۵ x 19 x 29 in.

(۸٫۹ x 48.3 x 73.7 cm)

۳٫۴ in. x 19 in. x 29 in.

(۸٫۶ x 48.3 x 73.7 cm)

۳٫۴ in. x 19 in. x 29 in.

(۸٫۶ x 48.3 x 73.7 cm)

Dimensions

(H x W x D)

No No (Yes (930W No (Yes (930W (Yes (930W (Yes (930W DC power option
No Yes Yes Yes Yes Yes Yes Remote power cycling
No Yes, accessory option Yes Yes Yes Yes Yes Redundant power supply
Yes Yes Yes Yes Yes Yes Yes Hot-swappable hard disk
۱۳۶۴ BTU/hr ۲۶۲۶ BTU/hr ۲۲۱۶٫۵ BTU/hr ۲۶۲۶ BTU/hr ۲۲۱۶٫۵ BTU/hr ۲۲۱۶٫۵ BTU/hr ۲۲۱۶٫۵ BTU/hr Power Consumption
۴۰۰W ۷۷۰W ۶۵۰W ۷۷۰W ۶۵۰W ۶۵۰W ۶۵۰W Power Supply
۲-port 1GBASE-T copper network interface (NIC), RJ-45 ۲-port 1GBASE-T copper network interface (NIC), RJ-45 ۴-port 1GBASE-T copper network interface (NIC), RJ-45 ۶-port 1GBASE-T copper network interface (NIC), RJ-45 ۴-port 1GBASE-T copper network interface (NIC), RJ-45 ۶-port 1GBASE-T copper network interface (NIC), RJ-45 ۶-port 1GBASE-T copper network interface (NIC), RJ-45 Ethernet interfaces
۱۰/۱۰۰/۱۰۰۰, autonegotiate ۱۰/۱۰۰/۱۰۰۰, autonegotiate ۱۰/۱۰۰/۱۰۰۰, autonegotiate ۱۰/۱۰۰/۱۰۰۰, autonegotiate ۱۰/۱۰۰/۱۰۰۰, autonegotiate ۱۰/۱۰۰/۱۰۰۰, autonegotiate ۱۰/۱۰۰/۱۰۰۰, autonegotiate Speed (Mbps)
No No No No Yes, separate SKUs

۲-port 1GBASE-SX Fiber: ESA-C680-1G

۲-port 10GBASE -SR Fiber: ESA-C680-10G

Yes, separate SKUs

۲-port 1GBASE-SX Fiber: ESA-C690-1G

۲-port 10GBASE -SR Fiber: ESA-C690-10G

Yes, separate SKUs

۲-port 1GBASE-SX Fiber: ESA-C690-1G

۲-port 10GBASE-SR Fiber: ESA-C690-10G

Fiber option
۲۵۰ GB, RAID 1 Two 600 GB hard disk drives (2.5” ۱۰K SAS 4Kn) are installed into front-panel drive bays that provide hot-swappable access for SAS drives Cisco C380 Email Security appliance includes two (2) 600 G HDDs Two 600 GB hard disk drives (2.5” ۱۰K SAS 4Kn) are installed into front-panel drive bays that provide hot-swappable access for SAS drives Cisco C680 Email Security appliance includes six (6) 300 G HDDs

 

Eight 600 GB hard disk drives (2.5” ۱۰K SAS 4Kn) are installed into front-panel drive bays that provide hot-swappable access for SAS drives Four 600 GB hard disk drives (2.5” ۱۰K SAS 4Kn) are installed into front-panel drive bays that provide hot-swappable access for SAS drives HD Size
۱×۲ (۱ Dual Core) One E5–۲۶۰۹ v3 processor One Intel Xeon ES-2620 Series processors (2.0 G, 6C) One E5–۲۶۲۰ v3 processor Two Intel Xeon E5-2620 Series processors (2.0 G, 6C) Two E5–۲۶۲۰ v3 processor Two E5–۲۶۲۰ v3 processor CPU
۴ GB One 8GB DDR4-2133 DIMM1 Four (4) 4 GB DDR3-1600-MHz RDIMM DRAM Two 8GB DDR4-2133 DIMM1 Eight (8) 4 GB DDR3-1600-MHz RDIMM DRAM Four 8GB DDR4-2133 DIMM1 Four 8GB DDR4-2133 DIMM1 RAM

 

 

جدول شماره ۵:مشخصات ابزارهای مجازی

Email Users
Cores Memory Disk Model  
۱ (۲٫۷ GHz) ۴ GB (۲۰۰ GB (10K RPM SAS ESAV C000v Evaluations only
۲ (۲٫۷ GHz) ۶ GB (۲۰۰ GB (10K RPM SAS ESAV C100v Small enterprise

(up to 1000 employees)

۴ (۲٫۷ GHz) ۸ GB (۵۰۰ GB (10K RPM SAS ESAV C300v Medium-sized enterprise

(up to 5000 employees)

۸ (۲٫۷ GHz) ۸ GB (۵۰۰ GB (10K RPM SAS ESAV C600v Large enterprise or service provider
Servers
VMware ESXi 5.0, 5.1 and 5.5 Hypervisor Cisco UCS

