آشنایی با نرم افزار سیسکو پرایم Cisco Prime

زیرساخت Cisco Prime 3.x

زیرساخت سیسکو Prime

زیرساخت سیسکو Prime یک ابزار مدیریت شبکه است که از مدیریت چرخه عمر کل زیرساخت شبکه شما از طریق یک رابط گرافیکی واحد پشتیبانی می‌کند. این زیرساخت،  یک راه‌حل واحد برای تهیه، نظارت، بهینه‌سازی و عیب‌یابی دستگاه‌های سیمی و بی‌سیم برای Admin های شبکه فراهم می‌کند. رابط‌های گرافیکی قوی، استقرار و عملیات دستگاه را ساده و مقرون به صرفه می‌کند.

برای غلبه بر این چالش‌ها، متخصصان فناوری اطلاعات برای مدیریت، تجسم و نظارت بر شبکه از یک رابط گرافیکی واحد، نیاز به یک راه‌حل جامع دارند. زیرساخت سیسکو Prime ، مدیریت چرخه زندگی، قابلیت اطمینان، و قابلیت عیب‌یابی در سطح شبکه از کاربر بی‌سیم در شعبه، از طریق WAN و به مرکز داده را فراهم می‌کند. در اصل، این یک مدیریت و یک تضمین برای یک شبکه است.

زیرساخت Cisco Prime 3.x

 

نقاط برجسته زیرساخت سیسکو Prime

زیرساخت سیسکو Prime به شما کمک می‌کند شما را قادر می‌سازد تا شبکه خود را به طور کارآمدتر و مؤثرتری مدیریت کنید، در نتیجه شما را قادر می‌سازد به بالاترین سطح عملکرد شبکه بی‌سیم و سیمی، اطمینان از خدمات و تجربه کاربر نهایی کاربرد محور، دسترسی پیدا کنید.

  •  زیرساخت سیسکو Prime یک بستر واحد و یکپارچه برای ارائه خدمات، نظارت و اطمینان از خدمات شبکه و تغییر و مدیریت انطباق ارائه می‌دهد. این زیرساخت استقرار دستگاه و خدمات را تسریع می‌کند و به شما کمک می‌کند تا به سرعت مشکلاتی را که می‌تواند بر تجربه End-User تأثیر بگذارد، برطرف کنید. همچنین مدت زمانی را که برای مدیریت شبکه موجود صرف می‌کنید به حداقل می‌رساند تا بتوانید مدت زمانی را که برای حمایت از رشد مشاغل صرف می‌کنید، به حداکثر برسانید.
  • زیرساخت سیسکو Prime باعث می‌شود طراحی و تحقق ویژگی‌ها و خدمات متفاوت سیسکو سریع و کارآمد باشد. با پشتیبانی از فناوری‌هایی مانند WAN هوشمند (IWAN)، توزیع بی‌سیم با دسترسی همگرا، قابلیت مشاهده و کنترل برنامه (AVC)، فایروال مبتنی بر منطقه و خدمات شبکه‌ای مبتنی بر هویت Cisco TrustSec، به شما کمک می‌کند تا در اسرع وقت بیشترین بهره را از هوشمندی موجود در دستگاه‌های سیسکو خود ببرید.
  • زیرساخت سیسکو Prime ابزارهای جاسازی شده سیسکو و فناوری‌های پیشرو در صنعت را به منظور دید برنامه و بهینه‌سازی خط مشی شبکه، پیکربندی استفاده می‌کند. این فناوری‌ها شامل Net Flow، تشخیص برنامه کاربردی مبتنی بر شبکه  (NBAR2)، پروتکل مدیریت شبکه ساده (SNMP) و موارد دیگر است. زیرساخت سیسکو Prime  همچنین ضبط و پردازش عملکرد برنامه کاربردی و داده‌های تشخیصی بسته از طریق استقرار ماژول تجزیه و تحلیل شبکه سیسکو توزیع شده را مد نظر قرار می‌دهد.
  •  زیرساخت سیسکو Prime با استفاده از جمع‌آوری داده‌های خاص خود و ادغام‌های کلیدی، دید دقیق و مشخصی را در مورد اینکه چه کسی، چه چیزی، چه زمانی، کجا و چگونه به دستگاه بی‌سیم دسترسی دارد، ارائه می‌دهد. این زیرساخت از موارد زیر پشتیبانی می‌کند: ۸۰۲٫۱۱ac ؛ قابلیت مشاهده مشتری بی‌سیم / سیمی همبسته؛ نظارت بر زیرساخت دسترسی یکپارچه؛ نگاشت مکانی برنامه امنیتی و خطای یکپارچه و عیب‌یابی با ادغام موتور خدمات شناسایی هویت سیسکو (ISE) ؛ ردیابی یکپارچه مبتنی بر مکان از تداخلات، تقلب‌ها و گزارش‌دهی مشتری از طریق Wi-Fi با موتور خدمات تحرک سیسکو (MSE) و ادغام سیسکو CleanAir؛ ابزار پیش‌بینی RF؛ و موارد بیشتر.
  • زیرساخت سیسکو Prime مدیریت مقیاس‌پذیر و تضمین خدمات را در گستره زیرساخت‌های سازمانی در شعبه، دانشگاه و شبکه‌های مرکز داده از جمله تجهیزات شبکه، سرورهای UCS و ماشین‌های مجازی ارائه می‌دهد. امکان ردیابی کاربر در شعبه‌ای که از طریق یک دستگاه بی‌سیم یا سیمی وصل می‌شود، تمام راه‌ها برای یک منبع محاسبه در مرکز داده‌ها، برای پردازش سریع، اصلاح و عیب‌یابی ضروری است.
  •  سازمان‌های بزرگ یا جهانی غالباً مدیریت شبکه را براساس Domain، منطقه یا کشور توزیع می‌کنند. مرکز عملیاتی زیرساخت سیسکو Prime به شما کمک می‌کند تا حداکثر ۱۰ مورد از زیرساخت‌های سیسکو را تجسم کنید، ضمن حفظ دید و کنترل متمرکز، توانایی مدیریت شبکه خود را گسترش دهید.

ویژگیهای جدید در نسخه Prime 3.x

زیرساخت سیسکو Prime 3.x قابلیت‌های جدیدی ارائه می‌دهد و چند مورد آن در ادامه ذکر شده است:

