Stealthwatch سیسکو و بهینه‌سازی SIEM

Stealthwatch سیسکو و بهینه‌سازی SIEM

Stealthwatch سیسکو و بهینه‌سازی SIEM

با ادغام Stealthwatch و استقرار SIEM خود، در زمان و هزینه صرفه‌جویی کنید.

مقدمه: Stealthwatch و SIEM ها

Stealthwatch چیست؟

Cisco Stealthwatch دید گسترده‌ای را برای شرکت فراهم می‌کند و می‌تواند به شما کمک کند، بینش بیشتری نسبت به فعالیت‌هایی که در شبکه رخ می‌دهد، به دست آورید. Stealthwatch از آنالیزهای امنیتی پیشرفته برای شناسایی و پاسخ به تهدیدات به صورت Real-Time استفاده می‌کند و به طور مداوم فعالیت شبکه را برای ایجاد یک خط پایه رفتار عادی شبکه، تحلیل می‌کند. این ابزار می‌تواند به شما کمک کند تا رفتارهای مربوط به بدافزار Zero-Day، تهدیدات خودی، تهدیدات پیشرفته مداوم (APT)، تلاش‌های حملات  (DDoS) و سایر انواع حمله را قبل از اینکه فرصتی برای خراب کردن شبکه شما داشته باشد، شناسایی کنید. برخلاف سایر راه‌حل‌های نظارت بر امنیت، Stealthwatch  نه تنها ترافیک ورودی و خروجی از شبکه بلکه ترافیک داخلی جنبه جانبی یا شرق غربی را نیز نظارت می‌کند تا سوءاستفاده از شبکه و تهدیدات احتمالی داخلی را نیز شناسایی نماید.

Stealthwatch مدل‌های استقرار مختلفی را در محل به عنوان یک وسیله سخت‌افزاری یا یک ماشین مجازی تحت عنوان Stealthwatch Enterprise ارائه می‌دهد. همچنین به عنوان یک راه‌حل SaaS اقتباس شده از Cloud ، تحت عنوان Stealthwatch Cloud نیز ارائه می‌شود.

مؤلفه‌های اصلی تشکیل‌دهنده Stealthwatch Enterprise عبارتند از کنسول مدیریت و جمع‌کننده جریان؛ سنسورهای جریان و سایر مؤلفه‌ها بسته به همبندی و زیرساختی که مورد بررسی قرار می‌گیرد، اختیاری هستند. به کارگیری این مؤلفه‌ها در کنار یکدیگر، یک دید و تحلیل منحصر به فرد از ترافیک شبکه ارائه می‌دهد و می‌تواند تشخیص تهدید به صورت Real-Time ، واکنش حوادث، عملکرد شبکه و برنامه‌ریزی ظرفیت را بهبود بخشد.

شکل ۱: داشبورد Stealthwatch Enterprise

SIEM ها چطور کار می کنند؟

وقتی اطلاعات امنیتی ساکن و مدیریت رویدادها (SIEM) در حال حاضر در سازمان پیاده‌سازی شده است، ممکن است یک شخص از ارزش راه‌حلی مانند Stealthwatch تعجب کند. واقعیت این است که Stealthwatch استقرار SIEM شما را تکمیل می‌کند. فناوری SIEM در واقع syslog را از میان دارایی‌های شبکه ردیابی می‌کند و هشدارها و زنگ‌های مربوط به ابزارهای مبتنی بر امضا را صادر می‌کند. Stealthwatch برای به دست آوردن تصویر کامل به ترافیک فراداده، مانند NetFlow یا IPFIX نگاه می‌کند و قادر است ناهنجاری‌های مبتنی بر رفتار را شناسایی کند. همچنین از ابزارهای تحلیلی استفاده می‌کند تا تعداد زیاد رویدادهای امنیتی را به تعداد کمی هشدارهای حیاتی کاهش دهد تا تیم امنیتی شما نیاز نداشته باشد که به صورت دستی تمامی داده‌ها را وارسی نماید. Stealthwatch همچنین می‌تواند برای ادغام با SIEM به منظور ارسال هشدار و سایر اطلاعات، تنظیم شود تا مشتریان بتوانند محیط موردنظر خود را برای تشخیص و پاسخ به تهدیدات پیشرفته انتخاب نمایند.

علاوه بر کاهش زمانی که صرف شناسایی و بررسی تهدید از ماه‌ها به ساعت‌ها می‌شود، مزیت دیگری نیز وجود دارد که مشتریانی که دارای Stealthwatch و SIEM ادغام شده هستند، تجربه می‌کنند. و این مزیت مربوط به بهینه‌سازی داده‌های ارسال شده به SIEM است.

بیایید بگوییم که شبکه شما با نرخ متوسط ​​۱ ترابایت در روز با مجوز سالانه به تولید تله‌متری می‌پردازد. ارسال داده به طور مستقیم به SIEM ممکن است هزینه‌ای معادل ۶۰۰هزار دلار در سال داشته باشد که بیشتر این داده‌ها نیز پردازش نشده و تکراری هستند. اگر Stealthwatch را در این جریان تله‌متری قرار دهید، در این مثال شاهد کاهش جریان تقریبی ۸۰٪ در کاهش هزینه از ۶۰۰هزار دلار به فقط ۹۹ هزار دلار هستید! در حالی‌که نتایج شما ممکن است متفاوت باشد، ریاضیات همچنان پا برجاست. هرچه میزان تولید جریان شما بیشتر باشد، هزینه‌ای که بدین ترتیب صرفه‌جویی می‌شود، بیشتر خواهد بود.

مساله

سیستم‌های SIEM در معماری‌های امنیتی مدرن به طور فزاینده‌ای حیاتی شده‌اند. SIEM به عنوان یک ثروت گسترده و غالباً لفظی از داده ها، وارد سازمان شده و آنها را ترک می‌کند و به ارائه زمینه و بینش در مورد نحوه دستیابی و به اشتراک‌گذاری داده‌ها کمک می‌کند. با این حال، انتخاب ارائه‌دهنده SIEM همیشه کار ساده‌ای نیست. همانطور که مجموعه کاملی از داده‌هایی که باید برای نظارت بر امنیت استفاده شود، همچنان رو به رشد است، هزینه های عملیاتی برای SIEM هایی که هزینه آنها وابسته به حجم داده است، نیز رو به افزایش است. علاوه بر این، برخی از داده‌ها می‌توانند در چندین نقطه شبکه شما به صورت سریع جایگزین شوند و منجر به هزینه‌های داده تکراری غیرضروری در طولانی مدت شود. اگر می‌خواهید برای داده‌های خود هزینه بپردازید، مطمئناً نمی‌خواهید چندین بار و به صورت غیرضروری این کار را انجام دهید.

راه‌حل

مهمترین مزیت Stealthwatch توانایی آن در کاهش مجموعه داده‌ها بدون از بین رفتن اطلاعات است. Stealthwatch می‌داند که داده‌ها دارای افزونگی هستند و در زمان جمع‌آوری، حذف داده‌های تکراری و دوخت داده‌های لازم برای ارائه کلیه اطلاعات با کمترین مقدار داده را فراهم می‌کند. از آنجایی که کنترل‌کننده جریان Stealthwatch داده‌های تله‌متری را از منابع پروکسی مختلف (Router، Switch، Firewall، End-Point و سایر دستگاه‌های زیرساخت شبکه) دریافت و جمع‌آوری می‌کند، فرآیند حذف داده‌های تکراری را روی آنها انجام می‌دهد، به گونه‌ای که هر جریانی که ممکن است در بیش از یکی از این منابع آورده شده باشد، فقط یک بار حساب شود. سپس داده‌های جریان را برای دید کامل یک تراکنش شبکه به به یکدیگر متصل می‌کند. این امر منجر به نظارت و ذخیره‌سازی مقرون به صرفه دورسنجی موثر برای حتی بزرگترین و پیچیده‌ترین شبکه‌های سازمانی می‌شود.

Stealthwatch به جای پرداخت SIEM بر حسب حجم داده و ریسک پرداخت داده‌های تکراری، می‌تواند در هزینه‌های داده صرفه‌جویی کند و در عین حال قابلیت دید بالا، آنالیز امنیتی و کشف تهدید را نیز فراهم می‌آورد.

دانش

در حالی‌که حجم تله‌متری‌های NetFlow و IPFIX در یک شبکه سازمانی متفاوت است، برخی از ویژگی‌ها و تخمین‌ها وجود دارد که می‌توانیم از آنها برای مدل‌سازی اندازه و با تعمیم، برای مدل‌سازی هزینه‌های کلی، استفاده کنیم. اولین چیزی که می‌دانیم این است که بسته به  hop-counts  که برای عبور از شبکه نیاز است، تله‌متری تولید می‌شود که ارتباط را توصیف می‌کند. به عنوان مثال، یک جلسه میان مشتری به سرور، به طور متوسط از ۵ تا ۶ هاپ عبور خواهد کرد – شاید بیشتر، شاید کمتر. هر یک از Router ها یا Switch ها ، رکوردی را صادر می‌کنند که به طور خلاصه شامل کلیه ابرداده‌های قابل مشاهده از جلسه و فقط در یک جهت (به صورت یک طرفه) است.

از آنجایی‌که چندین جلسه در طول این Routerها، Switch‌ها، Firewall ها و غیره قرار دارد، تله‌متری مرتبط با این جلسات با یکدیگر ادغام شده و هر ۶۰ ثانیه منتشر می‌شود. اگر می‌خواستید روزانه یک ترابایت از این تله‌متری‌ حیاتی را به صورت مستقیم به SIEM ارسال کنید، با مجوز سالانه حدود ۶۰۰ هزار دلار برای شما هزینه داشت یا با مجوز دائمی ۱٫۸ میلیون دلار به صورت سالانه هزینه‌بر بود.  این سطح دید به سرعت می‌تواند گران شود. Stealthwatch می‌تواند میان همه این صادرکنندگان تله‌متری و SIEM شما قرار گیرد و بدون کاهش قابلیت بینایی، منجر به صرفه‌جویی در هزینه برای شما شود.

Stealthwatch می‌تواند در هزینه‌های داده صرفه‌جویی کند و در عین حال قابلیت رؤیت سطح بالا، آنالیز امنیتی و شناسایی تهدید را نیز فراهم نماید.

سناریو اول: بهینه‌سازی داده Stealthwatch

در این مثال SIEM  هنوز هم برای یک برنامه فعالیت مورد استفاده در تجزیه و تحلیل خاص خود، نیاز به دورسنجی شبکه دارد. Stealthwatch از اتصال (ترکیب‌سازی مجموعه‌های مختلف تله‌متری) و حذف داده‌های تکراری (دور انداختن رکوردهای تکراری در هنگام جمع‌آوری) پشتیبانی خواهد کرد و به شما صداقت بیشتری در حجم داده‌های کمتر خواهد داد. این امر به طور متوسط منجر به کاهش ۱ به ۶ خواهد شد که ۸۳٫۵٪ جریان کمتری دارد!

شکل ۲: Stealthwatch Enterprise درون برنامه‌ای برای کاهش هزینه‌های سنجش از راه دور

توضیحات شکل ۲:

Optimized Network Telemetry: تله‌متری شبکه بهینه‌شده

Stealthwatch Management Console (SMC): کنسول مدیریتی Stealthwatch

Storage Array: آرایه ذخیره‌سازی

Stealthwatch Flow Collector: جمع‌کننده جریان Stealthwatch

در اینجا، کاربر هنوز هم مایل است تله‌متری جریان شبکه را به SIEM خود وارد کند اما بدون داده‌های تکراری. از آنجایی که فروشندگان SIEM به طور کلی برای ذخیره داده‌ها پول دریافت می‌کنند، کاهش ذکر شده در بالا به معنای صرفه‌جویی ده‌ها هزار دلار در سال برای داده‌هایی است که از نظر ماهیتی، داده‌های تکراری و افزونه هستند.

Stealthwatch قادر است حجم جریانی که به SIEM ارسال می‌شود، تا حدود ۸۰ درصد هزینه‌های ذخیره‌سازی داده SIEM را کاهش دهد.

سناریو دوم: هشدارهای تجزیه و تحلیل امنیتی Stealthwatch

همچنین سناریویی وجود دارد که Stealthwatch جمع‌کننده و نگهدارنده کلیه فعالیت‌های شبکه است و فقط به SIEM با نتایج تحلیلی (تهدیدهای کشف شده) هشدار می‌دهد، بنابراین به کاربر SIEM اجازه می‌دهد تا به منظور تحقیقات عمیق دوباره به Stealthwatch برگردد. در اینجا، API های Stealthwatch برای تبدیل Stealthwatch به یک سرویس کاملاً یکپارچه با SIEM استفاده می‌شوند، زیرا Stealthwatch هم تجزیه و تحلیل رفتاری و هم حسابرسی کلی (معین عام) را برای فعالیت‌های شبکه فراهم می‌کند. برخی از بزرگترین شرکت‌ها به دلیل حجم گسترده‌ای از تله متری شبکه، این نوع استقرار را انتخاب می‌کنند، زیرا تجزیه و تحلیل توسط تیم‌های امنیتی در یک محیط SIEM دشوار است.

شکل ۳: Stealthwatch Enterprise به عنوان معین عام فعالیت شبکه و ادغام شده با SIEM

توضیحات شکل ۳:

Threat Detections and Security Events: شناسایی تهدید و رویدادهای امنیتی

Stealthwatch Management Console (SMC): کنسول مدیریتی Stealthwatch

Storage Array: آرایه ذخیره‌سازی

Stealthwatch Flow Collector: جمع‌کننده جریان Stealthwatch

نتیجه‌گیری

کوه اطلاعاتی که اکنون سازمان شما برای نظارت بر امنیت از آنها استفاده می‌کند، فقط در سال‌های آینده به رشد خود ادامه می‌دهد. خوشبختانه، شما مجبور نیستید SIEM را بر اساس حجم داده بپردازید و بنابراین خود را در معرض خطر پرداخت داده‌های تکراری قرار دهید. Cisco Stealthwatch این امکان را دارد که مجموعه داده‌های شما را بدون هیچ‌گونه از بین رفتن اطلاعات از طریق حذف داده‌های تکراری و اتصال مجدد، کاهش دهد، و تمام اطلاعات مورد نیاز شما را با کمترین میزان داده در اختیارتان قرار ‌دهد. Stealthwatch نه تنها به شما کمک می‌کند تا جریان داده را حدود ۸۰٪ کاهش دهید، بلکه سطح بالایی از بینایی، آنالیز امنیتی و شناسایی تهدید را نیز برای شما فراهم می‌کند.