 

جدول شماره ۶: مشخصات ابزارهای مدیریت امنیتی

SMA M190/M170 SMA M390/380 SMA M690/690X/680 Model
Up to 10,000 Up to 10,000 ۱۰,۰۰۰ or more Number of users
شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Cisco Email Security را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

Cisco Smart Net Total Care Support Services

برای به دست آوردن بالاترین بهره وری از سرمایه گذاری امنیتی خود، سرویس Cisco Smart Net Total Care Support Services به همراه ESA توصیه می شود، این سرویس در رفع سریع و بی واسطه مشکلات شبکه، دسترسی به متخصصین سیسکو در هر زمان، ابزارهای self-help و جایگزینی سریع سخت افزار کمک شایانی می کند. جهت دریافت اطلاعات بیشتر به لینک زیر مراجعه فرمایید:

https://www.cisco.com/c/en/us/services/support/smart-net-total-care.html.

نحوه ارزیابی راهکارهای امنیت ایمیل سیسکو

سرویس­های سیسکو

  • خدمات مشاوره ای: متخصصان ما ریسک­ها، ضعف­های امنیتی شبکه و نحوه مدیریت تهدیدات جهت انطباق با شبکه و دستیابی به اهداف کسب­و­کار در نظر می­گیرند.
  • ارایه سرویس­های طرح و اجرا: با بهره­گیری از تخصص و بهترین شیوه ­های اجرا در صنایع سراسر جهان، ما شما را در بهره­مندی از سرمایه ­گذاری­های صورت گرفته در ارایه امن ایمیل­ها یاری می­کنیم.
  • سرویس­های مدیرتی: متخصصان از مراکز عملیات امنیتی پیشرفته به طور فعال و ۲۴ ساعته شبکه مشتریان را پایش کرده و نظارت دقیق و جامعی بر این مساله دارند.
  • خدمات فنی: ما خدمات فنی انحصاری برای سخت افزارها، نرم ­افزارها، راهکارهای سایر شرکتها و محیط­های شبکه­های مختلف ارایه می­دهیم. تیم IT شرکت به منظور تضمین کارکرد صحیح و مداوم محصولات تمام تلاش خود را می­کند.

اطلاعات گارانتی محصولات

اطلاعات مرتبط یا گارانتی محصولات در صفحه Product Warranties سایت سیسکو قابل مشاهده است.

برای اطلاعات دریافت اطلاعات بیشتر به لینک www.cisco.com/go/emailsecurity مراجعه کنید که امکان درخواست نسخه آزمایشی ۴۵ روزه رایگان نیز وجود دارد.

 

مقایسه ویژگیهای فایروال های cisco ASA Fortigate Palo Alto

Security features Cisco Palo Alto network Fortinet CheckPoint Software

technologies

تحلیل و بررسی پیوسته و تشخیص ناظر بر گذشته

 

     

سیسکو Firepower

تحلیل فرایند را فراتر از افق رویداد (نقطه زمان در زمان) انجام می دهد و می تواند به طور ناگهانی آشکار، هشدار، پیگیری، تجزیه و تحلیل و ترویج نرم افزارهای مخرب پیشرفته که ممکن است در ابتدا به نظر پاکیزه باشد یا از دفاع اولیه جلوگیری کند و بعدها به عنوان مخرب شناخته شده است

محدود شده

تجزیه و تحلیل نشان می دهد در روش نقطه در زمان فقط فایل در زمان اولی که دیده شده چک میشود. اگر فایل مخرب دوباره شروع به فعالیت کند هیچ کنترلی در آن مکان و پیگیری آنچه اتفاق می افتد یا جایی که نرم افزارهای مخرب به پایان می رسد

وجود ندارد.

محدود شده

تجزیه و تحلیل نشان می دهد در روش نقطه در زمان فقط فایل در زمان اولی که دیده شده چک میشود. اگر فایل مخرب دوباره شروع به فعالیت کند هیچ کنترلی در آن مکان و پیگیری آنچه اتفاق می افتد یا جایی که نرم افزارهای مخرب به پایان می رسد

وجود ندارد.

محدود شده

تجزیه و تحلیل نشان می دهد در روش نقطه در زمان فقط فایل در زمان اولی که دیده شده چک میشود. اگر فایل مخرب دوباره شروع به فعالیت کند هیچ کنترلی در آن مکان و پیگیری آنچه اتفاق می افتد یا جایی که نرم افزارهای مخرب به پایان می رسد

وجود ندارد.

 

 

 

 

 

 

خط مسیر شبکه

 

 

 

 

          

پیوسته               سیسکو نحوه انتقال فایل ها، شامل فایل های مخرب، در شبکه شما را مشخص می کند. می تواند ببیند که انتقال فایل مسدود شده یا فایل قرنطینه شده است.در این اسکوپ کنترل شیوع ویروس و همچنین شناسایی ویروس را فراهم میسازد

       

 

مسير وابسته به تحليل پیوسته

 

       

 

مسير وابسته به تحليل پیوسته

 

       

 

مسير وابسته به تحليل پیوسته

 

    ارزیابی اثرات

 

CiscoFirepower

همه وقایع نفوذ و اثرات ناشی از حمله را به هم متصل میکند.و به اپراتور بگوید آنچه نیاز فوری به توجه دارد .