  • پیشرفت‌های بستر نرم‌افزاری
  • رابط کاربری جدید: رابط کاربری مدرن با HTML 5.0 (و حذف فلاش) به اپراتورها امکان مشاهده سریع و آسان را برای جداسازی موضوعات در شبکه و شناسایی ریشه‌های اصلی ایجاد می‌کند. رابط کاربری جدید همچنین به مشتریان این امکان را می‌دهد که مستقل از بدون توجه به استفاده از رایانه لوحی (تبلت) یا رایانه‌های شخصی، تجربه بهتری داشته باشند.
  • شخصی‌سازی زنگ هشدار: اپراتورهای شبکه قابلیت تنظیم آلارم (زنگ هشدار) را بر اساس نیازهای عملیاتی شرکت دارند. هشدارهای مبتنی بر syslog قابل تنظیم، امکان ایجاد آلارم جدید را به صورت دلخواه ایجاد می‌کنند و پاسخ اپراتور را در اولویت قرار می‌دهند.
  • نمودارهای عملکرد همبسته: نمودارهای همبسته مدیران را قادر می‌سازد تا عیب‌یابی مقایسه ای KPI های شبکه را انجام دهند. پوشش آلارم و رویدادهای تغییر پیکربندی در نمودارهای همبسته، به اتصال رویدادهای تغییر شبکه برای پیشرفت تخریب عملکرد کمک می‌کند.
  • سازگاری پیکربندی: با افزودن موتور سازگاری، محصول برای اپراتور امکان تعیین پیکربندی شبکه طلایی و انجام ممیزی روی دستگاه‌های شبکه را در برابر بایگانی پیکربندی یا پیکربندی دستگاه فراهم می‌کند. گزارش حسابرسی، دستگاه‌هایی را شناسایی می‌کند که از انطباق برخوردار نیستند. اپراتورها می‌توانند دستگاه‌هایی را که مطابق با پیکربندی مورد نظر نیست، اصلاح کنند. این موتور همچنین به تولید گزارش‌های EoL / EoS / PCI برای دستگاه‌های شبکه و ماژول‌های سخت‌افزاری کمک می‌کند. قسمت‌های CVE، CVSS و Caveats در گزارش صفحه PSIRT آورده شده است.

 

  • پشتیبانی محلی‌سازی ژاپنی: پشتیبانی از UI جایگزین را در Kanji ارائه می‌دهد.
  • مدیریت بی‌سیم: عیب‌یابی ساده مشتری می‌تواند به اپراتورهای شبکه کمک کند تا به راحتی علت اصلی مشکلات مشتری را در قالب گرافیکی تشخیص دهند و شناسایی مسئله و حل آن را سرعت بخشند. مدیریت و عیب‌یابی تقلب با پیشرفت‌های ردیابی پورت سوئیچ (SPT) ساده شده است تا دستگاه‌های متقلب روی سیم را در شبکه شناسایی نماید.
  • Routing مدیریت WLAN هوشمند: گردش کار هدایت شده مبتنی بر طرح‌های معتبر سیسکو و بهترین شیوه‌های تجربی، به طور جدی استقرار و مدیریت دستگاه‌ها و خدمات IWAN سیسکو را ساده‌تر می‌کند. گردش کار، ارائه خدمات مانند VPNپویا چندنقطه (DMVPN)  و عملکرد مسیریابی (PfR) را سرعت می‌بخشد و پیکربندی کیفیت خدمات (QoS) و نظارت را ساده می‌کند. داشبورد مانیتورینگ PfR، دیدگاهی را در مورد نحوه بهینه‌سازی مسیر برنامه در مسیرهای حمل و نقل جایگزین ارائه می‌دهد و به عیب‌یابی در رویدادهای تغییر مسیر هدایت شده توسط IWAN کمک می‌کند.
  • دستورالعمل‌های دسترسی به محتوای وب (WCAG 2.0): تمام تست‌های PI 3.x WCAG را مطابق با چک لیست دستورالعمل‌های دسترسی به محتوای وب ۲٫۰ (https://www.w3.org/TR/WCAG20/) انجام می‌دهد.
  • همزیستی مرکز DNA سیسکو: هدف از این همزیستی، فعال کردن مشتریان زیرساخت Prime است که با استفاده از مرکز DNA سیسکو و با حداقل تلاش، روند خود را آغاز کنند. این مرکز با استفاده از گردش کار به مهاجرت دستگاه‌ها، گروه‌های موقعیت مکانی، نقشه‌ها و سرورهای CMX از زیرساخت Prime به مرکز DNA سیسکو یکپارچه کمک می‌کند. همچنین امکان به روزرسانی‌های افزایشی مجموعه داده‌های مهاجرت کرده و آغاز استفاده از تضمین مرکز DNA سیسکو برای سایت‌های مهاجرت کرده از روز اول را فراهم می‌کند. برای اطلاعات بیشتر به مرکز DNA سیسکو و همزیستی Prime مراجعه کنید.
  • پشتیبانی دستگاه در دستگاه‌های بی‌سیم و سیمی: زیرساخت Prime سیسکو، تقریباً همه نوع دستگاه‌های شبکه در Routing ، Switching ، دستگاه IoT، دستگاه بی‌سیم Access Point و حالت تحرک اکسپرس را در بر می‌گیرد. به بخش دستگاه‌های پشتیبانی شده و ماتریس سازگاری با نرم‌افزار راه‌حل‌های بی‌سیم سیسکو مراجعه کنید.

مشخصات محصول

جدول ۱ مشخصات محصول را برای گزینه‌های مختلف استقرار مجازی و فیزیکی فراهم کرده که توسط زیرساخت سیسکو Prime پشتیبانی می‌شود.

زیرساخت Prime در ابزار مرکز معماری شبکه دیجیتال سیسکو (مرکز DNA سیسکو) موجود است. زیرساخت Prime 3.6 بر روی PRIME-NCS-APL-K9 (که تحت عنوان Gen 1 نیز شناخته می‌شود) پشتیبانی نمی‌شود. زیرساخت Prime 3.6 از PI-UCS-APL-K9 (که تحت عنوان Gen 2 نیز شناخته می‌شود)، PI-UCSM5-APL-K9(که تحت عنوان Gen 3  – ۴۴ هسته فقط برای مرکز DNA سیسکو نیز شناخته می‌شود) و DN1-HW-APL (که تحت عنوان دستگاه مرکز DNA سیسکو نیز شناخته می‌شود)، پشتیبانی می‌کند. شما می‌توانید دستگاه فیزیکی زیرساخت Prime که نسخه Prime 3.4.x یا ۳٫۵٫x را اجرا می‌کند به نسخه ۳٫۶٫x به روز رسانی کنید. همچنین می‌توانید نسخه‌های قدیمی‌تر را به ۳٫۴٫x یا ۳٫۵٫x ارتقا دهید و سپس آن را به ۳٫۶٫x به روزرسانی نمایید.

زیرساخت Cisco Prime 3.x

جدول ۱: مشخصات محصول زیرساخت Prime 3.x سیسکو

 

*  اندازه‌های درایو هارد دیسک ذکر شده در بالا، اندازه VM برای اختصاص ضخامت است. توصیه می‌شود ۵۰٪ فضای اضافی را نیز در محل ذخیره داده VM بدون استفاده بگذارید، تا در صورت لزوم SnapShot از VM تهیه کنید، زیرا SnapShot ، نیاز به فضای اضافی دارند.

** به مشتریانی که از نسخه PI 2.2 به PI 3.x ارتقا می‌دهند، توصیه می‌شود از پهنای باند دیسک I / O تا ۳۲۰ مگابیت بر ثانیه پیکربندی نمایند تا کاهش عملکرد را به حداقل برسانند.

* دستگاه Gen -3 از زیرساخت Prime 3.5 به بعد پشتیبانی می‌کند. اعلامیه پایان فروش و پایان عمر دستگاه‌های Gen 2 HW و نرم‌افزارهای نسخه ۳٫۱ و ۳٫۲٫

آشنایی با نرم افزار Cisco Stealthwatch

Stealthwatch سیسکو با دید شبکه و تجزیه و تحلیل امنیتی، دفاع در مقابل تهدیدات را بهبود می‌بخشد.