مراجع

ریاضیات – بر اساس تعرفه‌های عمده فروشنده SIEM

۱۰۰ GB / Day = $60,000 / GB Annually or $180,000 / GB Perpetual

۱ TB / Day = $600,000 / TB Annually or $1,800,000 / TB Perpetual

 

آشنایی با نرم افزار سیسکو پرایم Cisco Prime

زیرساخت Cisco Prime 3.x

زیرساخت سیسکو Prime

زیرساخت سیسکو Prime یک ابزار مدیریت شبکه است که از مدیریت چرخه عمر کل زیرساخت شبکه شما از طریق یک رابط گرافیکی واحد پشتیبانی می‌کند. این زیرساخت،  یک راه‌حل واحد برای تهیه، نظارت، بهینه‌سازی و عیب‌یابی دستگاه‌های سیمی و بی‌سیم برای Admin های شبکه فراهم می‌کند. رابط‌های گرافیکی قوی، استقرار و عملیات دستگاه را ساده و مقرون به صرفه می‌کند.

برای غلبه بر این چالش‌ها، متخصصان فناوری اطلاعات برای مدیریت، تجسم و نظارت بر شبکه از یک رابط گرافیکی واحد، نیاز به یک راه‌حل جامع دارند. زیرساخت سیسکو Prime ، مدیریت چرخه زندگی، قابلیت اطمینان، و قابلیت عیب‌یابی در سطح شبکه از کاربر بی‌سیم در شعبه، از طریق WAN و به مرکز داده را فراهم می‌کند. در اصل، این یک مدیریت و یک تضمین برای یک شبکه است.

زیرساخت Cisco Prime 3.x

 

نقاط برجسته زیرساخت سیسکو Prime

زیرساخت سیسکو Prime به شما کمک می‌کند شما را قادر می‌سازد تا شبکه خود را به طور کارآمدتر و مؤثرتری مدیریت کنید، در نتیجه شما را قادر می‌سازد به بالاترین سطح عملکرد شبکه بی‌سیم و سیمی، اطمینان از خدمات و تجربه کاربر نهایی کاربرد محور، دسترسی پیدا کنید.

  •  زیرساخت سیسکو Prime یک بستر واحد و یکپارچه برای ارائه خدمات، نظارت و اطمینان از خدمات شبکه و تغییر و مدیریت انطباق ارائه می‌دهد. این زیرساخت استقرار دستگاه و خدمات را تسریع می‌کند و به شما کمک می‌کند تا به سرعت مشکلاتی را که می‌تواند بر تجربه End-User تأثیر بگذارد، برطرف کنید. همچنین مدت زمانی را که برای مدیریت شبکه موجود صرف می‌کنید به حداقل می‌رساند تا بتوانید مدت زمانی را که برای حمایت از رشد مشاغل صرف می‌کنید، به حداکثر برسانید.
  • زیرساخت سیسکو Prime باعث می‌شود طراحی و تحقق ویژگی‌ها و خدمات متفاوت سیسکو سریع و کارآمد باشد. با پشتیبانی از فناوری‌هایی مانند WAN هوشمند (IWAN)، توزیع بی‌سیم با دسترسی همگرا، قابلیت مشاهده و کنترل برنامه (AVC)، فایروال مبتنی بر منطقه و خدمات شبکه‌ای مبتنی بر هویت Cisco TrustSec، به شما کمک می‌کند تا در اسرع وقت بیشترین بهره را از هوشمندی موجود در دستگاه‌های سیسکو خود ببرید.
  • زیرساخت سیسکو Prime ابزارهای جاسازی شده سیسکو و فناوری‌های پیشرو در صنعت را به منظور دید برنامه و بهینه‌سازی خط مشی شبکه، پیکربندی استفاده می‌کند. این فناوری‌ها شامل Net Flow، تشخیص برنامه کاربردی مبتنی بر شبکه  (NBAR2)، پروتکل مدیریت شبکه ساده (SNMP) و موارد دیگر است. زیرساخت سیسکو Prime  همچنین ضبط و پردازش عملکرد برنامه کاربردی و داده‌های تشخیصی بسته از طریق استقرار ماژول تجزیه و تحلیل شبکه سیسکو توزیع شده را مد نظر قرار می‌دهد.
  •  زیرساخت سیسکو Prime با استفاده از جمع‌آوری داده‌های خاص خود و ادغام‌های کلیدی، دید دقیق و مشخصی را در مورد اینکه چه کسی، چه چیزی، چه زمانی، کجا و چگونه به دستگاه بی‌سیم دسترسی دارد، ارائه می‌دهد. این زیرساخت از موارد زیر پشتیبانی می‌کند: ۸۰۲٫۱۱ac ؛ قابلیت مشاهده مشتری بی‌سیم / سیمی همبسته؛ نظارت بر زیرساخت دسترسی یکپارچه؛ نگاشت مکانی برنامه امنیتی و خطای یکپارچه و عیب‌یابی با ادغام موتور خدمات شناسایی هویت سیسکو (ISE) ؛ ردیابی یکپارچه مبتنی بر مکان از تداخلات، تقلب‌ها و گزارش‌دهی مشتری از طریق Wi-Fi با موتور خدمات تحرک سیسکو (MSE) و ادغام سیسکو CleanAir؛ ابزار پیش‌بینی RF؛ و موارد بیشتر.
  • زیرساخت سیسکو Prime مدیریت مقیاس‌پذیر و تضمین خدمات را در گستره زیرساخت‌های سازمانی در شعبه، دانشگاه و شبکه‌های مرکز داده از جمله تجهیزات شبکه، سرورهای UCS و ماشین‌های مجازی ارائه می‌دهد. امکان ردیابی کاربر در شعبه‌ای که از طریق یک دستگاه بی‌سیم یا سیمی وصل می‌شود، تمام راه‌ها برای یک منبع محاسبه در مرکز داده‌ها، برای پردازش سریع، اصلاح و عیب‌یابی ضروری است.
  •  سازمان‌های بزرگ یا جهانی غالباً مدیریت شبکه را براساس Domain، منطقه یا کشور توزیع می‌کنند. مرکز عملیاتی زیرساخت سیسکو Prime به شما کمک می‌کند تا حداکثر ۱۰ مورد از زیرساخت‌های سیسکو را تجسم کنید، ضمن حفظ دید و کنترل متمرکز، توانایی مدیریت شبکه خود را گسترش دهید.

ویژگیهای جدید در نسخه Prime 3.x

زیرساخت سیسکو Prime 3.x قابلیت‌های جدیدی ارائه می‌دهد و چند مورد آن در ادامه ذکر شده است:

  • پیشرفت‌های بستر نرم‌افزاری
  • رابط کاربری جدید: رابط کاربری مدرن با HTML 5.0 (و حذف فلاش) به اپراتورها امکان مشاهده سریع و آسان را برای جداسازی موضوعات در شبکه و شناسایی ریشه‌های اصلی ایجاد می‌کند. رابط کاربری جدید همچنین به مشتریان این امکان را می‌دهد که مستقل از بدون توجه به استفاده از رایانه لوحی (تبلت) یا رایانه‌های شخصی، تجربه بهتری داشته باشند.
  • شخصی‌سازی زنگ هشدار: اپراتورهای شبکه قابلیت تنظیم آلارم (زنگ هشدار) را بر اساس نیازهای عملیاتی شرکت دارند. هشدارهای مبتنی بر syslog قابل تنظیم، امکان ایجاد آلارم جدید را به صورت دلخواه ایجاد می‌کنند و پاسخ اپراتور را در اولویت قرار می‌دهند.
  • نمودارهای عملکرد همبسته: نمودارهای همبسته مدیران را قادر می‌سازد تا عیب‌یابی مقایسه ای KPI های شبکه را انجام دهند. پوشش آلارم و رویدادهای تغییر پیکربندی در نمودارهای همبسته، به اتصال رویدادهای تغییر شبکه برای پیشرفت تخریب عملکرد کمک می‌کند.
  • سازگاری پیکربندی: با افزودن موتور سازگاری، محصول برای اپراتور امکان تعیین پیکربندی شبکه طلایی و انجام ممیزی روی دستگاه‌های شبکه را در برابر بایگانی پیکربندی یا پیکربندی دستگاه فراهم می‌کند. گزارش حسابرسی، دستگاه‌هایی را شناسایی می‌کند که از انطباق برخوردار نیستند. اپراتورها می‌توانند دستگاه‌هایی را که مطابق با پیکربندی مورد نظر نیست، اصلاح کنند. این موتور همچنین به تولید گزارش‌های EoL / EoS / PCI برای دستگاه‌های شبکه و ماژول‌های سخت‌افزاری کمک می‌کند. قسمت‌های CVE، CVSS و Caveats در گزارش صفحه PSIRT آورده شده است.

 

  • پشتیبانی محلی‌سازی ژاپنی: پشتیبانی از UI جایگزین را در Kanji ارائه می‌دهد.
  • مدیریت بی‌سیم: عیب‌یابی ساده مشتری می‌تواند به اپراتورهای شبکه کمک کند تا به راحتی علت اصلی مشکلات مشتری را در قالب گرافیکی تشخیص دهند و شناسایی مسئله و حل آن را سرعت بخشند. مدیریت و عیب‌یابی تقلب با پیشرفت‌های ردیابی پورت سوئیچ (SPT) ساده شده است تا دستگاه‌های متقلب روی سیم را در شبکه شناسایی نماید.
  • Routing مدیریت WLAN هوشمند: گردش کار هدایت شده مبتنی بر طرح‌های معتبر سیسکو و بهترین شیوه‌های تجربی، به طور جدی استقرار و مدیریت دستگاه‌ها و خدمات IWAN سیسکو را ساده‌تر می‌کند. گردش کار، ارائه خدمات مانند VPNپویا چندنقطه (DMVPN)  و عملکرد مسیریابی (PfR) را سرعت می‌بخشد و پیکربندی کیفیت خدمات (QoS) و نظارت را ساده می‌کند. داشبورد مانیتورینگ PfR، دیدگاهی را در مورد نحوه بهینه‌سازی مسیر برنامه در مسیرهای حمل و نقل جایگزین ارائه می‌دهد و به عیب‌یابی در رویدادهای تغییر مسیر هدایت شده توسط IWAN کمک می‌کند.
  • دستورالعمل‌های دسترسی به محتوای وب (WCAG 2.0): تمام تست‌های PI 3.x WCAG را مطابق با چک لیست دستورالعمل‌های دسترسی به محتوای وب ۲٫۰ (https://www.w3.org/TR/WCAG20/) انجام می‌دهد.
  • همزیستی مرکز DNA سیسکو: هدف از این همزیستی، فعال کردن مشتریان زیرساخت Prime است که با استفاده از مرکز DNA سیسکو و با حداقل تلاش، روند خود را آغاز کنند. این مرکز با استفاده از گردش کار به مهاجرت دستگاه‌ها، گروه‌های موقعیت مکانی، نقشه‌ها و سرورهای CMX از زیرساخت Prime به مرکز DNA سیسکو یکپارچه کمک می‌کند. همچنین امکان به روزرسانی‌های افزایشی مجموعه داده‌های مهاجرت کرده و آغاز استفاده از تضمین مرکز DNA سیسکو برای سایت‌های مهاجرت کرده از روز اول را فراهم می‌کند. برای اطلاعات بیشتر به مرکز DNA سیسکو و همزیستی Prime مراجعه کنید.
  • پشتیبانی دستگاه در دستگاه‌های بی‌سیم و سیمی: زیرساخت Prime سیسکو، تقریباً همه نوع دستگاه‌های شبکه در Routing ، Switching ، دستگاه IoT، دستگاه بی‌سیم Access Point و حالت تحرک اکسپرس را در بر می‌گیرد. به بخش دستگاه‌های پشتیبانی شده و ماتریس سازگاری با نرم‌افزار راه‌حل‌های بی‌سیم سیسکو مراجعه کنید.

مشخصات محصول

جدول ۱ مشخصات محصول را برای گزینه‌های مختلف استقرار مجازی و فیزیکی فراهم کرده که توسط زیرساخت سیسکو Prime پشتیبانی می‌شود.

زیرساخت Prime در ابزار مرکز معماری شبکه دیجیتال سیسکو (مرکز DNA سیسکو) موجود است. زیرساخت Prime 3.6 بر روی PRIME-NCS-APL-K9 (که تحت عنوان Gen 1 نیز شناخته می‌شود) پشتیبانی نمی‌شود. زیرساخت Prime 3.6 از PI-UCS-APL-K9 (که تحت عنوان Gen 2 نیز شناخته می‌شود)، PI-UCSM5-APL-K9(که تحت عنوان Gen 3  – ۴۴ هسته فقط برای مرکز DNA سیسکو نیز شناخته می‌شود) و DN1-HW-APL (که تحت عنوان دستگاه مرکز DNA سیسکو نیز شناخته می‌شود)، پشتیبانی می‌کند. شما می‌توانید دستگاه فیزیکی زیرساخت Prime که نسخه Prime 3.4.x یا ۳٫۵٫x را اجرا می‌کند به نسخه ۳٫۶٫x به روز رسانی کنید. همچنین می‌توانید نسخه‌های قدیمی‌تر را به ۳٫۴٫x یا ۳٫۵٫x ارتقا دهید و سپس آن را به ۳٫۶٫x به روزرسانی نمایید.

زیرساخت Cisco Prime 3.x

جدول ۱: مشخصات محصول زیرساخت Prime 3.x سیسکو

 

*  اندازه‌های درایو هارد دیسک ذکر شده در بالا، اندازه VM برای اختصاص ضخامت است. توصیه می‌شود ۵۰٪ فضای اضافی را نیز در محل ذخیره داده VM بدون استفاده بگذارید، تا در صورت لزوم SnapShot از VM تهیه کنید، زیرا SnapShot ، نیاز به فضای اضافی دارند.

** به مشتریانی که از نسخه PI 2.2 به PI 3.x ارتقا می‌دهند، توصیه می‌شود از پهنای باند دیسک I / O تا ۳۲۰ مگابیت بر ثانیه پیکربندی نمایند تا کاهش عملکرد را به حداقل برسانند.