ارزیابی به اطلاعاتی از کشف دستگاه غیر فعال، از جمله سیستم عامل، برنامه های کاربردی سرویس گیرنده و سرور، آسیب پذیری ها، پردازش فایل، رویدادهای اتصال و غیره متکی است.

 

محدود شده

اثرات اندازه گیری میشوند فقط در برابر شدت تهدید. اطلاعات پروفایل هاست تعیین کننده نیست اگر هاست مورد آسیب قرار گیرد .

محدود شده

اثرات اندازه گیری میشوند فقط در برابر شدت تهدید. اطلاعات پروفایل هاست تعیین کننده نیست اگر هاست مورد آسیب قرار گیرد .

محدود شده

اثرات اندازه گیری میشوند فقط در برابر شدت تهدید. اطلاعات پروفایل هاست تعیین کننده نیست اگر هاست مورد آسیب قرار گیرد .

اتوماسیون امنیتی و مدیریت تهدید سازگار

 

           

سیسکو به طور خودکار دفاع را به تغییرات پویا در شبکه، در فایل ها یا با هاست متصل می کند. اتوماسیون شامل عناصر دفاعی کلیدی نظیر تنظیم قوانین NGIPS و سیاست شبکه فایروال است.

 

محدود شده

تمام سیاست ها نیاز به تعامل administrator دارند. سیاست ها محدود به تنظیم اولیه است.قطعا اشتباه به صورت دستی شناسایی و کاهش می یابد.

 

محدود شده

تمام سیاست ها نیاز به تعامل administrator دارند. سیاست ها محدود به تنظیم اولیه است.قطعا اشتباه به صورت دستی شناسایی و کاهش می یابد.

 

محدود شده

تمام سیاست ها نیاز به تعامل administrator دارند.

         IoCs           

Cisco Firepower

رفتار فایل و اعتبار سایت ها را بررسی می کند و شبکه و فعالیت های پایانی را با استفاده از۱۰۰۰ شاخص های رفتاری  مرتبط می کند. این میلیاردها آثار مخرب را برای مقیاس و پوشش بی نظیر از تهدیدات جهانی فراهم می کند.

 

 

محدود شده

استاندارد ، خارج از

رفتار

IOCs

در دسترس در محصولات چداگانه

 

 

محدود شده

IOCs

بر اساس شدت تهدید، و نه رفتار است.

 

 

 

محدود شده

IOCs

بر اساس شدت تهدید، و نه رفتار است.

 

کاربر، شبکه آگاهی پایانی

 

سیسکو Firepower تجزیه و تحلیل تهدیدات متنی و حفاظت کامل با آگاهی در مورد کاربران، سابقه کاربری در هر دستگاه، دستگاه های تلفن همراه، برنامه های clientide، سیستم عامل، ارتباطات مجازی ماشین مجازی، آسیب پذیری ها، تهدیدات و URL ها را فراهم می کند.

 

محدود شده

تنها آگاهی کاربر

محدود شده

آگاهی کاربر تنها مگر استفاده از نرم افزار Endpoint جداگانه استفاده می شود.

 

محدود شده

آگاهی کاربر تنها مگر استفاده از نرم افزار Endpoint جداگانه استفاده می شود.

 

      NGIPS نسل بعدی IPS با آگاهی از وضعیت واقعی و نقشه برداری شبکه.

 

 

Signature-based Signature-based Signature-based
 یکپارچه سازی پیشرفته حفاظت از تهدید

ساخته شده است ، قابلیت  sandboxing داینامیک (Amp – ThreatGrid ) تروجان های Evasive و Sandboxaware ارتباطات رویداد های علمی >1000 IoCs رفتاری و میلیارد ها آثار مخرب و تعداد تهدید آسان برای درک کردن

محدود است

Sandbox

در دسترس به عنوان اشتراک ابر یا محل نصب دستگاه است.

 

محدود است

Sandbox

در دسترس به عنوان اشتراک ابر یا محل نصب دستگاه است.

 

محدود است

Sandbox

در دسترس به عنوان اشتراک ابر یا محل نصب دستگاه است.

 

ترمیم نرم افزارهای مخرب

 

         

اتوماسیون هوشمند از

Cisco AMP برای شبکه اجازه می دهد تا شما به سرعت بفهمید ،محدوده و محتوایات یه حمله فعال حتی  بعد از اینکه اتفاق می افتد .

 

 

محدود است

جستجو کردن یا نتایج مسیر در محدوده تهدید ناشناس ناشناخته نیست. بازسازی در یک فرایند دستی در طول پاسخ شکست یه اتفاق.

 

محدود است

جستجو کردن یا نتایج مسیر در محدوده تهدید ناشناس ناشناخته نیست. بازسازی در یک فرایند دستی در طول پاسخ شکست یه اتفاق.