Cisco Stealwatch

شبکه سازمانی، امروزه پیچیده‌تر و توزیع شده‌تر از گذشته است. چالش‌های امنیتی جدید، به صورت هفتگی به وجود می‌آید. چشم‌انداز همیشه در حال تحول، همراه با روندهایی مانند Cloud Computing و IOT ، وضعیت را پیچیده‌تر می‌کند. متاسفانه هرچه تعداد کاربران و دستگاه‌های متصل به شبکه افزایش پیدا می‌کند، دستیابی به قابلیت دید در مورد آنچه در جریان است، دشوارتر به دست خواهد آمد و شما قادر نخواهید بود از آنچه نمی‌توانید ببینید، محافظت کنید.

Cisco Stealthwatch مقادیر انبوهی از داده‌ها را جمع‌آوری و تجزیه و تحلیل می‌کند تا حتی به بزرگترین و پویاترین شبکه‌ها، دید و محافظت جامع درونی دهد. این امر کمک می‌کند تا تیم‌های عملیات امنیتی، آگاهی‌های موقعیتی Real-Time را از کلیه کاربران، دستگاه‌ها و ترافیک در شبکه گسترده به دست آورند تا بتوانند به سرعت و به طور مؤثر به تهدیدات پاسخ دهند.

با نظارت و هوشمندسازی مداوم، می‌توانید طیف گسترده‌ای از حملات را تشخیص دهید. می‌توانید رفتارهای مربوط به بدافزار Zero-day ، تهدیدات خودی، تهدیدات پیشرفته مداوم (APT)،  (DDoS) و سایر حملات را قبل از ویران کردن شبکه خود، شناسایی کنید. برخلاف سایر راه‌حل‌های نظارت بر امنیت، Stealthwatch  نه تنها ترافیک ورودی و خروجی از شبکه بلکه ترافیک داخلی جنبه جانبی یا شرق غربی را نیز نظارت می‌کند تا سوءاستفاده از شبکه و تهدیدات داخلی را نیز شناسایی نماید.

قابلیت های Cisco Stealwatch

  • قابلیت دید برای شناسایی تهدیدات داخلی و خارجی در کلیه مکالمات شبکه ، از جمله ترافیک شرق – غرب و شمال به جنوب، به دست می‌آید.
  • انجام تجزیه و تحلیل پیشرفته امنیتی و به دست آوردن زمینه عمیق برای کشف طیف گسترده‌ای از رفتارهای ناهنجار که ممکن است نشانه حمله باشد.
  • تسریع و بهبود تشخیص حمله، واکنش به واقعه و جرم‌یابی در کل شبکه به منظور کاهش خطر سازمان
  • فعال کردن تحقیقات جرم‌یابی عمیق‌تر با سابقه حسابرسی فعالیت شبکه
  • ساده‌سازی انطباق، تقسیم‌بندی شبکه، نظارت بر عملکرد و برنامه‌ریزی ظرفیت با گسترش دید در کل شبکه

حملات بیشتر، قابلیت دید کمتر

شبکه‌های امروزی پیچیده‌تر و توزیع‌شده تر از قبل هستند. با دستیابی سازمان‌ها به مشاغل جدید و گسترش شعبه‌ها و مکان‌های از راه دور، محیط شبکه گسترش می‌یابد که در نتیجه دفاع از آن را دشوارتر می‌کند. و تعداد بیشتری از کاربران از مکان‌های بیشتری نسبت به گذشته و با دستگاه‌های بیشتر به این شبکه‌ها متصل می‌شوند. همچنان که شبکه به گسترش خود ادامه می‌دهد، قابلیت دید در مورد آنچه اتفاق می‌افتد، چالش برانگیرتر خواهد شد.

به طور همزمان، حمله‌کنندگان نسبت به گذشته بسیار پیشرفته‌تر، چابک‌تر و سازمان یافته‌تر شده‌اند، بنابراین مشاهده هرگونه ویژگی بارز مشکوک در شبکه برای دفاع در برابر حملات، بسیار مهم و حیاتی است. در امنیت، درک از قابلیت دید حاصل می‌شود. و عدم دید به طور موثری توانایی ارائه تشخیص شبکه و اعتبارسنجی سازگاری را محدود می‌کند. این امر توانایی شما در محافظت از فضای داخلی شبکه در برابر تهدیدات داخل و خارج از شبکه را پیچیده می‌کند. مشاهده همه فعالیت‌ها برای تأمین امنیت شبکه‌های پیچیده بسیار مهم است. برای تعیین اینکه آیا ممکن است یک رفتار غیرعادی وجود داشته باشد یا خیر، باید جریان ترافیک، برنامه‌ها، کاربران و دستگاه‌های شناخته شده و ناشناخته را مشاهده کنید.

Stealthwatch به طور چشمگیری دید شبکه، امنیت و واکنش را در کل شبکه بهبود می‌بخشد. این ابزار کمک می‌کند تا تیم‌های عملیات امنیتی، آگاهی‌های موقعیتی Real-Time را از کلیه کاربران، دستگاه‌ها و ترافیک شبکه، در مرکز داده و در ابر به دست آورند، تا بتوانند به سرعت و به طور مؤثر در مقابل تهدیدها واکنش نشان دهند. و با تجزیه و تحلیل شناختی، قابلیت کشف و تجزیه و تحلیل تهدید مبتنی بر ابر، می‌توانید هم در ترافیک وب و هم در شبکه، دید عمیق داشته باشید. این اطلاعات متنی اضافی به شما کمک می‌کند تا تهدیدات جدید و نوظهور را در سراسر شبکه گسترده شناسایی و اولویت ‌بندی کنید.

آقای Phil Agcaoili مدیر امنیت اطلاعات سازمان Elavon : ” وقتی من وارد یک سازمان می‌شوم و می‌دانم که به درک اساسی از آنچه اتفاق افتاده یا [آنچه] اتفاق می‌افتد، نیاز دارم، Stealthwatch همیشه گزینه مورد نظر من است. … بزرگترین دارایی Stealthwatch برای تیم من این بوده است که وقتی هیچکس توجه نمی‌کند، Stealthwatch همچنان در حال نظارت و مشاهده است “.

نظارت مستمر شبکه

با داشتن بینش عمیق نسبت به همه چیز در شبکه، می‌توانید به سرعت رفتار عادی محیط خود را شروع کنید، مهم نیست که اندازه یا نوع سازمان شما چیست. این دانش باعث می‌شود شناسایی موارد مشکوک آسان‌تر شود. شما همچنین می‌توانید دارایی‌های مهم شبکه را برای بهبود کنترل و حفاظت از دسترسی، بخش بندی و شناسایی کنید.

سیستم Stealthwatch فراتر از بهبود تشخیص تهدید Real-Time است. این ابزار زمان واکنش حادثه را به طور چشمگیری سرعت می‌بخشد و اغلب زمان عیب یابی را از روزها یا حتی ماه‌ها به دقیقه‌ها کاهش می‌دهد. امکان ذخیره داده‌های شبکه به مدت ماه‌ها یا حتی سال‌ها، یک دنباله حسابرسی ارزشمند از کلیه فعالیت‌های شبکه را فراهم می‌کند، بنابراین می‌توانید به راحتی تحقیقات جرم‌شناسی پس از حادثه را انجام دهید.

علاوه بر ارائه دیدگاه جامع از ترافیک شبکه، Stealthwatch سطح امنیتی بیشتری را در اختیار شما قرار می‌دهد. این موارد شامل آگاهی کاربر و دستگاه، قابلیت مشاهده Cloud ، آگاهی از برنامه‌ها و داده‌های پرورش دهنده تهدید است.