* دستگاه Gen -3 از زیرساخت Prime 3.5 به بعد پشتیبانی می‌کند. اعلامیه پایان فروش و پایان عمر دستگاه‌های Gen 2 HW و نرم‌افزارهای نسخه ۳٫۱ و ۳٫۲٫

آشنایی با نرم افزار Cisco Stealthwatch

Stealthwatch سیسکو با دید شبکه و تجزیه و تحلیل امنیتی، دفاع در مقابل تهدیدات را بهبود می‌بخشد.

Cisco Stealwatch

شبکه سازمانی، امروزه پیچیده‌تر و توزیع شده‌تر از گذشته است. چالش‌های امنیتی جدید، به صورت هفتگی به وجود می‌آید. چشم‌انداز همیشه در حال تحول، همراه با روندهایی مانند Cloud Computing و IOT ، وضعیت را پیچیده‌تر می‌کند. متاسفانه هرچه تعداد کاربران و دستگاه‌های متصل به شبکه افزایش پیدا می‌کند، دستیابی به قابلیت دید در مورد آنچه در جریان است، دشوارتر به دست خواهد آمد و شما قادر نخواهید بود از آنچه نمی‌توانید ببینید، محافظت کنید.

Cisco Stealthwatch مقادیر انبوهی از داده‌ها را جمع‌آوری و تجزیه و تحلیل می‌کند تا حتی به بزرگترین و پویاترین شبکه‌ها، دید و محافظت جامع درونی دهد. این امر کمک می‌کند تا تیم‌های عملیات امنیتی، آگاهی‌های موقعیتی Real-Time را از کلیه کاربران، دستگاه‌ها و ترافیک در شبکه گسترده به دست آورند تا بتوانند به سرعت و به طور مؤثر به تهدیدات پاسخ دهند.

با نظارت و هوشمندسازی مداوم، می‌توانید طیف گسترده‌ای از حملات را تشخیص دهید. می‌توانید رفتارهای مربوط به بدافزار Zero-day ، تهدیدات خودی، تهدیدات پیشرفته مداوم (APT)،  (DDoS) و سایر حملات را قبل از ویران کردن شبکه خود، شناسایی کنید. برخلاف سایر راه‌حل‌های نظارت بر امنیت، Stealthwatch  نه تنها ترافیک ورودی و خروجی از شبکه بلکه ترافیک داخلی جنبه جانبی یا شرق غربی را نیز نظارت می‌کند تا سوءاستفاده از شبکه و تهدیدات داخلی را نیز شناسایی نماید.

قابلیت های Cisco Stealwatch

  • قابلیت دید برای شناسایی تهدیدات داخلی و خارجی در کلیه مکالمات شبکه ، از جمله ترافیک شرق – غرب و شمال به جنوب، به دست می‌آید.
  • انجام تجزیه و تحلیل پیشرفته امنیتی و به دست آوردن زمینه عمیق برای کشف طیف گسترده‌ای از رفتارهای ناهنجار که ممکن است نشانه حمله باشد.
  • تسریع و بهبود تشخیص حمله، واکنش به واقعه و جرم‌یابی در کل شبکه به منظور کاهش خطر سازمان
  • فعال کردن تحقیقات جرم‌یابی عمیق‌تر با سابقه حسابرسی فعالیت شبکه
  • ساده‌سازی انطباق، تقسیم‌بندی شبکه، نظارت بر عملکرد و برنامه‌ریزی ظرفیت با گسترش دید در کل شبکه

حملات بیشتر، قابلیت دید کمتر

شبکه‌های امروزی پیچیده‌تر و توزیع‌شده تر از قبل هستند. با دستیابی سازمان‌ها به مشاغل جدید و گسترش شعبه‌ها و مکان‌های از راه دور، محیط شبکه گسترش می‌یابد که در نتیجه دفاع از آن را دشوارتر می‌کند. و تعداد بیشتری از کاربران از مکان‌های بیشتری نسبت به گذشته و با دستگاه‌های بیشتر به این شبکه‌ها متصل می‌شوند. همچنان که شبکه به گسترش خود ادامه می‌دهد، قابلیت دید در مورد آنچه اتفاق می‌افتد، چالش برانگیرتر خواهد شد.

به طور همزمان، حمله‌کنندگان نسبت به گذشته بسیار پیشرفته‌تر، چابک‌تر و سازمان یافته‌تر شده‌اند، بنابراین مشاهده هرگونه ویژگی بارز مشکوک در شبکه برای دفاع در برابر حملات، بسیار مهم و حیاتی است. در امنیت، درک از قابلیت دید حاصل می‌شود. و عدم دید به طور موثری توانایی ارائه تشخیص شبکه و اعتبارسنجی سازگاری را محدود می‌کند. این امر توانایی شما در محافظت از فضای داخلی شبکه در برابر تهدیدات داخل و خارج از شبکه را پیچیده می‌کند. مشاهده همه فعالیت‌ها برای تأمین امنیت شبکه‌های پیچیده بسیار مهم است. برای تعیین اینکه آیا ممکن است یک رفتار غیرعادی وجود داشته باشد یا خیر، باید جریان ترافیک، برنامه‌ها، کاربران و دستگاه‌های شناخته شده و ناشناخته را مشاهده کنید.

Stealthwatch به طور چشمگیری دید شبکه، امنیت و واکنش را در کل شبکه بهبود می‌بخشد. این ابزار کمک می‌کند تا تیم‌های عملیات امنیتی، آگاهی‌های موقعیتی Real-Time را از کلیه کاربران، دستگاه‌ها و ترافیک شبکه، در مرکز داده و در ابر به دست آورند، تا بتوانند به سرعت و به طور مؤثر در مقابل تهدیدها واکنش نشان دهند. و با تجزیه و تحلیل شناختی، قابلیت کشف و تجزیه و تحلیل تهدید مبتنی بر ابر، می‌توانید هم در ترافیک وب و هم در شبکه، دید عمیق داشته باشید. این اطلاعات متنی اضافی به شما کمک می‌کند تا تهدیدات جدید و نوظهور را در سراسر شبکه گسترده شناسایی و اولویت ‌بندی کنید.

آقای Phil Agcaoili مدیر امنیت اطلاعات سازمان Elavon : ” وقتی من وارد یک سازمان می‌شوم و می‌دانم که به درک اساسی از آنچه اتفاق افتاده یا [آنچه] اتفاق می‌افتد، نیاز دارم، Stealthwatch همیشه گزینه مورد نظر من است. … بزرگترین دارایی Stealthwatch برای تیم من این بوده است که وقتی هیچکس توجه نمی‌کند، Stealthwatch همچنان در حال نظارت و مشاهده است “.

نظارت مستمر شبکه

با داشتن بینش عمیق نسبت به همه چیز در شبکه، می‌توانید به سرعت رفتار عادی محیط خود را شروع کنید، مهم نیست که اندازه یا نوع سازمان شما چیست. این دانش باعث می‌شود شناسایی موارد مشکوک آسان‌تر شود. شما همچنین می‌توانید دارایی‌های مهم شبکه را برای بهبود کنترل و حفاظت از دسترسی، بخش بندی و شناسایی کنید.

سیستم Stealthwatch فراتر از بهبود تشخیص تهدید Real-Time است. این ابزار زمان واکنش حادثه را به طور چشمگیری سرعت می‌بخشد و اغلب زمان عیب یابی را از روزها یا حتی ماه‌ها به دقیقه‌ها کاهش می‌دهد. امکان ذخیره داده‌های شبکه به مدت ماه‌ها یا حتی سال‌ها، یک دنباله حسابرسی ارزشمند از کلیه فعالیت‌های شبکه را فراهم می‌کند، بنابراین می‌توانید به راحتی تحقیقات جرم‌شناسی پس از حادثه را انجام دهید.

علاوه بر ارائه دیدگاه جامع از ترافیک شبکه، Stealthwatch سطح امنیتی بیشتری را در اختیار شما قرار می‌دهد. این موارد شامل آگاهی کاربر و دستگاه، قابلیت مشاهده Cloud ، آگاهی از برنامه‌ها و داده‌های پرورش دهنده تهدید است.

تجزیه و تحلیل ترافیک رمزگذاری شده برای بهبود امنیت

رمزگذاری در امنیت مهم است. اما اگرچه ممکن است شما برای محافظت از داده‌ها و حفظ حریم خصوصی از رمزگذاری استفاده کنید، مهاجمان از آن برای پنهان کردن بدافزارها و جلوگیری از شناسایی شدن با استفاده از محصولات امنیتی شبکه استفاده می‌کنند. با استفاده از Stealthwatch و قابلیت‌های تجزیه و تحلیل پیشرفته آن، می‌توانید بهتر درک کنید که آیا ترافیک رمزگذاری شده در شبکه مخرب است یا خیر.

Stealthwatch از یادگیری ماشین و مدل‌سازی آماری برای تجزیه و تحلیل ترافیک رمزگذاری شده به منظور تقویت تحلیل NetFlow استفاده می‌کند. آنالیز شناختی می‌تواند از آنچه می‌بیند، یاد بگیرد و با تغییر رفتار شبکه در طول زمان سازگار شود. دورسنجی شبکه از طریق Flow Collector جمع‌آوری می‌شود و برای تجزیه و تحلیل بیشتر به آنالیز شناختی ارسال می‌شود. Stealthwatch با تجزیه و تحلیل شناختی، قابلیت دید در جریان‌های ترافیکی را از طریق متمرکز کردن مدیریت شبکه و ترافیک وب در کنسول مدیریت، بهبود می‌بخشد. به جای رمزگشایی ترافیک، Stealthwatch با تجزیه و تحلیل شناختی برای شناسایی تهدیدات و تسریع در پاسخ مناسب، الگوهای مخرب را در ترافیک رمزگذاری شده مشخص می‌کند.

Stealthwatch در مقابل سایر فناوری‌های امنیتی

سیستم Stealthwatch تله‌متری (دورسنجی) شبکه مانند جریان(NetFlow، sFlow، JFlow، IPFIX  و غیره) را از Router ها، Switchها و Firewall ‌های شما جمع‌آوری و آنالیز می‌کند تا بر رفتار شبکه و کاربران نظارت کند. این سیستم تجزیه و تحلیل‌های پیچیده و اختصاصی را بر روی داده‌های شبکه انجام می‌دهد تا به طور خودکار رفتارهای غیرعادی که ممکن است نشانه حمله باشد را تشخیص دهد.

بعضی اوقات Stealthwatch با سایر راهکارهای نظارتی مانند اطلاعات امنیتی و مدیریت رویداد (SIEM) و ضبط کامل بسته‌ها مقایسه می‌شود. فناوری SIEM ، syslog را از دارایی‌های شبکه ردیابی می‌کند و هشدارها و زنگ های مربوط به ابزارهای مبتنی بر امضا را صادر می‌کند. متأسفانه، syslog نشات گرفته از دستگاه‌های به خطر افتاده غیرقابل اعتماد است، و ابزارهای نظارت مبتنی بر امضا فقط می‌توانند آنچه را که به آنها دسترسی دارند، ببینند و در نتیجه تغییرات رفتاری را از دست می‌دهند.

در همین حال، ضبط کامل بسته به دلیل هزینه و پیچیدگی بسیار بالا، فقط می‌تواند در مناطق محدود شبکه مستقر شود. تکمیل این منابع اطلاعاتی با نظارت فراگیر و مبتنی بر رفتار برای پر کردن شکاف‌های امنیتی خطرناک بسیار مهم است. علاوه بر این، Stealthwatch  را می‌توان به همراه آنالایزر بسته امنیتی سیسکو استفاده کرد تا بسته‌های مربوط به یک جریان ترافیکی غیرعادی تولید شده توسط زنگ خطر Stealthwatch را ضبط و بررسی کند.

قابلیت‌های Stealthwatch همچنین از فناوری‌های امنیتی رقیب (از جمله سایر ابزارهای نظارتی مبتنی بر جریان) فراتر می‌رود، زیرا بسیار مقیاس‌پذیر است. توانایی تکثیر و اتصال Recordهای جریان یک طرفه به یکدیگر، منجر به نظارت و ذخیره‌سازی جریان کارآمد حتی برای بزرگترین و پیچیده‌ترین شبکه‌های سازمانی می‌شود.