 

محدود است

جستجو کردن یا نتایج مسیر در محدوده تهدید ناشناس ناشناخته نیست. بازسازی در یک فرایند دستی در طول پاسخ شکست یه اتفاق.

 

آگاهی از تهدید

(Talos)

cisco Palo alto network fortinate Check point

Software

technologies

نمونه های مخرب های بی مانند در هر روز ۱٫۵ million ۱۰s of thousands ۱۰s of thousands ۱۰s of thousands
تهدید های بلاک شده در هر روز ۱۹٫۷ billion Not reported Not reported Not reported
پیام های ایمیل روزانه اسکن شده ۶۰۰ billion

Of the 600B scanned more than 85%are spam

Not reported ۶ billion Not reported
درخواست های وب در هر روز نظارت می شود

 

۱۶ billion

Web requests monitored by WSA/SWS per day. For perspective Google processes 3.5 billion searches per day.

 

Not reported ۳۵billion Not reported
امنیت اطلاعات هوشمند         

Security intelligence feeds are update every 1 hours adjustable to 5-minute intervals.

 

 

 

آیا شما میدانستید ؟ سیسکو Talos متشکل از بیش از ۲۵۰ محقق است . و این یکی از بزرگترین سازمان های threat intelligence  در چهان است .

Chech point software technologies        Fortinet   Palo alto networks             Cisco  

 

 

توانایی های عملیاتی

 

Multipass ASIC Single pass OptiFlowTM Scanning architecture
       

 

         

 

        

 

       

Cisco TrustSec

and ACI provision security services separated from workload and deployment (physical, virtual, cloud). Security group tags (SGTs) segment software in the network.

تقسیم بندی تعریف شده توسط نرم افزار

 

 

 

 

 

 

 

       

به وسیله سرویس موتور شناسایی سیسکو عمل سریع مهار تهدید و اقدامات قرنطینه بصورت اتوماتیک انجام می شود .

 

 

مهار اتوماتیک تهدید

 

 

 

 

 

 

Excellent

Single UI for NGFW management. Additional UIs for malware, endpoint, or any other platform features.

Limited

Single UI for NGFW management. Additional UIs for malware, endpoint, or any other platform features.

Limited

Single UI for NGFW management. Additional UIs for malware, endpoint, or any other platform features.

Excellent

Combined security and network operations. One console or HA pair of consoles provides all updates, patching, reporting, and threat information.

 

عملیات و مدیریت

 

توانایی های عملیاتی (ادامه)

 

typical

Appliance

نمونه مجازی

(VMware)

ابر عمومی

(AWS and Azure)

typical

Appliance

نمونه مجازی

(VMware)

ابر عمومی

(AWS and Azure)

typical

Appliance

نمونه مجازی

(VMware)

ابر عمومی

(AWS and Azure)

Typical

Appliance

نمونه مجازی

(VMware)

ابر عمومی

(AWS and Azure)

مدل های استقرار

 

 

 

 

 

 

 

 

 

 

 

 

 

        

Cisco Firepower

می تواند اطلاعات رویداد و اطلاعات پروفایل هاست را به برنامه های کاربردی مشتری،

سیستم های

SEIM و

SOC

جریان داده و اطلاعات هوشمندانه شما را افزایش دهد.

 

 

 

 

 

 

 

eStreamer API

 

 

 

 

 

 

 

 

         

Cisco Firepower can work in conjunction with third-party products. It can change an asset’s VLAN or access controls, or even open a ticket with the help desk.

 

Remediation API

 

 

 

 

 

 

 

 

 

 

Other systems such as inventory, vulnerability & asset management, and Nmap can feed data into the Cisco Firepower platform.  

 

Host API

 

 

DID YOU KNOW ?

The avarage of abranch in

$۱٫۵۷  million

زیر ساخت های بحرانی

(ICS/SCADA)

 

 

 

 

      

نسخه VM از NGFW را بر روی سرور جداگانه اجرا کنید شامل بارگیری و مدیریت یک Hypervisor پشتیبانی می شود.

 

 

 

 

 

 

 

 

 

نسخه های سخت و سخت گیر موجود است

 

 

 

NGFW only

 

     NGFW only     NGFW only NFFW , AMP ,NGIPS , threat Intelligence NFGW شامل ظاهر برنامه ، فیلترینگ URL و IPS ،آنتی ویروس،هویت کاربر است. Firepower همچنین شامل تمام پیشرفت های امنیتی کلیدی ذکر شده در بالا مانند NGIPS پیشرفته حفاظت از تروجان (AMP) بازخوانی، تحلیل تاثیر و … می باشد. مجموعه ویژگی های پایه
        ~۱۸۰ ~۲۵۰ قوانین بر اساس Snort. Talos قوانین مربوط به صنعت ICS را فراهم می کند. قوانین شخص ثالث می تواند وارد شود مشتریان می توانند قوانین ایجاد کنند.          ~۳۰۰ ~۲۵۰

قوانین بر اساس Snort.Talosقوانین مربوط به صنعت ICS را فراهم می کند. قوانین شخص ثالث می تواند وارد شود مشتریان می توانند قوانین ایجاد کنند.