تجزیه و تحلیل ترافیک رمزگذاری شده برای بهبود امنیت

رمزگذاری در امنیت مهم است. اما اگرچه ممکن است شما برای محافظت از داده‌ها و حفظ حریم خصوصی از رمزگذاری استفاده کنید، مهاجمان از آن برای پنهان کردن بدافزارها و جلوگیری از شناسایی شدن با استفاده از محصولات امنیتی شبکه استفاده می‌کنند. با استفاده از Stealthwatch و قابلیت‌های تجزیه و تحلیل پیشرفته آن، می‌توانید بهتر درک کنید که آیا ترافیک رمزگذاری شده در شبکه مخرب است یا خیر.

Stealthwatch از یادگیری ماشین و مدل‌سازی آماری برای تجزیه و تحلیل ترافیک رمزگذاری شده به منظور تقویت تحلیل NetFlow استفاده می‌کند. آنالیز شناختی می‌تواند از آنچه می‌بیند، یاد بگیرد و با تغییر رفتار شبکه در طول زمان سازگار شود. دورسنجی شبکه از طریق Flow Collector جمع‌آوری می‌شود و برای تجزیه و تحلیل بیشتر به آنالیز شناختی ارسال می‌شود. Stealthwatch با تجزیه و تحلیل شناختی، قابلیت دید در جریان‌های ترافیکی را از طریق متمرکز کردن مدیریت شبکه و ترافیک وب در کنسول مدیریت، بهبود می‌بخشد. به جای رمزگشایی ترافیک، Stealthwatch با تجزیه و تحلیل شناختی برای شناسایی تهدیدات و تسریع در پاسخ مناسب، الگوهای مخرب را در ترافیک رمزگذاری شده مشخص می‌کند.

Stealthwatch در مقابل سایر فناوری‌های امنیتی

سیستم Stealthwatch تله‌متری (دورسنجی) شبکه مانند جریان(NetFlow، sFlow، JFlow، IPFIX  و غیره) را از Router ها، Switchها و Firewall ‌های شما جمع‌آوری و آنالیز می‌کند تا بر رفتار شبکه و کاربران نظارت کند. این سیستم تجزیه و تحلیل‌های پیچیده و اختصاصی را بر روی داده‌های شبکه انجام می‌دهد تا به طور خودکار رفتارهای غیرعادی که ممکن است نشانه حمله باشد را تشخیص دهد.

بعضی اوقات Stealthwatch با سایر راهکارهای نظارتی مانند اطلاعات امنیتی و مدیریت رویداد (SIEM) و ضبط کامل بسته‌ها مقایسه می‌شود. فناوری SIEM ، syslog را از دارایی‌های شبکه ردیابی می‌کند و هشدارها و زنگ های مربوط به ابزارهای مبتنی بر امضا را صادر می‌کند. متأسفانه، syslog نشات گرفته از دستگاه‌های به خطر افتاده غیرقابل اعتماد است، و ابزارهای نظارت مبتنی بر امضا فقط می‌توانند آنچه را که به آنها دسترسی دارند، ببینند و در نتیجه تغییرات رفتاری را از دست می‌دهند.

در همین حال، ضبط کامل بسته به دلیل هزینه و پیچیدگی بسیار بالا، فقط می‌تواند در مناطق محدود شبکه مستقر شود. تکمیل این منابع اطلاعاتی با نظارت فراگیر و مبتنی بر رفتار برای پر کردن شکاف‌های امنیتی خطرناک بسیار مهم است. علاوه بر این، Stealthwatch  را می‌توان به همراه آنالایزر بسته امنیتی سیسکو استفاده کرد تا بسته‌های مربوط به یک جریان ترافیکی غیرعادی تولید شده توسط زنگ خطر Stealthwatch را ضبط و بررسی کند.

قابلیت‌های Stealthwatch همچنین از فناوری‌های امنیتی رقیب (از جمله سایر ابزارهای نظارتی مبتنی بر جریان) فراتر می‌رود، زیرا بسیار مقیاس‌پذیر است. توانایی تکثیر و اتصال Recordهای جریان یک طرفه به یکدیگر، منجر به نظارت و ذخیره‌سازی جریان کارآمد حتی برای بزرگترین و پیچیده‌ترین شبکه‌های سازمانی می‌شود.

وی افزود: ” Stealthwatch دید بهتری نسبت به فعالیت‌های شبکه در سراسر شرکت جهانی ما ایجاد کرده است. قابلیت‌های گزارش‌دهی و هشدار داده به صورت تقریباً Real-Time ، تیم ما را قادر می‌سازد هرچه سریعتر وقوع حوادث امنیتی را شناسایی کرده و واکنش نشان دهند. ”

جف دلوونگ، معمار امنیت اطلاعات، شرکت الکتریکی وستینگهاوس

معماری و مولفه‌ها

سیستم Stealthwatch می‌تواند Customize شود، اما اجزای اصلی مورد نیاز آن عبارتند ازFlow Rate License  ، Flow Collector و کنسول مدیریت. در اینجا نحوه کار اجزا در کنار یکدیگر آورده شده است:

  • Flow Rate License برای جمع‌آوری، مدیریت و تجزیه و تحلیل دورسنجی جریان و تجمیع جریان در کنسول مدیریت مورد نیاز است. Flow Rate License   همچنین میزان جریان‌هایی را که ممکن است جمع‌آوری شود و براساس جریان در ثانیه (fps) مجاز است، تعریف می‌کند.
  • Flow Collector از NetFlow، IPFIX  و انواع دیگر داده‌های جریان از زیرساخت‌های موجود مانند Router، Switch، Firewall، Proxy Server، End-point و سایر دستگاه‌های زیرساخت شبکه استفاده می‌کند. داده‌ها، جمع‌آوری و تجزیه و تحلیل می‌شوند تا تصویری کامل از فعالیت شبکه ارائه شود.
  • کنسول مدیریت Stealthwatch حداکثر ۲۵ Flow Collector ، موتور خدمات هویت سیسکو و منابع دیگر را جمع‌آوری کرده، سازماندهی و تجزیه و تحلیل می‌کند. این کنسول، از نمایش‌های گرافیکی ترافیک شبکه، اطلاعات هویتی، گزارش‌های خلاصه شده سفارشی و امنیت یکپارچه و هوش شبکه برای تجزیه و تحلیل جامع استفاده می‌کند.
  • سنسور جریان در مکان‌هایی در شبکه استفاده می‌شود که در آن داده‌های تله‌متری (دورسنجی) پشتیبانی نمی‌شوند. این سنسور از ترکیب بررسی عمیق محتوای بدنه پیام [۱]و آنالیز رفتاری برای شناسایی برنامه‌های کاربردی و پروتکل‌های مورد استفاده در سراسر شبکه استفاده می‌کند.
  • UDP Director دستگاهی با سرعت بالا و با کارایی بالا است که اطلاعات ضروری شبکه و امنیتی را از چندین مکان دریافت می‌کند. این اطلاعات را در یک جریان داده واحد به یک یا چند مقصد مانند جمع‌کننده جریان منتقل می‌کند.
  • Cloud License ،Stealthwatch یک مجوز افزوده شده است که دید بیشتر و آگاهی بهبود یافته از فعالیت و تهدیدات احتمالی موجود در پیاده‌سازی‌های فعلی در سراسر زیرساخت‌های شبکهCloud  ، خصوصی و ترکیبی ارائه می‌دهد.
  • End-Point License ، Stealthwatch یک مجوز افزوده شده است که تحقیقات کارآمد و غنی مبتنی بر زمینه را برای دستگاه‌های کاربر نهایی که رفتار مشکوک دارند، ارائه می‌دهد. این مجوز اجازه می‌دهد تا داده‌های نقاط انتهایی جمع‌آوری شده توسط AnyConnect NVM در کنسول مدیریت صادر و تجزیه و تحلیل شوند.
  • Learning Network License، Stealthwatch از Router خدمات یکپارچه سیسکو (ISR) به عنوان یک حسگر امنیتی برای به دست آوردن دید عمیق در جریان ترافیک Router یک شاخه خاص استفاده می‌کند. همچنین از آنالیزهای رفتاری با یادگیری ماشین، ضبط بسته‌ها و تشخیص فوری تهدیدات در سطح شاخه استفاده می‌کند.
  • Threat Intelligence License در منابع اطلاعاتی تهدیدات جهانی ایجاد می‌شود تا هشدارهایی ایجاد کند و یک شاخص نگرانی در مورد وقایع برای مشخص کردن ارتباطات مشکوک باشد تا بتواند سریعاً مورد بررسی قرار گیرند.