وی افزود: ” Stealthwatch دید بهتری نسبت به فعالیت‌های شبکه در سراسر شرکت جهانی ما ایجاد کرده است. قابلیت‌های گزارش‌دهی و هشدار داده به صورت تقریباً Real-Time ، تیم ما را قادر می‌سازد هرچه سریعتر وقوع حوادث امنیتی را شناسایی کرده و واکنش نشان دهند. ”

جف دلوونگ، معمار امنیت اطلاعات، شرکت الکتریکی وستینگهاوس

معماری و مولفه‌ها

سیستم Stealthwatch می‌تواند Customize شود، اما اجزای اصلی مورد نیاز آن عبارتند ازFlow Rate License  ، Flow Collector و کنسول مدیریت. در اینجا نحوه کار اجزا در کنار یکدیگر آورده شده است:

  • Flow Rate License برای جمع‌آوری، مدیریت و تجزیه و تحلیل دورسنجی جریان و تجمیع جریان در کنسول مدیریت مورد نیاز است. Flow Rate License   همچنین میزان جریان‌هایی را که ممکن است جمع‌آوری شود و براساس جریان در ثانیه (fps) مجاز است، تعریف می‌کند.
  • Flow Collector از NetFlow، IPFIX  و انواع دیگر داده‌های جریان از زیرساخت‌های موجود مانند Router، Switch، Firewall، Proxy Server، End-point و سایر دستگاه‌های زیرساخت شبکه استفاده می‌کند. داده‌ها، جمع‌آوری و تجزیه و تحلیل می‌شوند تا تصویری کامل از فعالیت شبکه ارائه شود.
  • کنسول مدیریت Stealthwatch حداکثر ۲۵ Flow Collector ، موتور خدمات هویت سیسکو و منابع دیگر را جمع‌آوری کرده، سازماندهی و تجزیه و تحلیل می‌کند. این کنسول، از نمایش‌های گرافیکی ترافیک شبکه، اطلاعات هویتی، گزارش‌های خلاصه شده سفارشی و امنیت یکپارچه و هوش شبکه برای تجزیه و تحلیل جامع استفاده می‌کند.
  • سنسور جریان در مکان‌هایی در شبکه استفاده می‌شود که در آن داده‌های تله‌متری (دورسنجی) پشتیبانی نمی‌شوند. این سنسور از ترکیب بررسی عمیق محتوای بدنه پیام [۱]و آنالیز رفتاری برای شناسایی برنامه‌های کاربردی و پروتکل‌های مورد استفاده در سراسر شبکه استفاده می‌کند.
  • UDP Director دستگاهی با سرعت بالا و با کارایی بالا است که اطلاعات ضروری شبکه و امنیتی را از چندین مکان دریافت می‌کند. این اطلاعات را در یک جریان داده واحد به یک یا چند مقصد مانند جمع‌کننده جریان منتقل می‌کند.
  • Cloud License ،Stealthwatch یک مجوز افزوده شده است که دید بیشتر و آگاهی بهبود یافته از فعالیت و تهدیدات احتمالی موجود در پیاده‌سازی‌های فعلی در سراسر زیرساخت‌های شبکهCloud  ، خصوصی و ترکیبی ارائه می‌دهد.
  • End-Point License ، Stealthwatch یک مجوز افزوده شده است که تحقیقات کارآمد و غنی مبتنی بر زمینه را برای دستگاه‌های کاربر نهایی که رفتار مشکوک دارند، ارائه می‌دهد. این مجوز اجازه می‌دهد تا داده‌های نقاط انتهایی جمع‌آوری شده توسط AnyConnect NVM در کنسول مدیریت صادر و تجزیه و تحلیل شوند.
  • Learning Network License، Stealthwatch از Router خدمات یکپارچه سیسکو (ISR) به عنوان یک حسگر امنیتی برای به دست آوردن دید عمیق در جریان ترافیک Router یک شاخه خاص استفاده می‌کند. همچنین از آنالیزهای رفتاری با یادگیری ماشین، ضبط بسته‌ها و تشخیص فوری تهدیدات در سطح شاخه استفاده می‌کند.
  • Threat Intelligence License در منابع اطلاعاتی تهدیدات جهانی ایجاد می‌شود تا هشدارهایی ایجاد کند و یک شاخص نگرانی در مورد وقایع برای مشخص کردن ارتباطات مشکوک باشد تا بتواند سریعاً مورد بررسی قرار گیرند.

موارد استفاده

به عنوان مخترع NetFlow، سیسکو به طور منحصر به فرد راه‌حل امنیتی در اختیار دارد که از داده‌های جریان برای دید شبکه استفاده می‌کند. با شروع سال ۲۰۰۰، Lancope پیشگام استفاده از داده‌های دورسنجی برای به دست آوردن بینش عمیق شبکه و امنیت با سیستم StealthWatch بود. سیستم StealthWatch با جمع‌آوری و تجزیه و تحلیل NetFlow، IPFIX  و انواع دیگر داده‌های دورسنجی شبکه، شبکه را به یک حسگر مجازی همیشه فعال تبدیل کرده و از آنالیز رفتاری پیچیده برای تشخیص طیف گسترده‌ای از حملات و ارتقا وضعیت امنیتی صدها شرکت در سراسر جهان استفاده کرده است. در حال حاضر، سیسکو Stealthwatch بهترین استقرار موازی از این دو فناوری را در اختیار شما قرار می‌دهد.

استقرار Stealthwatch به سادگی و به صورت حرفه‌ای

سازمان‌های خدمات حرفه‌ای معتبر و شرکای تصدیق شده، سال‌ها تجربه طراحی، استقرار و مدیریت خانواده محصول Stealthwatch را ارائه می‌دهند. با تجربه گسترده مشتری و صنعت، یک تیم خدمات خارجی می‌تواند به شما در بهینه‌سازی استقرار برای برآورده کردن نیازهای خاص تجاری، افزایش بهره‌وری و کاهش ریسک کمک کند. این تیم با استفاده از ترکیبی منحصر به فرد از مهارت‌های شبکه و امنیت، یک سیستم Stealthwatch را به سرعت و به طور مؤثر پیاده‌سازی می‌کند تا خواسته‌های جدی محیط تهدیدپذیر پیشرفته امروزی را برآورده سازد.

خدمات حرفه‌ای Stealthwatch شامل نصب اولیه، بررسی و تنظیم سلامت، خودکارسازی گروه میزبان، ادغام پروکسی و آموزش سیستم و همچنین خدمات مشاوره‌ای و سرویس‌های تلفیقی است.

“Stealthwatch  این امکان را برای ما فراهم می‌کند تا دید شبکه داخلی را به دست آوریم و به راحتی مناطق امن خود را مورد بررسی قرار دهیم تا اطمینان حاصل شود که انواع خاصی از ترافیک از آن شبکه‌ها خارج نمی‌شوند.”

 

آشنایی با قابلیت های سیسکو آیس Cisco ISE

موتور سرویس شناسه سیسکو Cisco ISE

Cisco ISE

از آنجا که دیجیتالی شدن و اینترنت اشیا (IoT) نحوه زندگی و کار ما را تغییر می‌دهند، این روند بر گسترش شبکه و همچنین محافظت از آن تاثیر زیادی داشته است.

امروزه کارمندان خواستار دسترسی به منابع کاری از طریق دستگاه‌های بیشتر و شبکه‌های خارجی بیشتر از گذشته هستند. مشاغل باید از ازدیاد دستگاه‌های فعال به شبکه پشتیبانی کنند زیرا تعداد بی‌شماری از تهدیدهای امنیتی و نقض داده‌های بسیار عمومی، اهمیت حفاظت از دسترسی به شبکه سازمانی در حال تحول را نشان می‌دهد. و دستگاه‌های IoT به صورت نمایی در حال گسترش هستند و صنایعی از جمله تولید و مراقبت‌های بهداشتی را مجدداً تعریف می‌کنند.

اگرچه این انفجار دستگاه‌های متصل به اینترنت و دیجیتالی شدن سیستم‌ها و خدمات ارزش قابل توجهی برای مشتریان ایجاد کرده است، اما آنها همچنین منجر به ایجاد چالش‌های جدیدی در بخش‌های محدود فناوری اطلاعات شده‌اند، زیرا اکنون باید یک سطح حمله بزرگتر را مد نظر قرار دهند و تهدیدهای امنیتی یا خطراتی که خسارت قابل توجهی به شرکت وارد می‌کنند، شناسایی کرده و از بین ببرند.

این پیچیدگی در حال افزایش نیاز به یک رویکرد متفاوت برای مدیریت و تأمین امنیت شبکه سازمانی در حال تحول دارد که تحت عنوان موتور خدمات شناسه سیسکو (ISE) نامیده می‌شود.

نقش سیسکو آیس Cisco ISE در کاهش خطرات

پیش‌روی از تهدیدات، نیاز به دید و کنترل کامل دارد. این یعنی دید عمیق در کاربران، دستگاه‌ها و برنامه‌هایی که به شبکه شما دسترسی دارند. و این امر به معنای به دست آوردن کنترل پویا است تا اطمینان حاصل شود که فقط افراد مناسب با دستگاه‌های قابل اعتماد و با سطح دسترسی صحیح از خدمات شبکه برخوردار هستند.

ISE ارائه کنترل دسترسی مداوم و بسیار ایمن را از طریق اتصالات سیمی، بی‌سیم و VPN ساده می‌کند. با داشتن حسگرهای گسترده و هوشمند و همچنین قابلیت‌های پروفایل، ISE  می‌تواند به عمق شبکه دسترسی پیدا کند تا دید بهتری نسبت به اینکه چه کسانی و چه دستگاه‌هایی به منابع دسترسی پیدا کند، داشته باشد.ISE  از طریق سرویس خود را پرورش میدهد، به روزرسانی‌های خودکار دستگاهای معتبر سیسکو با استفاده از IP  از طریق فروشندگان مختلف ارائه می‌دهد. این کار، فرآیند به روزرسانی کتابخانه از جدیدترین دستگاه‌های مجهز به IP را آسان می‌نماید.

ISE  می‌تواند خط مشی Cisco TrustSec را برای تقسیم‌بندی نرم‌افزار تعریف شده اجرا کند، که شبکه را از یک مجرای ساده برای داده‌ها به یک مجری امنیتی تبدیل می‌کند که زمان تشخیص و کاهش تهدیدات را تسریع می‌کند.

ISE برای به اشتراک گذاشتن داده‌های متنی غنی با بیش از ۵۰ راه‌حل همراه فن‌آوری یکپارچه، از فناوری شبکه تبادل بسترهای نرم‌افزاری سیسکو (pxGrid) استفاده می‌کند. pxGrid یک رویکرد مبتنی بر استانداردهای کارگروه مهندسی اینترنت (IETF) برای سرعت بخشیدن به توانایی شما در شناسایی، کاهش و رفع تهدیدهای امنیتی در شبکه گسترده شماست. کنترل دسترسی جهت ارائه امنیت بیشتر در خدمات مهم اقتصادی، تقویت امنیت زیرساخت‌ها، اجرای انطباق و ساده‌تر کردن عملیات IT به صورت متمرکز و ساده، پیاده‌سازی شده است.

مزایای سیسکو آیس Cisco ISE :

  • دسترسی نرم‌افزار محور (SDA) را با خودکار کردن دسترسی کاربر و تقسیم‌بندی End-To-End بسیار امن در یک شبکه واحد فعال کنید. فعال‌سازی SDAسیسکو از سایر مکانیسم‌های تقسیم‌بندی مانند VLAN ها، آسان‌تر است، و Policy ها بدون در نظر گرفتن زیرساخت‌های اساسی بر روی شبکه ثابت می‌ماند. سازگاری در خط مشی در سراسر شبکه، تقسیم‌بندی را ساده می‌کند، استفاده از منابع را بهینه کرده  و ایجاد یک شبکه ایمن‌تر را تقویت می‌کند.
  • منجر به دید بیشتر و شناسایی دقیق‌تر دستگاه‌ها می‌شود. دید End User به دست می‌آید. به منظور ایجاد یک تجربه واقعی یکپارچه، این اطلاعات متنی غنی را با سایر راه‌حل‌های موجود در شبکه خود به اشتراک بگذارید.
  • متمرکز و متحد کردن کنترل دسترسی بسیار ایمن و مبتنی بر نقش‌های تجاری. یک خط مشی دسترسی به شبکه برای کاربران نهایی که از طریق شبکه سیمی یا بی‌سیم یا توسط VPN به شبکه متصل شده‌اند، فراهم می‌شود. از مکانیسم‌های مختلفی برای اجرای Policy ها، از جمله تقسیم‌بندی نرم‌افزار تعریف شده Cisco TrustSec استفاده کنید. گروه‌های امنیتی Cisco TrustSec مبتنی بر قوانین تجاری هستند و نه آدرس‌های IP یا سلسله مراتب شبکه. این گروه‌های امنیتی به کاربران این امکان را می‌دهند که به طور مداوم با حرکت منابع در Domain ها، دسترسی خود را حفظ نمایند. مدیریت Switch ، Router و قوانین Firewall بدین ترتیب آسان‌تر می‌شود.

به روزرسانی‌ها و پیشرفت‌های مهم ISE منجر به موارد زیر می‌شود:

  • قابلیت مشاهده بیشتر دستگاه‌های IoT صنعتی با یکپارچه‌سازی IND: مدیر شبکه صنعتی سیسکو (IND) با فناوری شبکه تبادل بسترهای نرم‌افزاری سیسکو ادغام می‌شود تا سطح عمقی از دید متنی را در پشت بیش از ۳۰۰ دسته دستگاه صنعتی و ۳۰۰ دسته دستگاه پزشکی IoT ارائه دهد.
  • بهبود سازگاری پشت صحنه PxGrid: ادغام با ISE در جمع‌آوری اطلاعات متنی و شروع اقدامات ANC  (کنترل شبکه تطبیقی) را ساده می‌کند.
  • بهبود انطباق PCI: به مشتریان کمک می‌کند تا الزامات انطباق امنیت داده‌ها با صنعت کارت پرداخت (PCI)  را برآورده سازند و به آنها اجازه می‌دهند TLS 1.0 و / یا نسخه ۱٫۱ را غیرفعال کنند و فقط نسخه TLS 1.2 را منتشر نمایند.
  • استقرار مؤثر سیسکو TrustSec: ISE  به طور مؤثر سیاست‌های Cisco TrustSec را در سراسر شبکه تایید می‌کند که منجر به بهبود عیب‌یابی برای استقرار SGT در مقیاس‌های بزرگ IP می‌شود.

ISE  از طریق ادغام با شبکه‌های پیشرو و راه‌حل‌های دفاعی در مقابل تهدید، دید عمیق شبکه و قابلیت‌های کنترل دسترسی ایمن، از شبکه شما محافظت می‌کند، تهدیدات را متوقف کرده و توانایی‌های امنیتی شبکه شما را بهبود می‌بخشد.

  • دستگاه خود (BYOD) و تحرک سازمانی را تسریع کنید. ISE یک تنظیم ساده در اختیار شما قرار می‌دهد. برای استفاده شبانه‌روزی از دستگاه خود در داخل و خارج از ساختمان، از دستگاه خود-خدمت شبانه‌روزی و مدیریت، مدیریت گواهی دستگاه داخلی و نرم‌افزار همراه مدیریت تحرک سازمانی یکپارچه استفاده کنید.
  • یک سیاست تقسیم‌بندی نرم‌افزار تعریف‌شده ایجاد کنید تا تهدیدات شبکه را مد نظر قرار دهد. برای اجرای کنترل دسترسی مبتنی بر نقش، در لایه Routing ، Switching و Firewall ، از فناوری Cisco TrustSec استفاده کنید. دسترسی به هر قطعه به صورت ِDynamic و بدون پیچیدگی چندین VLAN یا نیاز به طراحی مجدد شبکه صورت می‌گیرد.
  • داده‌های کاربر و دستگاه را با شبکه‌های شریک و راه‌حل‌های امنیتی به اشتراک بگذارید. اثربخشی کلی آنها را بهبود بخشیده و زمان مهار تهدیدات شبکه را تسریع می‌شود.
  • تهدیدات به طور خودکار از طریق ادغام با مرکز مدیریت Cisco Firepower و شرکای امنیتی شخص ثالث، شناسایی شده و مد نظر قرار می‌گیرد. ISE می‌تواند شامل نقاط انتهایی آلوده برای اصلاح، مشاهده یا حذف باشد.