   SCADA rules
 

Modbus, DNP3, BACNet, MMS, OPC, Profinet, ICCP, IEC.60870.5.104, IEC.61850

 

Modbus, DNP3, BACNet, MMS, OPC, Profinet, ICCP, IEC.60870.5.104, IEC.61850

 

Modbus, DNP3, OPC, ICCP, IEC 61850

 

Modbus, DNP3, and BACnet. SCADA protocols are available through the Firepower system.

 

Modbus,DNP,CIP

Pre-processors

 

ارائه کننده خدمات

 

       

 

       

NEBS level 3

        

 

         

NEBS level 3

 Carrier-class certification
      

GTP v2, CG-NAT, Diameter, SCTP, SIP-signaling firewal

      

GTP v2, CG-NAT, Diameter, SCTP, SIP-signaling firewal

 

 

         

GTP v2, CG-NAT, Diameter, SCTP, SIP-signaling firewall

 Carrier-class features
 

 

 

 

 

 

 

 

 

Third-party and native containers can be seamlessly stitched together to run with Firepower Threat Defense.

 

 

Third-party services stitching

 

Limited

Requires separate product.

Limited

Requires separate product.

 

 

 

Radware DefensePro vDOS container is integrated directly into the NGFW system (Cisco Firepower 9300).

True DDoS

 

معرفی شرکت FortiNet و محصولات امنیتی آن

فورتی نت

تاریخچه شرکت Fortinet:

دیدگاه شرکت Fortinet، ارائه امنیت گسترده و یکپارچه با کارایی بالا در زیرساخت فناوری اطلاعات است.

Fortinet در سال ۲۰۰۰ در سانلیویل کالیفرنیا توسط برادران کن و مایکل کی تاسیس شد. بنیانگذاران قبلا در مقامات اجرایی در NetScreen و ServGate بودند.این شرکت در ابتدا به نام AppligationInc نامگذاری شد و سپس در دسامبر سال ۲۰۰۰ به Appsecure تغییر نام داد و بعدها به Fortinet تغییر نام داد.

این شرکت دو سال را در تحقیق و توسعه، قبل از معرفی اولین محصول خود در سال ۲۰۰۲ صرف کرد. Fortinet درآمد خود را از سال ۲۰۰۲ تا ۲۰۰۳ به ۱۰ برابر رساند. Westcon Canada در ماه دسامبر ۲۰۰۳ توزیع محصولات FortiGate را در کانادا آغاز کرد که توسط Norwood Adam در انگلستان در فوریه ۲۰۰۴ دنبال شد.

سال ۲۰۱۰، Fortinet درآمد سالانه ۳۲۴ میلیون دلار داشت. در دسامبر ۲۰۱۲،Fortinet، XDN (که قبلا به نام ۳Crowd شناخته می شد) را خریداری کرد، که یک سرویس میزبانی برنامه تحت عنوان CrowdDirector بود.

در ماه ژوئن ۲۰۱۶، Fortinet یک فروشنده نرم افزاری امنیتی، نظارت و تجزیه و تحلیل، AccelOps را حدود ۲۸ میلیون دلار خرید. طبق گفته ZDNet، این شرکت برای محصولات امنیتی و مدیریت رویداد SIEM، محصولاتی که هشدارهای امنیتی سخت افزاری و نرم افزاری را تحلیل می کنند، شناخته شده بود.

در سال ۲۰۱۷، Fortinet بر محصولات سایبری برای سازمان های دولتی تمرکز کرد.مایک مک کانل مدیر آژانس امنیت ملی سابق فدرال امریکا و عضو هیئت مدیره Fortinet اعلام کرد که  ۱۲ اداره از ۱۵ اداره کابینه ایالات متحده از محصولات Fortinet استفاده می کنند.

در همین سال، محققان Fortinet یک نرم افزار جاسوسی را که به طور خاص  رایانه های مکینتاش را هدف قرار می داد کشف کردند.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای FortiNet را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

نمودارGartner مقایسه فایروال ها درحوضه ی Network security:

Network security
Network security

زمینه های کاری شرکت Fortinet :

  • Network security
  • Data center security (physical and virtual)
  • Cloud security
  • Secure (wired and wireless) access
  • Infrastructure (switching and routing) security
  • Content security
  • Endpoint security
  • Application Security

 

محصولات شرکت Fortinet:

  • Next-Generation Firewalls
  • Security Subscriptions
  • Management
  • IPS
  • Sandbox
  • Email Security
  • Endpoint Security
  • Web Application Firewall
  • SIEM
  • Virtualized Next-Generation Firewall
  • Cloud Firewall
  • Cloud Access Security Broker
  • Secure Wi-Fi
  • Secure Switching
  • Identity and Access Management
  • Application Delivery Controllers
  • DdoS

در زیر به توضیح تعدادی از مهم ترین محصولات این شرکت میپردازیم:

Next-Generation Firewall:

Next-Generation Firewall
Next-Generation Firewall

فایروال نسل بعدی FortiGate (NGFWs) امنیت بالا و قابلیت اطمینان چند لایه را برای حفاظت در برابر تمام شبکه های سازمانی فراهم می کند. پردازندههای امنیتی هدفمند (SUPs) عملکرد مقیاس پذیر و تاخیر فوق العاده کم برای قابلیت های پیشرفته امنیتی ارائه می کنند. سرویس های امنیتی از FortiGuard Labs به طور مداوم به روز رسانی های امنیتی اطلاعاتی و کاهش خودکار کمک می کند تا سازمان ها از حملات پیشرفته سایبری محافظت کنند. FortiGate NGFWs پیچیدگی را کاهش می دهد و هزینه های کل سازمانها را کاهش میدهد و همچنین باعث افزایش امنیت در network edge ، data center ، بخش های داخلی و شاخه های توزیع شده میشود.