موارد استفاده

به عنوان مخترع NetFlow، سیسکو به طور منحصر به فرد راه‌حل امنیتی در اختیار دارد که از داده‌های جریان برای دید شبکه استفاده می‌کند. با شروع سال ۲۰۰۰، Lancope پیشگام استفاده از داده‌های دورسنجی برای به دست آوردن بینش عمیق شبکه و امنیت با سیستم StealthWatch بود. سیستم StealthWatch با جمع‌آوری و تجزیه و تحلیل NetFlow، IPFIX  و انواع دیگر داده‌های دورسنجی شبکه، شبکه را به یک حسگر مجازی همیشه فعال تبدیل کرده و از آنالیز رفتاری پیچیده برای تشخیص طیف گسترده‌ای از حملات و ارتقا وضعیت امنیتی صدها شرکت در سراسر جهان استفاده کرده است. در حال حاضر، سیسکو Stealthwatch بهترین استقرار موازی از این دو فناوری را در اختیار شما قرار می‌دهد.

استقرار Stealthwatch به سادگی و به صورت حرفه‌ای

سازمان‌های خدمات حرفه‌ای معتبر و شرکای تصدیق شده، سال‌ها تجربه طراحی، استقرار و مدیریت خانواده محصول Stealthwatch را ارائه می‌دهند. با تجربه گسترده مشتری و صنعت، یک تیم خدمات خارجی می‌تواند به شما در بهینه‌سازی استقرار برای برآورده کردن نیازهای خاص تجاری، افزایش بهره‌وری و کاهش ریسک کمک کند. این تیم با استفاده از ترکیبی منحصر به فرد از مهارت‌های شبکه و امنیت، یک سیستم Stealthwatch را به سرعت و به طور مؤثر پیاده‌سازی می‌کند تا خواسته‌های جدی محیط تهدیدپذیر پیشرفته امروزی را برآورده سازد.

خدمات حرفه‌ای Stealthwatch شامل نصب اولیه، بررسی و تنظیم سلامت، خودکارسازی گروه میزبان، ادغام پروکسی و آموزش سیستم و همچنین خدمات مشاوره‌ای و سرویس‌های تلفیقی است.

“Stealthwatch  این امکان را برای ما فراهم می‌کند تا دید شبکه داخلی را به دست آوریم و به راحتی مناطق امن خود را مورد بررسی قرار دهیم تا اطمینان حاصل شود که انواع خاصی از ترافیک از آن شبکه‌ها خارج نمی‌شوند.”

 

آشنایی با قابلیت های سیسکو آیس Cisco ISE

موتور سرویس شناسه سیسکو Cisco ISE

Cisco ISE

از آنجا که دیجیتالی شدن و اینترنت اشیا (IoT) نحوه زندگی و کار ما را تغییر می‌دهند، این روند بر گسترش شبکه و همچنین محافظت از آن تاثیر زیادی داشته است.

امروزه کارمندان خواستار دسترسی به منابع کاری از طریق دستگاه‌های بیشتر و شبکه‌های خارجی بیشتر از گذشته هستند. مشاغل باید از ازدیاد دستگاه‌های فعال به شبکه پشتیبانی کنند زیرا تعداد بی‌شماری از تهدیدهای امنیتی و نقض داده‌های بسیار عمومی، اهمیت حفاظت از دسترسی به شبکه سازمانی در حال تحول را نشان می‌دهد. و دستگاه‌های IoT به صورت نمایی در حال گسترش هستند و صنایعی از جمله تولید و مراقبت‌های بهداشتی را مجدداً تعریف می‌کنند.

اگرچه این انفجار دستگاه‌های متصل به اینترنت و دیجیتالی شدن سیستم‌ها و خدمات ارزش قابل توجهی برای مشتریان ایجاد کرده است، اما آنها همچنین منجر به ایجاد چالش‌های جدیدی در بخش‌های محدود فناوری اطلاعات شده‌اند، زیرا اکنون باید یک سطح حمله بزرگتر را مد نظر قرار دهند و تهدیدهای امنیتی یا خطراتی که خسارت قابل توجهی به شرکت وارد می‌کنند، شناسایی کرده و از بین ببرند.

این پیچیدگی در حال افزایش نیاز به یک رویکرد متفاوت برای مدیریت و تأمین امنیت شبکه سازمانی در حال تحول دارد که تحت عنوان موتور خدمات شناسه سیسکو (ISE) نامیده می‌شود.

نقش سیسکو آیس Cisco ISE در کاهش خطرات

پیش‌روی از تهدیدات، نیاز به دید و کنترل کامل دارد. این یعنی دید عمیق در کاربران، دستگاه‌ها و برنامه‌هایی که به شبکه شما دسترسی دارند. و این امر به معنای به دست آوردن کنترل پویا است تا اطمینان حاصل شود که فقط افراد مناسب با دستگاه‌های قابل اعتماد و با سطح دسترسی صحیح از خدمات شبکه برخوردار هستند.

ISE ارائه کنترل دسترسی مداوم و بسیار ایمن را از طریق اتصالات سیمی، بی‌سیم و VPN ساده می‌کند. با داشتن حسگرهای گسترده و هوشمند و همچنین قابلیت‌های پروفایل، ISE  می‌تواند به عمق شبکه دسترسی پیدا کند تا دید بهتری نسبت به اینکه چه کسانی و چه دستگاه‌هایی به منابع دسترسی پیدا کند، داشته باشد.ISE  از طریق سرویس خود را پرورش میدهد، به روزرسانی‌های خودکار دستگاهای معتبر سیسکو با استفاده از IP  از طریق فروشندگان مختلف ارائه می‌دهد. این کار، فرآیند به روزرسانی کتابخانه از جدیدترین دستگاه‌های مجهز به IP را آسان می‌نماید.

ISE  می‌تواند خط مشی Cisco TrustSec را برای تقسیم‌بندی نرم‌افزار تعریف شده اجرا کند، که شبکه را از یک مجرای ساده برای داده‌ها به یک مجری امنیتی تبدیل می‌کند که زمان تشخیص و کاهش تهدیدات را تسریع می‌کند.