بررسی Cisco WSA

Cisco payehrizan - پایه ریزان

تجهیزات امنیت شبکه ی سیسکو


در جهان شبکه ای و پر تغییر و اتصال ما، وجود تهدیدات پیچیده، بهره گیری از ترکیب مناسبی از راهکارهای امنیت را ایجاب می کنند. سیسکو با حفاظت و کنترل کامل و نیازهای مربوط به ارزش سرمایه گذاری، امنیت تمامی لایه های زیرساخت شبکه را فراهم می کند. همچنین همراه با هوش آمیز تهدید جهانی ناشی از بازار، مجموعه ی گسترده ای از گزینه های گسترش امنیت شبکه در صنعت را نیز ارائه می کنیم. تجهیزات امنیت شبکه ی سیسکو ( به اختصار WSA) توسط تجهیزات اختصاصی و پربازده کار پیاده سازی امنیت را تسهیل می کند. علاوه بر این کسب و کارها با استفاده از تجهیزات مجازی امنیت شبکه ی سیسکو ( WSAV) در هر زمان و هرمکانی که نیاز باشد، از امنیت شبکه بهره مند شوند.

مقدمه

تجهیزات امنیت شبکه ی سیسکو اولین درگاه امن شبکه بوده که با ترکیب روش های حفاظتی می تواند به سازمان ها جهت رسیدگی به چالش های رو به رشد مربوط به امن سازی و کنترل ترافیک شبکه کمک کند. تمامی موارد ذیل را می توانید در تنها یک پلتفرم در اختیار داشته باشید: حفاظت پیشرفته در برابر بد افزارها، کنترل امکان دیدن نرم افزارها، کنترل استفاده از مقررات قابل قبول، گزارش گیری واضع و گشت و گذار آزاد و امن.
با کمک تجهیزات امنیت شبکه سیسکو می توان به صورت ساده تر، سریع تر، با نیاز کمتر به تعمیر و نگهداری، با نهفتگی و هزینه ی عملیاتی کمتر به امنیت شبکه دست یافت. فناوری موسوم به “Set and forget” پس از شروع به کار کردن تنظیمات سیاست های اولیه ی خودکار و اعمال شدن به روز رسانی های امنیتی به صورت خودکار در دستگاه های شبکه که در هر ۳ تا ۵ دقیقه انجام می شوند، انرژی کمتری را از نیروهای انسانی می گیرد. با کمک گزینه های گسترش (deployment) سریع و امکان یکپارچه سازی در زیرساخت شبکه ای موجود تان می توانید نیازهای امنیتی تان که با سرعت در حال رشد هستند را برطرف کنید.

تجهیزات مجازی

با رشد بیش از پیش رسانه های ویدئویی و رسانه های پرمحتوای دیگر، پیش بینی ترافیک شبکه سخت تر شده و به دنبال آن عملکرد کاهش یافته است.
با توجه به مشکلاتی از این دست، مدیران مخصوصا مدیران سازمان های چند ملیتی حین خرید و راه اندازی سخت افزار، چالش های راه اندازی از راه دور، عوارض گمرکی و دیگر مشکلات لجستیکی شاهد تاخیر زیادی بین آغاز و اجرای فرایند خود هستند.
تجهیزات مجازی سیسکو با فراهم کردن امکان ایجاد نمونه های امنیتی در هر مکان و زمان مورد نیاز، تا حد زیادی هزینه گسترش امنیت شبکه را به ویژه در شبکه هایی که بسیار گسترش یافته هستند را کاهش می دهد. Cisco WSAV نسخه ای نرم افزاری از Cisco WSA بوده که تحت کنترل سرورهای سیستم محاسبه متحد (UCS) سیسکو و VMware ESXi hypervisor اجرا می شود. مشتریان در صورت خرید یکی از محصولات امنیت شبکه ی سیسکو، لایسنس نامحدود تجهیزات مجازی سیسکو را دریافت می کنند.
مدیران با کمک تجیزات مجازی سیسکو می توانند به سرعت به افزایش بیش از حد ترافیک پاسخ داده و برنامه ریزی ظرفیت را حذف کنند. نیازی به خرید و بار زدن این محصولات نیست، بدون آن که نیاز باشد پیچیدگی دیتاسنتر را افزایش دهید و یا کارکنان بیشتری را استخدام کنید، می توانید موقعیت های تجاری بیشتری را شاهد باشید.

ویژگی ها و فواید

هوش امنیتی Talos ء (Talos Security Intelligence)
با کمک بزرگ ترین شبکه ی شناسایی تهدیدات در جهان با پهناورترین قابلیت دید و بزرگترین ردپا به سرعت و به صورت جامع حفاظت از شبکه را دریافت کنید. این موارد را در زیر می توانید مشاهده کنید.
● ۱۰۰ ترابایت هوش امنیتی در روز
● ۱٫۶ میلیون از دستگاه های امنیتی گسترش یافته از جمله فایروال، IPS، شبکه و تجهیزات ایمیلی
● ۱۵۰ میلیون نقطه ی پایان (endpoint)
● ۱۳ میلیارد درخواست شبکه در روز
● ۳۵ درصد ترافیک ایمیل شرکتی جهان
Cisco SIO و Sourcefire دو سرویس شناسایی تهدید مجزا در cloud هستند که ترکیب این دو به Talos منجر می شود. با کمک این سیستم می توان به صورت ۲۴ ساعته و در ۷ روز هفته جهت تحلیل انحرافات، شناسایی تهدیدهای جدید و نظارت بر روند ترافیک، فعالیت ترافیک جهانی را زیر نظر گرفت. تالوس با تولید پیوسته ی قوانین جدیدی که هر ۳ تا ۵ دقیقه، بروز رسانی ها را به تجهیزات امنیت شبکه تزریق می کند از حملات لحظات بحرانی (zero hour) جلوگیری می کند تا صنایع پیشرو در مقابله با تهدیدات ساعت ها و حتی روزها از رقیبان خود پیش بیفتند.


کنترل بهره گیری از شبکه در سیسکو (Cisco Web Usage Controls)
جهت کاهش خطرات حقوقی مسئولیتی و بهره وری، فیلتر سنتی URL را با تحلیل پویای محتوا ترکیب کنید. سیسکو با به روز رسانی پیوسته دیتابیس فیلترسازی URL تا بیش از ۵۰ میلیون وب سایت های بلاک شده، وب سایت های معروف را به صورت باورنکردنی پوشش داده و موتور تحلیل پویای محتوا (DCA) در آن، به صورت دقیق ۹۰ درصد از URL های ناشناس را به صورت بی درنگ شناسایی می کند. این موتور، متن را اسکن کرده، به این متن از نظر ارتباط نمره می دهد، model document proximity را محاسبه می کند و نزدیک ترین دسته پیدا شده را برگشت می دهد. مدیران نیز می توانند برای بررسی Intelligent HTTPS ها ، دسته های خاصی را انتخاب کنند.


حفاظت در برابر بدافزارها به صورت پیشرفته (Advanced Malware Protection)
این ویژگی (AMP) ویژگی دیگری است که در اختیار تمامی مشتریان تجهیزات امنیت شبکه ی سیسکو قرار دارد. AMP یک راهکار جامع جهت غلبه بر بدافزارها بوده که با کمک آن می توان بدافزارها را شناسایی و بلاک کرد، به صورت پیوسته به تحلیل پرداخت و از هشداردهی بازنگرانه بهره برد. این ویژگی از شبکه های گسترده ی ابری هوش امنیتی سیسکو و Sourcefire ( بخش جدیدی از سیسکو) بهره می برد. این ویژگی شناسایی بدافزار و قابلیت مسدود کردن که در حال حاضر در تجهیزات سیسکو وجود دارند را با قابلیت های بهبود یافته ی شهرت فایل (file reputation) ، گزارش دهی کامل رفتار فایل، تحلیل پیوسته فایل و هشداردهی بازنگرانه تصمیمی ( verdict) ترکیب می کند. امکان جدیدی که برای مشتریان اضافه شده است این است که مشتریان حالا دیگر می توانند علاوه بر فایل های EXE موجود در اولین انتشار AMP ، به فایل های مایکروسافت آفیس و sandbox PDF نیز دسترسی داشته باشند. چهار لایه ی نظارت بر ترافیک به صورت پیوسته فعالیت را زیر نظر دارند و ارتباطات جاسوسی بین گوشی- خانه را شناسایی و مسدود می کنند. این لایه ها با ردیابی تمامی نرم افزارهای شبکه ای، به صورت موثر ، بدافزارهایی که قصد نفوذ به امنیت شبکه دارند را متوقف می کنند. این لایه ها به صورت دینامیکی آدرس های IP دامنه های شناخته شده بدافزارها را به لیست مربوط به مسدودسازی نهادهای آلوده خود اضافه می کنند.


مشهود بودن برنامه و کنترل آن (Application Visibility and Control (AVC))
به راحتی استفاده از صدها نرم افزار تحت web 2.0 و بیش از ۱۵۰۰۰۰ ریز نرم افزار را کنترل کنید. کنترل دانه ای سیاست ها (granular policy control) این امکان را به مدیران می دهد تا به کاربران خود اجازه بهره گیری از نرم افزارهایی مانند دراپ باکس یا فیس بوک را بدهند و در عین حال آن ها را از انجام فعالیت هایی مانند آپلود کردن اسناد یا کلیک کردن بر روی دکمه “لایک” منع کنند. تجهیزات امنیت شبکه در سرتاسر شبکه از مشهود بودن (visibility) فعالیت ها پشتیبانی می کنند. قابلیت جدید : مشتریان می توانند به ازای هر کاربر، هر گروه و هر سیاست سهمیه های زمانی و پهنای باند اختصاصی را گسترش دهند.


جلوگیری از هدر رفت داده (Data Loss Prevention (DLP))
با ایجاد قوانین مبتنی بر زمینه برای جلوگیری از هدر رفت داده ها، از برون رفت داده های محرمانه از شبکه جلوگیری کنید. تجهیزات امنیت شبکه ی سیسکو برای یکپارچه شدن با راهکارهای DLP شخص ثالث در راستای نظارت عمیق بر محتوا و اجرای سیاست های DLP از پروتکل اتخاذ محتوا از اینترنت (Internet Content Adaptation Protocol به اختصار ICAP) بهره می برند.


حفاظت از کاربران در حال فراگردی (Roaming-User Protection)
تجهیزات امنیت شبکه ی سیسکو از کاربران در حال فراگردی حفاظت می کنند به این صورت که با یکپارچه شدن در Cisco AnyConnect Secure Mobility Client که با آغاز سازی تونل های VPN که وظیفه ی هدایت ترافیک به راهکارهای مقدماتی ( on-premises) را برعهده دارند، برای مشتریان از راه دور امنیت شبکه را تامین می کنند. Cisco AnyConnect قبل از صدور اجازه دسترسی، به صورت بی درنگ ترافیک را تحلیل می کند. قابلیت جدید: انتشار پیش نمایش Cisco Identity Services Engine (ISE) Integration . مشتریان پس از این ارتقای هیجان انگیز می توانند پیش نمایش یکپارچه شدن Cisco WSA در Cisco ISE را مشاهده کنند. یکپارچه سازی cisco ISE این امکان را به مدیران (ادمین ها) می دهد تا بر اساس اطلاعات عضویتی یا پروفایلی گردآوری شده توسط Cisco ISE ، سیاست هایی را در Cisco WSA ایجاد کنند.


مدیریت و گزارش دهی مرکزی (Centralized Management and Reporting)
در سراسر تهدیدها، داده ها و نرم افزارها، اطلاعاتی کاربردی را دریافت کنید. با کمک ابزارهای مدیریت متمرکز موجود در تجهیزات امنیت شبکه ی سیسکو می توانید به راحتی عملیات ها را کنترل، سیاست ها را مدیریت کنید و گزارشات را مشاهده کنید.
سری M تجهیزات مدیریت امنیت محتوای سیسکو در تجهیزات واقع در مکان های مختلف مانند نمونه های مجازی ( virtual instances) امکان مدیریت و گزارش گیری متمرکز را فراهم می کنند. همچنین این تجهیزات برای مقیاس پذیری و انعطاف پذیری بیشتر از نرم افزار اختصاصی Splunk بهره می برند که رابط این نرم افزار مانند تجهیزات گزارش گیری می باشد.


اجرای منعطف (Flexible Deployment)
تمامی ویژگی های تجهیزات مجازی سیسکو با WSA برابری می کنند با این تفاوت که تجهیزات مجازی دردسر کمتری داشته و مقرون به صرفه تر هستند. کسب و کارها با دریافت لایسنس Cisco WSAV و به کارگیری این لایسنس در یک فایل مجازی WSAV ذخیره شده در حافظه ی محلی می توانند بدون اتصال به اینترنت، درگاه های مجازی امنیت شبکه را گسترش دهند.در صورت نیاز برای گسترش سریع درگاه های امنیت شبکه متعدد می توان image های مجازی آن را کپی کرد.
ماشین های سخت افزاری و مجازی را طی یک عمل گسترشی اجرا کنید. شرکت های کوچک و یا مکان های دور افتاده بدون نیاز به راه اندازی و پشتیبانی سخت افزار در آن محل می توانند از طریق تجهیزات امنیت شبکه ی Cisco از محافظت یکسانی بهره مند شوند. با استفاده از سری M تجهیزات مدیریت امنیت محتوا به راحتی می توان به صورت اختصاصی امور گسترش را مدیریت کرد.

گسترش

تجهیزات امنیت شبکه ی سیسکو، پروکسی های مستقیمی هستند که می توانند به صورت مستقیم (پروکسی با فایل های پیکربندی خودکار، شناسایی خودکار پروکسی شبکه (WPAD)، تنظیمات مرورگر) و یا به صورت شفاف (پروتکل ارتباطی حافظه ی پنهان شبکه (WCCP)، فراگردی مبتنی بر سیاست (PBR)، متعادل کننده های بارگیری) گسترش پیدا کنند. دستگاه هایی که دارای قابلیت WCCP هستند می توانند ترافیک شبکه را به تجهیزات امنیت شبکه ی سیسکو مجددا به جریان بیاندازند. از جمله این دستگاه ها می توان به Cisco Catalyst® ۶۰۰۰ Series Switches, Cisco ASR 1000 Series Aggregation Services Routers, Cisco Integrated Services Routers, و Cisco ASA 5500-X Series Next-Generation Firewalls اشاره کرد.
تجهیزات امنیت شبکه ی سیسکو برای دریافت قابلیت های بیشتر مانند جلوگیری از هدر رفت داده ها، امنیت کاربران تلفن همراه و قابلیت دید پیشرفته و کنترل آن به جای ترافیک های HTTP از HTTPS ، SOCKS ، FTP بومی و FTP استفاده می کند.