 

Next-Generation For FortiGate شامل:

  • معماری امنیتی چندگانه برای حفاظت جامع در برابر تهدیدات پیشرفته و جلوگیری از هر نقطه ای که آسیب پذیری را در شبکه نشان می دهد.
  • تکنولوژی امنیتی نوآورانه(SPU) برای کارایی بالا لایه سرویس های امنیتی(NGFW، بازرسی SSL و حفاظت از تهدید)
  • دارای سریعترین موتور صنعت بازرسی SSL برای کمک به محافظت در برابر بدافزار مخفی در ترافیک رمزگذاری شده
  • یک پنجره ی مدیریت کم حجم و ساده برای ساده سازی استقرار و فعال کردن سیاست های امنیتی سازگار با کنترل و دید در شبکه

مدیریت در فایروال فورتی گیت Fortigate:

مدیریت در فایروال فورتی گیت Fortigate
مدیریت در فایروال فورتی گیت Fortigate

حفظ امنیت شبکه و دارایی های حیاتی سازمانها به مجموعه وسیعی از دستگاه های امنیتی بستگی دارند. حفظ توانایی های سازمان برای مدیریت ریسک ها، حفظ سیاست های فعلی دستگاه و سلامت این دستگاه ها بسیار مهم است اما می تواند پیچیده و وقت گیر باشد.

Fortinet این مدیریت را ساده کرده است با رابط کاربری گرافیکی که شبیه به بسیاری از ابزارهای NOC و SOC است کاربران به راحتی می توانند از سیاست های امنیتی استفاده کنند، به روز رسانی های امنیتی محتوا، نسخه های سیستم عامل و تنظیمات شخصی برای هزاران نفر از دستگاه های فعال FortiOS از طریق FortiAnalyzer، FortiManager و FortiCloud و با FortiSIEM، شما می توانید معیارهای عملکرد، سلامت دستگاه، نسخه های فعلی سیستم عامل و تنظیمات فعلی برای همه دستگاه های غیر Fortinet خود را نظارت کنید.

Fortinet منبع منحصر به فرد شما است تا سیاست های دستگاه شما و نیازهای مدیریتی را ساده کند. FortiManager، FortiAnalyzer، FortiSIEM، و FortiCloud امکان مدیریت و تجزیه و تحلیل برای Fabric Security Fortinet را فعال می کند.

Intrusion Prevention System ) IPS) در فایروال فورتیگیت :

IPS در فایروال فورتیگیت
IPS در فایروال فورتیگیت

فن آوری پیشگیری از نفوذ (IPS)  در حال تبدیل شدن به یک بخش اصلی از امنیت شبکه است. حفاظت ارائه شده توسط بازرسی عمیق IPS به ترافیک شبکه کلید متوقف کردن حملات پیچیده و هدفمند امروز است. Fortinet ، تکنولوژی IPS را به عنوان بخشی از فایروال FortiGate بیش از ده سال پیش ساخته است

مشتریان Fortinet انتظار دارند که فایروال FortiGate و FortiGate IPS بهترین عملکرد موجود در بازار امروز را داشته باشند. FortiGate IPS، به دنبال مسیر تکاملی متفاوت نسبت به IPS سنتی، راه هایی را که دیگر محصولات IPS پشتیبانی نمی کنند را پشتیبانی میکند.

Fortigate IPS شامل موارد زیر است:

  • بازرسی عمیق برای تهدیدات پیشرفته، بوت نت، zero days و حملات هدفمند بر روی شبکه
  • فن آوری پردازش امنیتی نوین (SPU) برای افزایش کارایی شبکه و بازرسی امنیتی عمیق
  • یکپارچه سازی  applianceیا  cloud  با  sandboxing در سطح جهانی برای تهدیدات پیشرفته
  • کنترل های امنیتی ویژه برای سرورهای وب و برنامه های کاربردی، از جمله اسکریپت های متقابل سایت و SQL injection
  • کنترل های حفاظت از اطلاعات برای جلوگیری از درز اطلاعات حساس

 

امنیت ایمیل در فایروال فورتی گیت Email Security:

 

امنیت ایمیل در فایروال فورتی گیت Email Security
امنیت ایمیل در فایروال فورتی گیت Email Security

دروازه ایمیل ایمن (SEG) برای جلوگیری از تهدیدات  ransomware، فیشینگ و سایر تهدیدات سایبری برای ورود به سیستم از طریق ایمیل ورودی طراحی شده است.که با توجه به این که دو سوم از نرم افزارهای مخرب از طریق پیوست های ایمیل نصب شده اند(گزارش تحقیقات نقض اطلاعات ۲۰۱۷ ورایزون) این قابلیت ها حیاتی هستند.