ISE برای به اشتراک گذاشتن داده‌های متنی غنی با بیش از ۵۰ راه‌حل همراه فن‌آوری یکپارچه، از فناوری شبکه تبادل بسترهای نرم‌افزاری سیسکو (pxGrid) استفاده می‌کند. pxGrid یک رویکرد مبتنی بر استانداردهای کارگروه مهندسی اینترنت (IETF) برای سرعت بخشیدن به توانایی شما در شناسایی، کاهش و رفع تهدیدهای امنیتی در شبکه گسترده شماست. کنترل دسترسی جهت ارائه امنیت بیشتر در خدمات مهم اقتصادی، تقویت امنیت زیرساخت‌ها، اجرای انطباق و ساده‌تر کردن عملیات IT به صورت متمرکز و ساده، پیاده‌سازی شده است.

مزایای سیسکو آیس Cisco ISE :

  • دسترسی نرم‌افزار محور (SDA) را با خودکار کردن دسترسی کاربر و تقسیم‌بندی End-To-End بسیار امن در یک شبکه واحد فعال کنید. فعال‌سازی SDAسیسکو از سایر مکانیسم‌های تقسیم‌بندی مانند VLAN ها، آسان‌تر است، و Policy ها بدون در نظر گرفتن زیرساخت‌های اساسی بر روی شبکه ثابت می‌ماند. سازگاری در خط مشی در سراسر شبکه، تقسیم‌بندی را ساده می‌کند، استفاده از منابع را بهینه کرده  و ایجاد یک شبکه ایمن‌تر را تقویت می‌کند.
  • منجر به دید بیشتر و شناسایی دقیق‌تر دستگاه‌ها می‌شود. دید End User به دست می‌آید. به منظور ایجاد یک تجربه واقعی یکپارچه، این اطلاعات متنی غنی را با سایر راه‌حل‌های موجود در شبکه خود به اشتراک بگذارید.
  • متمرکز و متحد کردن کنترل دسترسی بسیار ایمن و مبتنی بر نقش‌های تجاری. یک خط مشی دسترسی به شبکه برای کاربران نهایی که از طریق شبکه سیمی یا بی‌سیم یا توسط VPN به شبکه متصل شده‌اند، فراهم می‌شود. از مکانیسم‌های مختلفی برای اجرای Policy ها، از جمله تقسیم‌بندی نرم‌افزار تعریف شده Cisco TrustSec استفاده کنید. گروه‌های امنیتی Cisco TrustSec مبتنی بر قوانین تجاری هستند و نه آدرس‌های IP یا سلسله مراتب شبکه. این گروه‌های امنیتی به کاربران این امکان را می‌دهند که به طور مداوم با حرکت منابع در Domain ها، دسترسی خود را حفظ نمایند. مدیریت Switch ، Router و قوانین Firewall بدین ترتیب آسان‌تر می‌شود.

به روزرسانی‌ها و پیشرفت‌های مهم ISE منجر به موارد زیر می‌شود:

  • قابلیت مشاهده بیشتر دستگاه‌های IoT صنعتی با یکپارچه‌سازی IND: مدیر شبکه صنعتی سیسکو (IND) با فناوری شبکه تبادل بسترهای نرم‌افزاری سیسکو ادغام می‌شود تا سطح عمقی از دید متنی را در پشت بیش از ۳۰۰ دسته دستگاه صنعتی و ۳۰۰ دسته دستگاه پزشکی IoT ارائه دهد.
  • بهبود سازگاری پشت صحنه PxGrid: ادغام با ISE در جمع‌آوری اطلاعات متنی و شروع اقدامات ANC  (کنترل شبکه تطبیقی) را ساده می‌کند.
  • بهبود انطباق PCI: به مشتریان کمک می‌کند تا الزامات انطباق امنیت داده‌ها با صنعت کارت پرداخت (PCI)  را برآورده سازند و به آنها اجازه می‌دهند TLS 1.0 و / یا نسخه ۱٫۱ را غیرفعال کنند و فقط نسخه TLS 1.2 را منتشر نمایند.
  • استقرار مؤثر سیسکو TrustSec: ISE  به طور مؤثر سیاست‌های Cisco TrustSec را در سراسر شبکه تایید می‌کند که منجر به بهبود عیب‌یابی برای استقرار SGT در مقیاس‌های بزرگ IP می‌شود.

ISE  از طریق ادغام با شبکه‌های پیشرو و راه‌حل‌های دفاعی در مقابل تهدید، دید عمیق شبکه و قابلیت‌های کنترل دسترسی ایمن، از شبکه شما محافظت می‌کند، تهدیدات را متوقف کرده و توانایی‌های امنیتی شبکه شما را بهبود می‌بخشد.

  • دستگاه خود (BYOD) و تحرک سازمانی را تسریع کنید. ISE یک تنظیم ساده در اختیار شما قرار می‌دهد. برای استفاده شبانه‌روزی از دستگاه خود در داخل و خارج از ساختمان، از دستگاه خود-خدمت شبانه‌روزی و مدیریت، مدیریت گواهی دستگاه داخلی و نرم‌افزار همراه مدیریت تحرک سازمانی یکپارچه استفاده کنید.
  • یک سیاست تقسیم‌بندی نرم‌افزار تعریف‌شده ایجاد کنید تا تهدیدات شبکه را مد نظر قرار دهد. برای اجرای کنترل دسترسی مبتنی بر نقش، در لایه Routing ، Switching و Firewall ، از فناوری Cisco TrustSec استفاده کنید. دسترسی به هر قطعه به صورت ِDynamic و بدون پیچیدگی چندین VLAN یا نیاز به طراحی مجدد شبکه صورت می‌گیرد.
  • داده‌های کاربر و دستگاه را با شبکه‌های شریک و راه‌حل‌های امنیتی به اشتراک بگذارید. اثربخشی کلی آنها را بهبود بخشیده و زمان مهار تهدیدات شبکه را تسریع می‌شود.
  • تهدیدات به طور خودکار از طریق ادغام با مرکز مدیریت Cisco Firepower و شرکای امنیتی شخص ثالث، شناسایی شده و مد نظر قرار می‌گیرد. ISE می‌تواند شامل نقاط انتهایی آلوده برای اصلاح، مشاهده یا حذف باشد.

بررسی Cisco WSA

Cisco payehrizan - پایه ریزان

تجهیزات امنیت شبکه ی سیسکو


در جهان شبکه ای و پر تغییر و اتصال ما، وجود تهدیدات پیچیده، بهره گیری از ترکیب مناسبی از راهکارهای امنیت را ایجاب می کنند. سیسکو با حفاظت و کنترل کامل و نیازهای مربوط به ارزش سرمایه گذاری، امنیت تمامی لایه های زیرساخت شبکه را فراهم می کند. همچنین همراه با هوش آمیز تهدید جهانی ناشی از بازار، مجموعه ی گسترده ای از گزینه های گسترش امنیت شبکه در صنعت را نیز ارائه می کنیم. تجهیزات امنیت شبکه ی سیسکو ( به اختصار WSA) توسط تجهیزات اختصاصی و پربازده کار پیاده سازی امنیت را تسهیل می کند. علاوه بر این کسب و کارها با استفاده از تجهیزات مجازی امنیت شبکه ی سیسکو ( WSAV) در هر زمان و هرمکانی که نیاز باشد، از امنیت شبکه بهره مند شوند.