لایسنس

لایسنس تجهیزات مجازی امنیت شبکه سیسکو در تمامی بسته های نرم افزاری امنیت شبکه ی سیسکو (Cisco Web Security Essentials, Cisco Web Security Antimalware, و Cisco Web Security Premium) لحاظ شده است. شرایط این لایسنس با شرایط خدمات دیگر نرم افزارهای موجود در این بسته ی نرم افزاری یکسان است و به هر تعداد که نیاز باشد می توان از آن در دستگاه های مجازی استفاده کرد.
لایسنس اشتراکی بر اساس زمان
زمان این لایسنس ها ۱ ، ۳ و یا ۵ سال است.

لایسنس اشتراکی بر اساس تعداد
پرتفولیوی امنیت شبکه ی سیسکو بر اساس محدوده ی کاربران و نه دستگاه ها از قیمت گذاری لایه ای استفاده می کند. نمایندگان و همکاران فروش ما می توانند به مشتریان در تعیین اندازه و مقدار مناسب گسترش دستگاه ها کمک کنند.
لایسنس های نرم افزارهای امنیت شبکه
چهار لایسنس نرم افزار امنیت شبکه موجود است که عبارتند از : Cisco Web Security Essentials, Cisco Anti-Malware, Cisco Web Security Premium, و McAfee Anti-Malware. مولفه های اصلی هر یک از این نرم افزارها را می توانید در زیر مشاهده کنید:
نرم افزار Cisco Web Security Essentials
● هوش های تهدیدآمیز از طریق Talos
● چهار لایه از نظارت ترافیکی
● دید نرم افزار و کنترل آن (AVC)
● مدیریت سیاست
● گزارش گیری کاربردی
● فیلتر سازی URL
● یکپارچه سازی DLP سوم شخص از طریق ICAP

نرم افزار Cisco Anti-Malware
● اسکن بی درنگ بدافزارها
نرم افزار Cisco Web Security Premium
● الزامات امنیت شبکه
● اسکن بی درنگ بدافزارها
نرم افزار McAfee Anti-Malware
● اسکن بی درنگ بدافزارها که به صورت یک لایسنس جداگانه و تنها موجود است.

قرارداد لایسنس نرم افزار
در هر یک از لایسنس های نرم افزاری خریداری شده، قرارداد لایسنس کاربر نهایی (EULA) و قرارداد لایسنس تکمیلی کاربر نهایی (SEULA) ارائه می شود.
خدمات اشتراک نرم افزار
برای آنکه برنامه های تجاری در اوج کارکرد در دسترس، امن و عملیاتی باقی بمانند، تمامی لایسنس های امنیت شبکه ی سیسکو شامل پشتیبانی از اشتراک نرم افزار می شوند. در این پشتیبانی مشترکان به ازای کل دوره ی اشتراک نرم افزار خریداری شده خدمات زیر را می توانند دریافت کنند:
• ارتقا و به روز رسانی های اصلی نرم افزار برای آنکه برنامه ها عملکرد مناسبی داشته باشند.
• دسترسی به مرکز کمک های فنی سیسکو جهت دریافت پشتیبانی تخصصی و سریع
• ابزارهای آنلاین جهت ساخت و گسترش تخصص در خانه و بهبود سرعت کسب و کار
• یادگیری مشارکتی برای کسب دانش بیشتر و امکانات آموزشی

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Cisco WSA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

خدمات

خدمات مربوط به برند سیسکو (Cisco Branded Services) طراحی و برنامه ریزی امنیت سیسکو : گسترش راهکارهای امنیتی به صورت سریع و کم هزینه.
راه اندازی و پیکربندی امنیت شبکه ی سیسکو : کاهش خطرات امنیت شبکه با راه اندازی، پیکربندی و آزمایش تجهیزات جهت پیاده سازی :
• کنترل قابل قبول استفاده از مقررات
• فیلتر سازی بدافزار ها و شهرت
• امنیت داده ها
• دید نرم افزار و کنترل
خدمات بهینه سازی امنیت سیسکو : جهت بررسی تهدیدات امنیتی، به روز رسانی طراحی، تنظیم عملکرد و تغییرات سیستم از یک سیستم امنیتی در حال توسعه پشتیبانی می کند.
خدمات همکاری یا اشتراکی (Collaborative/Partner Services)

ارزیابی امنیت دستگاه های شبکه با شناسایی شکاف های موجود در زیرساخت امنیتی شبکه، محیط مقاوم شبکه را حفظ می کند.
نگهداری هوشمند : هوشی کاربردی را ارائه می کند که از دید امن موجود در عملکرد یک شبکه حاصل شده است.
خدمات بیشتر : در سرتاسر چرخه ی عمر برنامه ریزی، طراحی، پیاده سازی و بهینه سازی همکاران سیسکو طیف وسیعی از خدمات ارزشمند را ارائه می کنند.

امور مالی سیسکو (Cisco Financing)

Cisco Capital می تواند راهکارهای مالی مورد نیاز کسب و کارها را سازماندهی کند. هرچه زودتر به فناوری سیسکو دسترسی پیدا کنید، مزایای تجاری آن را زودتر خواهید دید.

خدمات پشتیبانی SMARTnet

مشتریان می توانند سیسکو SMARTnet را خریداری کنند و از آن در کنار تجهیزات امنیت شبکه سیسکو استفاده کنند. Cisco SMARTnet در برطرف سازی سریع مشکلات شبکه با دسترسی مستقیم و ۲۴ ساعته به متخصصان سیسکو، ابزارهای پشتیبانی خودکمک رسان و تعویض سریع سخت افزار به مشتریان خود کمک می کند. برای اطلاعات بیشتر به وبسایت http://www.cisco.com/go/smartnet مراجعه کنید.
سفارش تجهیزات مجازی امنیت شبکه
۱٫ به http://www.cisco.com/go/wsa بروید و در سمت راست در بخش “Support” ، بر روی “Software Downloads, Release, and General Information.” کلیک کنید. سپس بر روی “Download Software” کلیک کرده و برای مشاهده ی لینک های دانلود دستگاه های مجازی بر روی یکی از مدل ها کلیک کنید. همچنین می توانید یک لایسنس ارزیابی قابل دانلود XML را نیز مشاهده کنید. نیاز است که این دو را باهم دانلود کنید.
۲٫ آموزش های زیر را از Cisco.com دانلود کنید.
الف. آموزش راه اندازی تجهیزات مجازی امنیت سیسکو
ب. آموزش AsyncOS® ۷٫۷٫۵
۳٫ برای شروع دستورالعمل های موجود در راهنمای دانلود شده را دنبال کنید. لطفا توجه داشته باشید که SMARTnet از ارزیابی تجهیزات مجازی امنیت محتوا پشتیبانی نمی کند.


برای اطلاعات بیشتر با ما تماس بگیرید

آشنایی با سرویس Cisco WSA

Cisco Web Security Appliance WSA

امنیت شبکه ی سیسکو : حفاظت، کنترل و ارزش

شبکه ی گسترده ی جهانی پدیده ای شگفت انگیز و در عین حال نا امن است. در عین استفاده از شبکه های اجتماعی و نرم افزارهای ویندوز چگونه می توانید از دستگاه ها و منابع خود محافت کنید؟

ما بر این باوریم که یک راه حل کفایت نمی کند بلکه امروزه با وجود تهدیدات سایبری که به سرعت در حال افزایش هستند، به مجموعه ای متنوع از حفاظت نیازمند هستید. اما این کار باعث تحمیل پیچیدگی و تراکم کاری بر محیط IT شما می شود، درسته؟ این جواب با وجود تجهیزات امنیت شبکه سیسکو (wsa) (شکل ۱) منفی است. تجهیزات امنیت شبکه سیسکو ی یک درگاه بسیار امن بوده و چندین ویژگی را یکجا در خود جای داده است. این تجهیزات برای شما محافظت قوی، کنترل کامل و ارزش سرمایه گذاری به ارمغان می آورند. همچنین این تجهیزات مجموعه ی گسترده ای از امکانات رقابتی گسترش امنیت شبکه را فراهم می کنند که در هر یک از آن ها زیرساخت پیشرو در بازار هوش تهدیدآمیز سیسکو استفاده شده است.

                                                   

                                                                     شکل ۱ تجهیزات امنیت شبکه ی سیسکو

محافظت قوی

مقابله ی پیشرفته با تهدید

با کمک بزرگ ترین شبکه ی شناسایی تهدیدات در جهان با پهناورترین قابلیت دید و بزرگترین ردپا به سرعت و به صورت جامع حفاظت از شبکه را دریافت کنید. با جمع آوری تعداد بسیار زیادی از اطلاعات جهانی تمامی بردارهای حمله محل مخفی شدن تهدیدها را شناسایی می کند. این گردآوری اطلاعات را در زیر می توانید مشاهده کنید.

●۱۰۰ ترابایت هوش امنیتی در روز

●۱٫۶ میلیون از دستگاه های امنیتی گسترش یافته از جمله فایروال، IPS، شبکه و تجهیزات ایمیلی

●۱۵۰ میلیون نقطه ی پایان (endpoint)

●۱۳ میلیارد درخواست شبکه در روز

●۳۵ درصد ترافیک ایمیل شرکتی جهان

تالوس با هوش اولیه ی هشدار، تحلیل آسیب پذیری و تهدید می تواند به سازمان ها جهت مقابله با تهدیدات پیشرفته ای بحرانی کمک کند. تالوس با تولید پیوسته ی قوانین جدیدی که هر ۳ تا ۵ دقیقه، بروز رسانی ها را به تجهیزات امنیت شبکه تزریق می کند باعث می شود صنایع پیشرو در مقابله با تهدیدات ساعت ها و حتی روزها از رقبای خود پیش بیفتند.

مزایا

  • محافظت قوی: از طریق یک زیرساخت پیچیده ی هوش تهدید جهانی از تمامی دستگاه ها محافظت می کند که شامل Cisco Talos Security Intelligence  و  Talos Research Group  است.
  • کنترل کامل : در کنترل پیشرفته ی تمامی ترافیک های شبکه مانند نرم افزارهای شبکه ی اجتماعی کمک می کند.
  • ارزش سرمایه گذاری: سرمایه گذاری امنی برای شما فراهم می کند و در عین حال کل هزینه ی مالکیت (TCO) مربوط به امنیت شبکه، ارائه ی امکانات گسترش منعطف، یکپارچگی روان با زیرساخت شبکه و ایمنی موجود و بهترین پشتیبانی ۲۴ ساعته را کاهش می دهد.

 

گروه تحقیقاتی و هوش ایمنی cisco Talos
                                                                          شکل ۲ گروه تحقیقاتی و هوش ایمنی cisco

 

تحلیل شهرت بهترین وب سایت

تجهیزات امنیت شبکه ی سیسکو تهدیدات حاصل از شبکه ی سیسکو را به یکدیگر ارتباط می دهند تا برای اقدام کردن  در آن ها یک امتیاز رفتاری را تولید کند.

مقابله با بدافزارها به صورت چندلایه ای و یکپارچه برای محاظت انطباقی

در گذشته مسدود سازی دسترسی به آدرس های خراب به معنی امنیت شبکه بود. اما امروزه احتمال اینکه شما از سایت های معتبر ویروس یا بدافزاری را دانلود کنید بیشتر است. تجهیزات امنیت شبکه ی سیسکو با استفاده از لایه های متعدد فناوری های ضد بدافزار و هوش حاصل از تالوس که هر ۳ تا ۵ دقیقه به روز رسانی می شود،در برابر بدافزارها مقابله می کنند . هر محتوای اینترنتی ای که بنا باشد در دسترس قرار بگیرد (از HTML گرفته تا تصاویر و فایل های فلش)، با استفاده از موتورهای اسکن سازی آگاه از زمینه و امنیتی تحلیل می شود.

این تجهیزات ترافیک را به صورت بی درنگ تحلیل می کنند، آن را به بخش های  عملی تقسیم می کند و برای نظارت در عین حفظ سرعت بالای پردازش،این بخش ها را به بهترین موتورهای بدافزاری ارسال می کند. (شکل ۳)

 

لایه های مقابله ای تجهیزات امنیت شبکه ی سیسکو

شکل ۳ لایه های مقابله ای تجهیزات امنیت شبکه ی سیسکو

 

سندباکسینگ و تحلیل پیوسته

 

ویژگی محافطت پیشرفته در برابر بدافزار (AMP) ویژگی ای است که در اختیار تمامی مشتریان تجهیزات امنیت شبکه ی سیسکو قرار دارد. AMP یک راهکار جامع جهت غلبه بر بدافزارها بوده که با کمک آن می توان بدافزارها را شناسایی و بلاک کرد، به صورت پیوسته به تحلیل پرداخت و از هشداردهی بازنگرانه بهره برد (شکل ۴). این ویژگی شناسایی بدافزار و قابلیت مسدود کردن که در حال حاضر در تجهیزات سیسکو وجود دارند را با قابلیت های بهبود یافته ی شهرت فایل (file reputation) ، گزارش دهی کامل رفتار فایل، تحلیل پیوسته فایل و هشداردهی بازنگرانه تصمیمی ( verdict) ترکیب می کند. امکان جدیدی که برای مشتریان اضافه شده است این است که مشتریان حالا دیگر می توانند علاوه بر فایل های EXE موجود در اولین انتشار AMP ، به فایل های مایکروسافت آفیس و sandbox PDF نیز دسترسی داشته باشند.

تحلیل بازنگرانه توسط AMP

شکل ۴ تحلیل بازنگرانه توسط AMP

 

مدیریت متمرکز

رابط مدیریت شهودی تجهیزات امنیت شبکه ی سیسکو گزارش گیری و مدیریت سیاست ها را متمرکز ساخته و تنها از طریق یک رابط ساده کنترل سراسری را ارائه می کند.