ایمیل همچنین رایج ترین نقطه ورود برای ransomware بوده که هزینه ای حدود ۸۵۰ میلیون دلار را در سال جاری به  سازمان ها تحمیل کرده است.

SEG ها همچنین به انطباق با مقررات حفظ حریم خصوصی داده ها و دستورالعمل های شرکت ها برای حفاظت از مالکیت معنوی کمک می کنند.

در حال حاظر SEG به طور سنتی به عنوان نرم افزار در محل و اخیرا به عنوان یک دستگاه فیزیکی ساده تر برای مدیریت تولید میشود. پیاده سازی یک دروازه ایمیل امنیتی با امتیاز بالا که شامل ویژگی های حفاظت از داده های یکپارچه است، یک نیاز حیاتی برای تأمین امنیت سازمان و اطلاعات آن است.

ویژگیهای فورتی میل در فایروال فورتی گیت FortiMail :

 

  • اثربخشی مداوم و بیش از ۹۹ ٪ ضد اسپم برای صرفه جویی در وقت کارکنان نشان داده شده است

 

  • محافظت anti-malware با بالاترین امتیاز (شامل  sandboxing )  برای متوقف کردن ransomware ، فیشینگ و سایر حملات ایمیل

 

  • ویژگی های پیشگیری از دست رفتن اطلاعات (DLP)، از جمله لغت نامه های از پیش تعریف شده، شناسه ها، و اثر انگشت دیجیتال برای ساده سازی انطباق با قوانین حفظ حریم خصوصی

 

  • رمزگذاری مبتنی بر هویت برای ارسال ایمن پیام حاوی اطلاعات حساس است

 

معرفی سند باکس در فورتی گیت Sandbox Fortigate:

Sandbox Fortigate
Sandbox Fortigate

در حالی که سطوح حمله با توجه به افزایش خدمات IoT و مبتنی بر cloud و کمبود مداوم استعدادهای امنیتی سایبر در حال افزایش است، ، سازمان ها را برای ادغام sandbox کردن با کنترل های بیشتر و درجه بالایی از اتوماسیون، هدایت می کند.

Sandbox Fortinet این کار را با ادغام محصولات امنیتی Fortinet و Non-Fortinet از طریق Fabric Security Fortinet برای بهینه سازی حملات zero-day انجام می دهد.

FortiSandbox شامل موارد زیر است:

  • حفاظت در برابر تهدیدات پیشرفته و در حال ظهور
  • یکپارچه سازی گسترده با راه حل های امنیتی Fortinet و شخص ثالث برای کمک به حفاظت از سطح حمله دینامیکی سازمان
  • به اشتراک گذاری خودکار اطلاعات تهدید برای جلوگیری از حملات در اوایل چرخه بدون دخالت انسان
  • فاکتورهای انعطاف پذیر برای حمایت از نیازهای صنعت های مختلف

Web Application Fortigate:

Web Application Fortigate
Web Application Fortigate

برنامه های کاربردی تحت وب محافظت نشده ساده ترین نقطه ورود برای هکرها هستند. سرویس امنیت وب سایت FortiGuard Labs از اطلاعات بر اساس آخرین آسیب پذیری های نرم افزاری، ربات ها، URL های مشکوک و الگوهای داده و موتورهای تشخیص تخصصی اکتشافی برای محافظت از برنامه های شما استفاده میکندکه شامل load balancing  لایه ۷ و SSL offloading شتابی برای ارائه برنامه های کاربردی تر است.

FortiWeb شامل موارد زیر است:

  • بررسی آسیب پذیری و ترمیم ان
  • IP reputation و web application attack signatures و credential stuffing defense و anti-virusوFortiSandbox Cloud طراحی شده توسط FortiGuard
  • فهم Real-time attack  و گزارش با ابزار پیشرفته تجزیه و تحلیل بصری
  • ادغام با FortiGate و FortiSandbox برای تشخیص ATP

 

 

 

استفاده از تکنولوژی Nvidia Grid برای دسکتاپ مجازی

استفاده از تکنولوژی Nvidia Grid برای دسکتاپ مجازی

در این سری از آموزش مجازی سازی پلتفرم Nvidia Grid برای دسکتاپ مجازی را مورد بررسی قرار می دهیم و انواع آن را بررسی میکنیم. شرکت تجارت سرور پویا تجربیات عملی پروژه ها مجازی سازی دسکتاپ و راهکار های مجازی سازی دسکتاپ را در اختیار علاقه مندان مجازی سازی دسکتاپ قرار داده است. همچنین در خدمات مجازی سازی و پروژه های مجازی سازی دسکتاپ در شیراز، تهران، بوشهر و … از کارت گرافیک Nvidia Grid و Tesla برای مجازی سازی دسکتاپ و گرافیک استفاده کرده است. در این مقاله به بررسی برخی از این کارت های گرافیک و پلتفرم ان ها خواهیم پرداخت.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای VDI را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