مقدمه

تجهیزات امنیت شبکه ی سیسکو اولین درگاه امن شبکه بوده که با ترکیب روش های حفاظتی می تواند به سازمان ها جهت رسیدگی به چالش های رو به رشد مربوط به امن سازی و کنترل ترافیک شبکه کمک کند. تمامی موارد ذیل را می توانید در تنها یک پلتفرم در اختیار داشته باشید: حفاظت پیشرفته در برابر بد افزارها، کنترل امکان دیدن نرم افزارها، کنترل استفاده از مقررات قابل قبول، گزارش گیری واضع و گشت و گذار آزاد و امن.
با کمک تجهیزات امنیت شبکه سیسکو می توان به صورت ساده تر، سریع تر، با نیاز کمتر به تعمیر و نگهداری، با نهفتگی و هزینه ی عملیاتی کمتر به امنیت شبکه دست یافت. فناوری موسوم به “Set and forget” پس از شروع به کار کردن تنظیمات سیاست های اولیه ی خودکار و اعمال شدن به روز رسانی های امنیتی به صورت خودکار در دستگاه های شبکه که در هر ۳ تا ۵ دقیقه انجام می شوند، انرژی کمتری را از نیروهای انسانی می گیرد. با کمک گزینه های گسترش (deployment) سریع و امکان یکپارچه سازی در زیرساخت شبکه ای موجود تان می توانید نیازهای امنیتی تان که با سرعت در حال رشد هستند را برطرف کنید.

تجهیزات مجازی

با رشد بیش از پیش رسانه های ویدئویی و رسانه های پرمحتوای دیگر، پیش بینی ترافیک شبکه سخت تر شده و به دنبال آن عملکرد کاهش یافته است.
با توجه به مشکلاتی از این دست، مدیران مخصوصا مدیران سازمان های چند ملیتی حین خرید و راه اندازی سخت افزار، چالش های راه اندازی از راه دور، عوارض گمرکی و دیگر مشکلات لجستیکی شاهد تاخیر زیادی بین آغاز و اجرای فرایند خود هستند.
تجهیزات مجازی سیسکو با فراهم کردن امکان ایجاد نمونه های امنیتی در هر مکان و زمان مورد نیاز، تا حد زیادی هزینه گسترش امنیت شبکه را به ویژه در شبکه هایی که بسیار گسترش یافته هستند را کاهش می دهد. Cisco WSAV نسخه ای نرم افزاری از Cisco WSA بوده که تحت کنترل سرورهای سیستم محاسبه متحد (UCS) سیسکو و VMware ESXi hypervisor اجرا می شود. مشتریان در صورت خرید یکی از محصولات امنیت شبکه ی سیسکو، لایسنس نامحدود تجهیزات مجازی سیسکو را دریافت می کنند.
مدیران با کمک تجیزات مجازی سیسکو می توانند به سرعت به افزایش بیش از حد ترافیک پاسخ داده و برنامه ریزی ظرفیت را حذف کنند. نیازی به خرید و بار زدن این محصولات نیست، بدون آن که نیاز باشد پیچیدگی دیتاسنتر را افزایش دهید و یا کارکنان بیشتری را استخدام کنید، می توانید موقعیت های تجاری بیشتری را شاهد باشید.

ویژگی ها و فواید

هوش امنیتی Talos ء (Talos Security Intelligence)
با کمک بزرگ ترین شبکه ی شناسایی تهدیدات در جهان با پهناورترین قابلیت دید و بزرگترین ردپا به سرعت و به صورت جامع حفاظت از شبکه را دریافت کنید. این موارد را در زیر می توانید مشاهده کنید.
● ۱۰۰ ترابایت هوش امنیتی در روز
● ۱٫۶ میلیون از دستگاه های امنیتی گسترش یافته از جمله فایروال، IPS، شبکه و تجهیزات ایمیلی
● ۱۵۰ میلیون نقطه ی پایان (endpoint)
● ۱۳ میلیارد درخواست شبکه در روز
● ۳۵ درصد ترافیک ایمیل شرکتی جهان
Cisco SIO و Sourcefire دو سرویس شناسایی تهدید مجزا در cloud هستند که ترکیب این دو به Talos منجر می شود. با کمک این سیستم می توان به صورت ۲۴ ساعته و در ۷ روز هفته جهت تحلیل انحرافات، شناسایی تهدیدهای جدید و نظارت بر روند ترافیک، فعالیت ترافیک جهانی را زیر نظر گرفت. تالوس با تولید پیوسته ی قوانین جدیدی که هر ۳ تا ۵ دقیقه، بروز رسانی ها را به تجهیزات امنیت شبکه تزریق می کند از حملات لحظات بحرانی (zero hour) جلوگیری می کند تا صنایع پیشرو در مقابله با تهدیدات ساعت ها و حتی روزها از رقیبان خود پیش بیفتند.


کنترل بهره گیری از شبکه در سیسکو (Cisco Web Usage Controls)
جهت کاهش خطرات حقوقی مسئولیتی و بهره وری، فیلتر سنتی URL را با تحلیل پویای محتوا ترکیب کنید. سیسکو با به روز رسانی پیوسته دیتابیس فیلترسازی URL تا بیش از ۵۰ میلیون وب سایت های بلاک شده، وب سایت های معروف را به صورت باورنکردنی پوشش داده و موتور تحلیل پویای محتوا (DCA) در آن، به صورت دقیق ۹۰ درصد از URL های ناشناس را به صورت بی درنگ شناسایی می کند. این موتور، متن را اسکن کرده، به این متن از نظر ارتباط نمره می دهد، model document proximity را محاسبه می کند و نزدیک ترین دسته پیدا شده را برگشت می دهد. مدیران نیز می توانند برای بررسی Intelligent HTTPS ها ، دسته های خاصی را انتخاب کنند.


حفاظت در برابر بدافزارها به صورت پیشرفته (Advanced Malware Protection)
این ویژگی (AMP) ویژگی دیگری است که در اختیار تمامی مشتریان تجهیزات امنیت شبکه ی سیسکو قرار دارد. AMP یک راهکار جامع جهت غلبه بر بدافزارها بوده که با کمک آن می توان بدافزارها را شناسایی و بلاک کرد، به صورت پیوسته به تحلیل پرداخت و از هشداردهی بازنگرانه بهره برد. این ویژگی از شبکه های گسترده ی ابری هوش امنیتی سیسکو و Sourcefire ( بخش جدیدی از سیسکو) بهره می برد. این ویژگی شناسایی بدافزار و قابلیت مسدود کردن که در حال حاضر در تجهیزات سیسکو وجود دارند را با قابلیت های بهبود یافته ی شهرت فایل (file reputation) ، گزارش دهی کامل رفتار فایل، تحلیل پیوسته فایل و هشداردهی بازنگرانه تصمیمی ( verdict) ترکیب می کند. امکان جدیدی که برای مشتریان اضافه شده است این است که مشتریان حالا دیگر می توانند علاوه بر فایل های EXE موجود در اولین انتشار AMP ، به فایل های مایکروسافت آفیس و sandbox PDF نیز دسترسی داشته باشند. چهار لایه ی نظارت بر ترافیک به صورت پیوسته فعالیت را زیر نظر دارند و ارتباطات جاسوسی بین گوشی- خانه را شناسایی و مسدود می کنند. این لایه ها با ردیابی تمامی نرم افزارهای شبکه ای، به صورت موثر ، بدافزارهایی که قصد نفوذ به امنیت شبکه دارند را متوقف می کنند. این لایه ها به صورت دینامیکی آدرس های IP دامنه های شناخته شده بدافزارها را به لیست مربوط به مسدودسازی نهادهای آلوده خود اضافه می کنند.