بهره گیری عمیق شبکه و دید برنامه

با کمک تجهیزات امنیت شبکه ی سیسکو می توانیم نسبت به محتوای برنامه ها و ریزبرنامه های خود دید عمیقی پیدا کنیم. به بیان بهتر این تجهیزات مرتبط ترین و پرکاربردترین برنامه های ویندوز و موبایل (مانند فیسبوک و بیش از ۱۵۰ هزار ریز برنامه مانند بازی های فیسبوک) را شناسایی و طبقه بندی می کنند.این کار با ترکیب هویت، زمان، محتوا ، مکان و مطابقت خارج از مرز داده ها جهت ساخت و نگهداری سیاست های برنامه انجام شده است.

تجهیزات امنیت شبکه ی سیسکو در کنار این قابلیت دید، این امکان را می دهد تا بتوان برنامه ها و رفتار استفاده از آن ها را به صورت دقیقی کنترل کرد. این تجهیزات بر اساس مکان یا پروفایل کاربر و نوع دستگاه می توانند مصرف پهنای باند را تنظیم کرده و کنترل هایی شرطی مانند throttling را اعمال کنند. علاوه بر این بر اساس پروفایل کاربر، دستگاه و مکانیزم دسترسی این تجهیزات امکان کنترل دینامیک و مبتنی بر زمینه ی دسترسی کاربر به برنامه ها را فراهم می کند. همچنین می توانید برای کنترل کردن برنامه های اجاره ای (SaaS) مانند Salesforce.com یا WebEx سیاست هایی را تنظیم کنید.

جلوگیری از اتلاف داده

تجهیزات امنیت شبکه ی سیسکو از برون رفت اطلاعات حساس از ایمنی شبکه جلوگیری می کند. این کار انعطاف بیشتر و ریسک کمتر را تضمین می کند (شکل ۵). این قابلیت به قابلیت کنترل محتواهای خارج از مرز مانند برنامه های به اشتراک گذاری فایل اضافه شده است. می توانید در سیستم های ابری از آپلود شدن فایل ها در سرویس های به اشتراک گذاری مانند iCloud   و Dropbox جلوگیری کنید. همچنین می توانید با ایجاد قوانین مبتنی بر زمینه برای جلوگیری از اتلاف داده (DLP) و یا با استفاده از پروتکل سازشی محتوای اینترنت (ICAP) برای یکپارچه شدن با تمامی راهکارهای DLP  سوم شخص از برون رفت داده های محرمانه از شبکه جلوگیری کنید و به صورت عمیق سیاست های DLP را اجرا کرده و بر روی آن نظارت کنید.

شکل ۵ جلوگیری از اتلاف داده ها با استفاده از تجهیزات امنیت شبکه ی سیسکو

کل هزینه ی مالکیت کمتر

تجهیزات امنیت شبکه ی سیسکو برخلاف راهکارهای دیگر که برای ویژگی ها و عملیات های جدید به دستگاه های بیشتری نیاز دارند، راهکار مستحکمی را در تنها یک دستگاه ارائه می کند. در این صورت شما زمان کمتری را برای عیب یابی صرف می کنید و در ۹۹٫۹۹۹% مواقع تجهیزاتتان فعال و در دسترس هستند. با دریافت به روز رسانی های خودکار از Talos از آخرین تهدیدات بدون هیچ اقدامی مطلع شوید. در نهایت، می توانید زیرساخت VMware فعلی خود را در تعداد نامحدودی از گسترش های تجهیزات مجازی امنیت شبکه ی سیسکو (WSAV) به کار ببرید.

مدل ها و امکانات موجود

 

جدول ۱ مشخصات سخت افزاری تجهیزات امنیت شبکه ی سیسکو

Cisco S680 Cisco S380 Cisco S170
پلتفرم سخت افزاری
ضریب شکل ۲U ۲U ۱U
ابعاد ۳٫۵ x 19 x 29 in.

(۸٫۹ x 48.3 x 73.7 cm.)

۳٫۵ x 19 x 29 in.

(۸٫۹ x 48.3 x 73.7 cm.)

۱٫۶۴ x 19 x 15.25 in.

(۴٫۲ x 48.3 x 38.7 cm.)

منبع تغذیه اضافی Yes Yes No
قابل خاموش/روشن کردن از راه دور

 

Yes Yes No
امکان استفاده از برق DC Yes Yes No
هارد جایگزین Yes Yes Yes
امکان استفاده از فیبر نوری Yes (Accessory) No No
اترنت ۴ Gigabit NICs, RJ-45 ۴ Gigabit NICs, RJ-45 ۲ Gigabit NICs, RJ-45
سرعت (mbps) ۱۰/۱۰۰/۱۰۰۰, توافقی بین دو دستگاه ۱۰/۱۰۰/۱۰۰۰, توافقی بین دو دستگاه ۱۰/۱۰۰/۱۰۰۰, توافقی بین دو دستگاه

 

جدول ۲ تجهیزات مجازی امنیت شبکه ی سیسکو

کاربران شبکه
کاربران شبکه مدل فضای دیسک حافظه هسته ها
<1000 S000v ۲۵۰ GB ۴ GB ۱
۱۰۰۰-۲۹۹۹ S100v ۲۵۰ GB ۶ GB ۲
۳۰۰۰-۶۰۰۰ S300v ۱۰۲۴ GB ۸ GB ۴
سرورها
Cisco UCS ESXi 4.0 X 5.0 Hypervisor

 

جدول ۳ سری M تجهیزات مدیریت امنیت محتوا

Model Cisco M680 Cisco M380 Cisco M170
Users (approx.) ۱۰,۰۰۰ or more Up to 10,000 Up to 1,000

 

آشنایی با سرویس Splunk در AWS آمازون

PAYG for Splunk Insights on AWS

امروز در نشست AWS سانفرانسیسکو، قابلیت استفاده از Splunk Insights به منظور پایش ابر AWS در حالت PYAG انتشار می یابد. نسخه آزمایشی ۱۵ روزه و نسخه کامل نرم افزار با پرداخت $/h2 در یک مدل قیمت گذاری ساعتی در دسترس عموم قرار گرفته است.
چنین گزینه های ساعتی دارای حجم روزانه ۱۰GB است که معمولا پاسخگوی نیازهای یک محیط AWS متوسط است، ارایه می شود. همچنین امکان استفاده از قراردادهای یکساله (با حداقل قیمت) از طریق پیشنهادات ویژه مرکز فروش ممکن خواهد بود.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Splunk را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

بکارگیری Splunk Insights به منظور AWS Cloud Monitoring AMI ، یک روش تحلیلی است به منظور پایش ابر با قابلیت بررسی end-to-end زیرساخت AWS و ارزیابی لحظه ای عملکرد، صحت، پیکربندی، امنیت و هزینه های زیرساخت است.
این کار چگونه انجام می شود؟
بکارگیری Splunk Insights به منظور AWS Cloud Monitoring امکان پایش فضای ابر که شامل موارد زیر است، را فراهم می کند:

پایش منابع و بررسی میزان مصرف آنها

بررسی منابع و تغییرات آن، همچنین قابلیت پایش کلیه منابع ابر که شامل AWS Config و منابع دیتا AWS CloudTrail است، را فراهم می کند. نقشه توپولوژی Splunk’s AWS شمای کلی از وضعیت توسعه AWS موجود را نمایش می دهد؛ که قابلیت مشاهده و بررسی وضعیت مکانی و ارتباط منابع را از طریق اکانت، منطقه،virtual private cloud) VCP) ، برچسب و زمان فراهم می کند. همچنین نمای کلی از زمان ایجاد محیط تاکنون را ارایه می دهد. با استفاده از داشبوردهای پیش ساخته، مشتریان امکان مشاهده میزان مصرفEC2 instance، رهگیری و مشاهده جزئیات مصرفElastic Block Store) EBS) ، حجم ترافیکSimple Storage Service) S3 )، جریان ترافیک VCP، میزان تاخیر ELB ، میزان فعالیت Lambda و تاخیر Content Delivery Network) CloudFront CDN) ، را خواهند داشت. Visualization، دید جامعی (بر حسب اکانت، منطقه، بر چسب و زمان) از instance انحصاری تا جستجوی های اولیه و متریک های اصلی ارایه می دهد.

نحوه محاسبه صورتحساب، هزینه مصرف و بهینه سازی

قابلیت مدیریت هزینه Splunk’s AWS با استفاده از AWS instance و فهرست نمونه های پیشین آغاز شده و تا حد یک نمای کلی از هزینه منابع مورد استفاده و بلااستفاده، هزینه بر حسب اکانت و هزینه بر حسب سرویس ارایه شده، گسترش پیدا می کند. ظرفیت تعاملی و برنامه ریزی داشبوردها (صورتحساب ماهیانه و تاریخی، برنامه ریزی بودجه و RI و ظرفیت ها) امکان مدیریت صحیح هزینه ها و سرمایه ها را در طول زمان فراهم می کند. با این روش شما امکان پایش هزینه ها و میزان مصرف منابع را دارید و چنین نگرش جامعی امکان بهینه سازی هزینه های ابر موجود و یا انتقال به ابر AWS را فراهم می کند. علاوه بر این RI Planner، امکان برنامه ریزیReserved Instance) RI) موجود را از طریق ارایه دید کاملی از منابع موجود و توصیه های لازم در خصوص بهینه سازی آنها به همراه تخمین میزان صرفه جویی سالانه بر اساس داده های قبلی و یا میزان مصرف داده پیش بینی شده، ارایه می کند.

امنیت: بررسی و مدیریت Compliance

مشتریان امکان مشاهده فعالیت های حسابرسی AWS، کاربران غیر مجاز، نقض تعهدات امنیتی گروه ها و کلیدهای عمومی و خصوصی، ترافیک VCP مبدا،تهیه instance 0جدید، ارزیابی یافته های امنیتی، بررسی compliance و تغییرات AWS instance، را خواهند داشت.

پایش و عیب یابی

داشبوردهایی که از ابزار Splunk Machine Learning استفاده می کنند، قابلیت بهینه سازی هزینه های RI جامع تر، EC2 sizing، بررسی صحت ELB،Security Group orphans and Elastic IPs inactivity.. جدول زمانی منابع Splunk امکان مقایسه و ایجاد ارتباط میان AWS Cloudwatch، CloudTrail، Config Rules و بررسی رخدادها در یک نوار ابزار مبتنی سری زمانی را ارایه میدهد. از طریق تحلیل کلی رخدادها به صورت چشمگیری سرعت واکنش در مقابل آنها افزایش خواهد یافت. همچنین قابلیت شناسایی رخدادهای غیرمعمول بر کلیه داده های امنیتی و صورتحساب ها اعمال می شود.


Splunk Insights در پایش ابر AWS با مشخصه های AWS CloudTrail، AWS Config، AWS Config Rules، Amazon Inspector، Amazon RDS ، Amazon CloudWatch، Amazon VPC Flow Logs، Amazon S3، Amazon EC2، Amazon CloudFront، Amazon EBS، Amazon ELB و AWS Billing ترکیب شده و امکان پایش جامع محیط AWS را فراهم می کند.
زمانی که بار کاری خود را به ابر منتقل می کنید و به پایش اساس AWS می پردازید، بکارگیری Splunk Insights به منظور AWS Cloud Monitoring ، مشتریان را در پایش مقیاس instance و بار کاری آن که دائما در حال تغییر است، همچنین نحوه اتصال دیتا به برنامه به منظور نظارت جامع، یاری می کند. نرم افزار Splunk، تصویر کاملی از منابع و صحت کل زیرساخت ابر شامل کلیه node، معاملات و کاربران را در یک بستر فراهم می کند. این قابلیت مشتریان را در شناسایی تمام منابع توسعه یافته در زیرساخت AWS یاری می کند بدین ترتیب هر گونه مصرف غیرمتعارف و یا ابزار غیرمعمول به سادگی قابل شناسایی است.

آشنایی با ماژول SIEM و UBA سرویس Splunk

Machine-Data تولید شده یکی از رو به رشدترین و پیچیده ترین زمینه های big data است. یکی از ارزشمندترین این داده ها که شامل اطلاعات ثبت شده از تراکنش های کاربران، رفتار مشتریان، رفتار ابزارها، تهدیدات امنیتی، فعالیت های فریبکارانه و … است. Splunk این اطلاعات را بدون توجه به نوع کسب وکار به اطلاعات ارزشمندی تبدیل می کند و این مطلب به عنوان اطلاعات عملیاتی هوشمند شناخته می شوند.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Splunk را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

 

Splunk Enterprise به تحلیل و پایش machine data از منابع مختلف پرداخته و اطلاعات عملیاتی هوشمند، به منظور بهینه سازی IT، امنیت و عملکرد کسب وکار، ارایه می دهد. با وجود قابلیت هایی چون تحلیل های بصری، machine learning، open APIs و بسته های نرم افزاری، Splunk Enterprise بستری انعطاف پذیر و قابل توسعه از سطح تمرکز بر یک رخداد خاص تا تحلیل های گسترده شرکت های بزرگ، ارایه می دهد. Splunk Enterprise:
• تجمیع و تقسیم بندی وقایع ثبت شده و machine data از منابع مختلف
• توانایی جستجو، تحلیل و پایش قدرتمند در سراسر سازمان
• ارایه اکوسیستمی از برنامه های مبتنی بر Splunk، راهکاری جامع به منظور تحلیل های امنیتی، IT Ops و کسب وکار ارایه می دهد.
• امکان استقرار به عنوان یک سرویس ابری و محلی
سیستم هوشمند عملیاتی امکان درک رخدادهایی که در سراسر سیستم IT و زیرساخت سازمانی اتفاق افتاده، را می دهد؛ بنابراین می توان تصمیمات آگاهانه ای در برخورد با این رخدادها اتخاذ کرد. بستر Splunk پایه ای برای همه محصولات این شرکت، راهکارهای premium، برنامه ها و add-ons است.