مجازی سازی دسکتاپ انواع کارت گرافیک Nvidia

شرکت Nvidia که از بزرگ‌ترین شرکت‌های تولیدکننده کارت‌های گرافیک می‌باشد؛ برای اینکه از بازار مدرن و نوین مجازی‌سازی عقب نماند؛ با همکاری شرکت VMWare، اقدام به عرضه یک کارت گرافیک جدید برای سیستم‌های دسکتاپ مجازی که از پلتفرم Grid استفاده می‌کنند، نموده است. شرکت Nvidia با تولید این محصول خود، وعده‌ کاهش هزینه‌ها‌ی مربوط به اجرای برنامه‌های کاربردی که نیاز به گرافیک بالاتری نسبت به سایر برنامه‌ها دارند، به مشتریان خود داده است.

به عنوان مثال دو نمونه از کارت کرافیک های مهم شرکت Nvidia میتوان به grid K1، Grid K2 و یا Tesla M10 اشاره کرد.

 

در شکل زیر معماری پیاده‌سازی دسکتاپ مجازی را با همکاری دو شرکت قدرتمند VMWare و NVIDIA را مشاهده می‌نمایید که آن را اصطلاحاً GRID Virtual GPU) vGPU) می‌نامند.

بر اساس اعلام Nvidia، کارت گرافیک جدید بانام Tesla M10، دارای ۴ واحد پردازش گرافیکی (GPU)و ۳۲ گیگابایت حافظه یا به‌عبارت‌دیگر توان محاسباتی کافی برای انتقال برنامه‌های کاربردی بر روی دسکتاپ ۶۴ کاربر می‌باشد. کاربران می‌توانند سخت‌افزارهای گرافیکی Grid یا tesla را در سرورهای نظیر HP ، Dell ، Cisco و Nutanix به همراه نرم‌افزارهای مجازی‌سازی مانند VMware Horizon، Citrix XenApp و Citrix Xen Desktop خریداری ‌کنند. متخصصان این حوزه براین باورند که اجرای برنامه‌های کاربردی به‌صورت متمرکز و انتقال آن به کاربران نهایی، موجب کاهش هزینه‌های سخت‌‌افزاری و مدیریتی می‌گردد. بدین ترتیب کاربران قادر به اجرای برنامه‌های گرافیکی سطح بالا با کامپیوترهای ارزان‌قیمتی می‌باشند که توان محاسباتی کافی برای اجرای این برنامه‌ها را ندارند. همچنین کاربران می‌توانند به برنامه‌های Stream شده از هر جا و بر روی هر دستگاهی ازجمله تبلت‌های خود دسترسی داشته باشند. یکی از نمونه‌های بارز و کاربردی Nvidia Grid مربوط به برنامه‌های مهندسی و تولید محتوای ویدئویی می‌باشد. در چنین شرایطی است که کارت گرافیک Tesla M60، موردتوجه قرار می‌گیرد. این کارت از تعداد کمتری کاربر پشتیبانی می‌نماید اما برنامه‌های کاربردی با ‌بالاترین سطح عملکرد گرافیکی را اجرا می‌نماید.

همانطور که مشاهده میکنید در شکل زیر مشاهده یک کارت گرافیک Grid K1 می‌تواند در قالب چندین گرافیک مجازی(VGPU) عمل کند و به صورت مجازی دراختیار چندین دسکتاپ مجازی قرار داده شوند و سپس کلاینت‌ها می‌توانند به دسکتاپ‌های مجازی دسترسی پیدا کرده و از آن‌ها استفاده کنند.

درواقع می‌توان با دو فناوری جدید شرکت NVIDIA و VMWare یعنی کارت گرافیک GRID و مجازی‌سازی دسکتاپ، خدمات شبکه را بهره‌وری و به بهترین روش ممکن به سازمان‌ها و در شبکه خود پیاده‌سازی کرد.

 

در شکل زیر عملیات دسکتاپ مجازی به صورت جزیی مورد بررسی قرار گرفته شده است:

❶ کارت گرافیک Grid برروی سرور فیزیکی قرار گرفته است و برروی سرور نرم‌افزار فوق ناظر(Hypervisor ) به طور مثال ESXi نصب شده است.

❷ سپس درایور و نرم‌افزار کارت گرافیک Grid برروی سرور ESXi نصب شده است.

❸ ماشین‌های مجازی، برروی سرور ESXi ایجاد می‌شوند.

❹ سپس به ماشین‌های مجازی ساخته شده، گرافیک مجازی اختصاص داده می‌شود.

❺ سیستم عامل به همراه برنامه‌های کاربردی گرافیکی(مثل ۳D-Max و…) برروی ماشین مجازی نصب می‌شوند.

❻ حال کلاینت‌ها از طریق پروتکل PCoIP (که همان بستر VMWare Horizon View می‌باشد) می‌توانند درخواست خود را به سیستم عامل و برنامه‌های کاربردی بدهند و کننترل آن‌ها را دردست بگیرند.