Splunk به عنوان SIEM

امروزه راهکارهای امنیتی Splunk نه تنها به یک اصل برای SIEM تبدیل شده است، بلکه قابلیت هایی مانند تحلیل های امنیتی، درک کامل فضای شبکه به منظور یاری تیم های امنیتی در اتخاذ تصمیمات سریع تر و دقیق تر، را ارایه می دهد. Splunk گزینه های مختلفی برای سازمان ها به منظور استقرار SIEM و یا انتقال به SIEM مدرن معرفی می کند و همچنین گزینه های مختلفی از جمله استقرار محلی، ابری و هیبریدی را در اختیار سازمان ها قرار می دهد.
مشتریان با استفاده از Splunk Enterprise و Splunk Cloud نیازهای پایه SIEM خود را رفع می کنند. Splunk Enterprise و Splunk Cloud هسته مرکزی بستر Splunk را تشکیل می دهند که قابلیت هایی چون تجمیع، فهرست کردن، جستجو، ارایه گزارش و یا CLM را فراهم می آورند. اغلب مشتریان سرویس های امنیتی Splunk از Splunk Enterprise و یا Splunk Cloud به منظور ایجاد جستجوهای بهنگام، همبستگی اطلاعات و داشبوردهایی برای دریافت SIEM پایه، استفاده می کنند.
Splunk راهکارهای premium چون Splunk ES که قابلیت پشتیبانی از SIEM پیشرفته با داشبوردهای آماده استفاده، برقراری ارتباط جستجوها و ارایه گزارش، را دارد. امکان اجرای Splunk ES در بستر Splunk Enterprise، Splunk Cloud و یا هر دو وجود دارد. علاوه بر این Splunk ES حاوی قابلیت های بررسی رخدادها و گردش کار، دریافت اطلاعات از ۳rd party هوشمند مقابله با تهدیدات، به منظور ایجاد قوانین همبستگی پیش ساخته و هشدارهای لازم است. همچنین بیش از ۳۰۰ نرم افزار امنیتی در بستر Splunk با جستجوها، گزارش ها و سیستم های بصری پیش ساخته به منظور ارایه به فروشندگان ۳rd party امنیتی، وجود دارد. این برنامه ها، قابلیت ها و افزونه ها شامل پایش امنیتی، NGFW ، سیستم های پیشرفته مقابله با تهدیدات و … هستند که موجب افزایش پوشش امنیتی ارایه شده توسط Splunk و سایر ۳rd party ارایه دهنده سرویس امنیتی شده است.
همچنین Splunk ES یک SIEM مبتنی بر تحلیل است که از پنج چارچوب مجزا تشکیل شده است که امکان اجرای مجزای هر یک به منظور تامین دامنه وسیعی از الزامات امنیتی شامل compliance، امنیت نرم افزارها، مدیریت رخدادها، شناسایی پیشرفته تهدیدات، پایش لحظه ای و … وجود دارد. یک بستر SIEM مبتنی بر تحلیل machine learning، شناسایی رویدادهای غیر معمول و همبستگی مبتنی بر قوانین را در یک راهکار امنیتی تحلیلی ادغام می کند. Splunk ES امکان بررسی بصری ارتباطات میان رخدادها در هر زمان و به اشتراک گذاری جزئیات حملات چند مرحله ای را فراهم می کند. همچنین این بستر امکان پایش و ارایه گزارش های لحظه ای از حملات و سایر فعالیت های غیر معمول را در اختیار سازمان ها قرار می دهد. با استفاده از چنین تجزیه و تحلیل پیشرفته ای، مشتریان قادر به شناسایی سریع حملات و پاسخ مناسب در سراسر اکوسیستم امنیتی، خواهند بود.
Splunk ES به عنوان بخشی از یک پروژه امنیتی عظیم تر است که قابلیت CLM را در Splunk Enterprise و UBA پیشرفته به وسیله Splunk UBA ارایه می دهد.
چه عواملی Splunk را به عنوان SIEM مطرح می کند؟
• نرم افزار Splunk می تواند به عنوان SOC برای سازمان ها با هر ابعاد کاری (کوچک، متوسط و بزرگ) مورد استفاده قرار گیرد.
• پشتیبانی کامل از عملیات امنیت اطلاعات شامل ارزیابی وضعیت، پایش، هشدار و برخورد با رخدادها، CSIRT ، تحلیل نقض تعهدات، واکنش مناسب و بررسی ارتباط رخدادها
• SIEM قابلیت OOTB را داشته و بسیاری از موارد امنیتی آن حتی بدون نیاز به نصب قابل استفاده هستند.
• تشخیص تهدیدات شناخته شده و ناشناس، بررسی تهدیدات، تعیین compliance و استفاده از تحلیل امنیتی پیشرفته به منظور درک جزئیات
• بستر یکپارچه امنیتی هوشمند مبتنی بر big data
• استفاده از جستجوهای Ad hoc به منظور تحلیل پیشرفته هر گونه نقض تعهدات و قوانین
• قابلیت استقرار محلی، ابری و هیبریدی

Splunk UBA

Splunk UBA یک راهکار مبتنی بر machine learning است که به ارایه رویکردی به منظور شناسایی تهدیدات ناشناخته و رفتار غیر معمول در سطح کاربران، ابزارهای endpoint و نرم افزارها می پردازد. این راهکار نه تنها بر پاسخگوی تهدیدات خارجی است بلکه پاسخگوی تهدیدات داخلی نیز خواهد بود. الگوریتم های machine learning نتایج عملی به همراه رتبه بندی ریسک و نگهداری شواهد ارایه می دهد، این قابلیت ها امکان واکنش و پاسخ سریع تحلیلگران SOC را نشان می دهند. علاوه بر موارد این پایه و اساسی برای تحلیلگران امنیتی به منظور بررسی فعال رفتارهای غیر معمول فراهم می کنند.

Splunk UBA در یک نگاه

• ارتقا قابلیت ردیابی و شناسایی با استفاده از چارچوب رفتار محور، هدفمند و machine learning قابل تنظیم که شامل الگوریتم های کنترل نشده است.
• ارتقا قابلیت UEBA تحلیلگران SOC با استفاده از اتصال صدها رفتار غیر معمول و ارایه آن به عنوان یک تهدید مستقل
• بهبود وضعیت با استفاده از پیش بینی تهدیدات طی یک حمله چند مرحله ای
• تجمیع دو سویه با استفاده از Splunk Enterprise برای دریافت اطلاعات و همبستگی داده ها و بکارگیری Splunk ES به منظور ارزیابی و بررسی رخدادها و پاسخ خودکار

ارایه بستر هوشمند امنیتی توسط InfoTeK و Splunk به منظور استفاده در بخش عمومی

بسیاری از سازمان ها به منظور نظارت، بررسی و پاسخگویی تهدیدات به نرم افزار SIEM وابسته هستند؛ لیکن در برخی از نمایندگی های دولت امریکا، SIEM مسئولیت خود را به درستی ایفا نکرده اند و SIEM سنتی آنها از نوع HP ArcSight قادر به تامین کلیه انتظارات نبوده است. این موسسه از InfoTeK که از شرکت های پیشرو در زمینه امنیت سایبری است، خواستار مشارکت در ارایه راهکاری به منظور جایگزینی SIEM سنتی خود شده است. از زمان توسعه بستر Splunk مشتریان از مزایای زیر بهره مند شدند:
• متوقف کردن بی درنگ حملات
• کاهش ۷۵ هزینه استقرار و پشتیبانی SIEM
• کاهش ابزارهای مورد نیاز، از جمله سیستم های جمع آوری اطلاعات ثبت شده و راهکارهای مرتبط با endpoint
این موسسه با استفاده از Splunk Enterprise و Splunk ESیک SIEM مبتنی بر تحلیل به منظور ارایه سیستم هوشمند عملیاتی با قیمت مناسب، فراهم کرده است. InfoTeK نرم افزار Splunk را در مدت یک هفته برای این موسسه مستقر کرد. پس از شروع به کار، نرم افزار ارزش هزینه صرف شده را به اثبات رساند. تیم های IT قادر به جستجوی سریع رخدادهای امنیتی و متوقف ساختن بردارهای حملات هدفمند شده اند.
Jonathan Fair، مدیر ارشد بخش مهندسی امنیت شرکت InfoTeK اظهار کرد:” فرآیندی که با صرف ساعت ها و روزها و با استفاده از ابزارهای چندگانه سایر محصولات انجام می شد، اکنون با استفاده از این ابزار در عرض چند ثانیه، دقیقه و یا ساعت توسط Splunk انجام می شود. مشتری ما پیش از خریداری کامل محصول از بازده سرمایه گذاری خود بهره مند شدند، زیرا به شکل موفقیت-آمیزی حمله ای را که قادر به تخریب کامل شبکه بود، بدین وسیله متوقف کرد.”

هزینه کرد بیش از ۹۰۰ هزار دلار کابینه و ادارت دولتی امریکا به منظور نگهداری نرم افزارهای قدیمی

شهروندان ادعا می کنند نهادهای دولتی نه تنها پول مالیات دهندگان را به شکل عاقلانه ای خرج کنند، بلکه تمام تلاش خود را برای اطمینان از اجرای صحیح عملیات و ارایه موثر سرویس ها، داشته باشند. یکی از ادارات بزرگ دولتی امریکا، قبلا از HP ArcSight که ابزاری کند و پر هزینه به منظور مدیریت رخدادها است، استفاده می کرد، از طرف دیگر این ابزار پاسخگوی نیازهای سازمان مذکور نبود. این سازمان با جایگزینی Splunk Enterprise به عنوان بستر تامین کننده امنیت، از مزایای زیر بهره مند شد:

• صرفه جویی ۹۰۰،۰۰۰ دلاری در هزینه های نگهداری و پشتیبانی نرم افزارها
• بهبود قابلیت های امنیتی شامل شناسایی، پاسخگویی و بازیابی
• کاهش زمان تحقیقات امنیتی از چندین ساعت به چند دقیقه
رویکرد امنیتی فعالانه
Margulies و تیم او مسئولیت SOC این سازمان را بر عهده دارند که شامل ۴۰ تحلیلگر است که از Splunk Enterprise به منظور بررسی رخدادهای امنیتی استفاده می کنند و همچنین تیم IT که به این نرم افزار به منظور عیب یابی و ارایه گزارش وابسته است. به علاوه مشتریان شامل کارکنانی است که وظیفه تضمین مطابقت این سازمان با قوانین و استانداردهای امنیتی را بر عهده دارند.
محافظت از اعتبار برند و امنیت اطلاعات Heartland Automotive توسط بستر Splunk

dba Jiffy Lube یکی از بزرگترین دارندگان حق امتیاز خرده فروشی روغن در امریکا است. Heartland Automotive به منظور حفاظت از نام تجاری و منابع مهم خود یعنی اطلاعات، نیازمند یک زیر ساخت امنیت سایبری است. این تولیدکننده از زمان استقرار Splunk ES و Splunk UBA به عنوان بستر یکپارچه SIEM از مزایای زیر بهره مند شده است:
• تنها در مدت سه هفته اهداف این ارزش گذاری با اجرای SIEM به منظور تامین امنیت در مقابل تهدیدات داخلی مشخص شد.
• بستری به منظور اعمال نوآوری های جدید با هزینه مالکیت ۲۵ درصد کمتر از سیستم امنیتی پیشین
• تحقیقات امنیتی بهنگام و حفاظت در مقابله با تهدیدات داخلی
اغلب پیاده سازی SIEM پیچیده است، زیرا سازمان های بزرگ منابع اطلاعاتی زیادی دارند و هفته ها برای تنظیم هشدارهای لازم زمان نیاز است. با توجه به اظهارات Alams، تیم سرویس امنیتی Splunk کلیه مراحل شناسایی منابع اطلاعاتی شرکت، طراحی SIEM و پیکربندی هشدارها را بدون هیچ کم وکاستی انجام داد.
Chidi Alams، رئیس فناوری اطلاعات و امنیت اطلاعات شرکت Heartland Automotive اظهار می دارد: “زمان مهمترین عامل ارزش گذاری است. ما سیستم SIEM و تشخیص تهدیدات داخلی را که به طور معمول سه ماه زمان نیاز دارد در کمتر از سه هفته راه اندازی کردیم. سرپرست اداره مالی و دیگر اعضای تیم مدیریت ارشد شرکت، تحت تاثیر سرعت اجرا و استقرار قرار گرفتند.”

مساله بازگشت سرمایه در Splunk

راهکارهای SIEM تحلیلی، اغلب از منظر قیمت از منظر سرمایه گذاران مورد انتقاد قرار می گیرد، لیکن این هزینه ها تنها هزینه های اولیه هستند و بازده سرمایه گذاری به سرعت قابل مشاهده است. اهمیت این هزینه های بالای راهکارهای مبتنی بر تحلیل، هنگامی آشکار خواهد شد که سازمان، قربانی یک تهدید و یا باج افزاری شود. بنابراین بازده سریع سرمایه در محافظت فعال شبکه در مقابله با حملات داخلی و خارجی قابل مشاهده است لیکن این مساله تنها زمینه بازگشت سرمایه گذاری در SIEM نیست. راهکارهای SIEM مبتنی بر تحلیل، پاسخگوی رخدادهای معمول امنیتی حوزه IT همچون compliance، کلاهبرداری، شناسایی سرقت و سوءاستفاده از اطلاعات، سرویس های اطلاعاتی هوشمند، ارایه نرم افزارها و تحلیل های حوزه کسب وکار نیز هستند.
با توجه به اینکه تیم های امنیتی به صورت هماهنگ با سایر بخش های IT کار می کنند، قابلیت پایش و نظارت مرکزی بر کلیه رخدادهای سراسر شبکه نقش مهمی در بازگشت سرمایه خواهد داشت. بهترین راه برای درک بازده سرمایه گذاری ( ROI ) راهکارهای SIEM مبتنی بر تحلیل، بهره گیری از تجربیات سایر کاربران این سیستم است.

آینده SIEM

تکنولوژی های SIEM مختلفی موجود است و در این راهنما تنها به بیان تفاوت های میان صورت سنتی و راهکارهای مدرن مبتنی بر تحلیل پرداخته شده است. SIEM مبتنی بر تحلیل، رویکردی روشن در برابر بازار آتی محصولات امنیتی قرار می دهد. این راهکارهای مدرن امنیتی، روشی مطمئن در مقابله با تهدیدات شامل شناسایی، بازیابی، ارایه هشدار، گزارش compliance است و هم زمان بازده بالای سرمایه گذاری را نیز تضمین می کند. راهکاری مبتنی بر SIEM تحلیلی، در حال انطباق خود با سرعت روزافزون رشد تهدیدات هستند تا همواره یک گام پیش تر از تهدیدات بوده و بتوانند امنیت شبکه ها را تامین کنند.