مشهود بودن برنامه و کنترل آن (Application Visibility and Control (AVC))
به راحتی استفاده از صدها نرم افزار تحت web 2.0 و بیش از ۱۵۰۰۰۰ ریز نرم افزار را کنترل کنید. کنترل دانه ای سیاست ها (granular policy control) این امکان را به مدیران می دهد تا به کاربران خود اجازه بهره گیری از نرم افزارهایی مانند دراپ باکس یا فیس بوک را بدهند و در عین حال آن ها را از انجام فعالیت هایی مانند آپلود کردن اسناد یا کلیک کردن بر روی دکمه “لایک” منع کنند. تجهیزات امنیت شبکه در سرتاسر شبکه از مشهود بودن (visibility) فعالیت ها پشتیبانی می کنند. قابلیت جدید : مشتریان می توانند به ازای هر کاربر، هر گروه و هر سیاست سهمیه های زمانی و پهنای باند اختصاصی را گسترش دهند.


جلوگیری از هدر رفت داده (Data Loss Prevention (DLP))
با ایجاد قوانین مبتنی بر زمینه برای جلوگیری از هدر رفت داده ها، از برون رفت داده های محرمانه از شبکه جلوگیری کنید. تجهیزات امنیت شبکه ی سیسکو برای یکپارچه شدن با راهکارهای DLP شخص ثالث در راستای نظارت عمیق بر محتوا و اجرای سیاست های DLP از پروتکل اتخاذ محتوا از اینترنت (Internet Content Adaptation Protocol به اختصار ICAP) بهره می برند.


حفاظت از کاربران در حال فراگردی (Roaming-User Protection)
تجهیزات امنیت شبکه ی سیسکو از کاربران در حال فراگردی حفاظت می کنند به این صورت که با یکپارچه شدن در Cisco AnyConnect Secure Mobility Client که با آغاز سازی تونل های VPN که وظیفه ی هدایت ترافیک به راهکارهای مقدماتی ( on-premises) را برعهده دارند، برای مشتریان از راه دور امنیت شبکه را تامین می کنند. Cisco AnyConnect قبل از صدور اجازه دسترسی، به صورت بی درنگ ترافیک را تحلیل می کند. قابلیت جدید: انتشار پیش نمایش Cisco Identity Services Engine (ISE) Integration . مشتریان پس از این ارتقای هیجان انگیز می توانند پیش نمایش یکپارچه شدن Cisco WSA در Cisco ISE را مشاهده کنند. یکپارچه سازی cisco ISE این امکان را به مدیران (ادمین ها) می دهد تا بر اساس اطلاعات عضویتی یا پروفایلی گردآوری شده توسط Cisco ISE ، سیاست هایی را در Cisco WSA ایجاد کنند.


مدیریت و گزارش دهی مرکزی (Centralized Management and Reporting)
در سراسر تهدیدها، داده ها و نرم افزارها، اطلاعاتی کاربردی را دریافت کنید. با کمک ابزارهای مدیریت متمرکز موجود در تجهیزات امنیت شبکه ی سیسکو می توانید به راحتی عملیات ها را کنترل، سیاست ها را مدیریت کنید و گزارشات را مشاهده کنید.
سری M تجهیزات مدیریت امنیت محتوای سیسکو در تجهیزات واقع در مکان های مختلف مانند نمونه های مجازی ( virtual instances) امکان مدیریت و گزارش گیری متمرکز را فراهم می کنند. همچنین این تجهیزات برای مقیاس پذیری و انعطاف پذیری بیشتر از نرم افزار اختصاصی Splunk بهره می برند که رابط این نرم افزار مانند تجهیزات گزارش گیری می باشد.


اجرای منعطف (Flexible Deployment)
تمامی ویژگی های تجهیزات مجازی سیسکو با WSA برابری می کنند با این تفاوت که تجهیزات مجازی دردسر کمتری داشته و مقرون به صرفه تر هستند. کسب و کارها با دریافت لایسنس Cisco WSAV و به کارگیری این لایسنس در یک فایل مجازی WSAV ذخیره شده در حافظه ی محلی می توانند بدون اتصال به اینترنت، درگاه های مجازی امنیت شبکه را گسترش دهند.در صورت نیاز برای گسترش سریع درگاه های امنیت شبکه متعدد می توان image های مجازی آن را کپی کرد.
ماشین های سخت افزاری و مجازی را طی یک عمل گسترشی اجرا کنید. شرکت های کوچک و یا مکان های دور افتاده بدون نیاز به راه اندازی و پشتیبانی سخت افزار در آن محل می توانند از طریق تجهیزات امنیت شبکه ی Cisco از محافظت یکسانی بهره مند شوند. با استفاده از سری M تجهیزات مدیریت امنیت محتوا به راحتی می توان به صورت اختصاصی امور گسترش را مدیریت کرد.

گسترش

تجهیزات امنیت شبکه ی سیسکو، پروکسی های مستقیمی هستند که می توانند به صورت مستقیم (پروکسی با فایل های پیکربندی خودکار، شناسایی خودکار پروکسی شبکه (WPAD)، تنظیمات مرورگر) و یا به صورت شفاف (پروتکل ارتباطی حافظه ی پنهان شبکه (WCCP)، فراگردی مبتنی بر سیاست (PBR)، متعادل کننده های بارگیری) گسترش پیدا کنند. دستگاه هایی که دارای قابلیت WCCP هستند می توانند ترافیک شبکه را به تجهیزات امنیت شبکه ی سیسکو مجددا به جریان بیاندازند. از جمله این دستگاه ها می توان به Cisco Catalyst® ۶۰۰۰ Series Switches, Cisco ASR 1000 Series Aggregation Services Routers, Cisco Integrated Services Routers, و Cisco ASA 5500-X Series Next-Generation Firewalls اشاره کرد.
تجهیزات امنیت شبکه ی سیسکو برای دریافت قابلیت های بیشتر مانند جلوگیری از هدر رفت داده ها، امنیت کاربران تلفن همراه و قابلیت دید پیشرفته و کنترل آن به جای ترافیک های HTTP از HTTPS ، SOCKS ، FTP بومی و FTP استفاده می کند.

لایسنس

لایسنس تجهیزات مجازی امنیت شبکه سیسکو در تمامی بسته های نرم افزاری امنیت شبکه ی سیسکو (Cisco Web Security Essentials, Cisco Web Security Antimalware, و Cisco Web Security Premium) لحاظ شده است. شرایط این لایسنس با شرایط خدمات دیگر نرم افزارهای موجود در این بسته ی نرم افزاری یکسان است و به هر تعداد که نیاز باشد می توان از آن در دستگاه های مجازی استفاده کرد.
لایسنس اشتراکی بر اساس زمان
زمان این لایسنس ها ۱ ، ۳ و یا ۵ سال است.

لایسنس اشتراکی بر اساس تعداد
پرتفولیوی امنیت شبکه ی سیسکو بر اساس محدوده ی کاربران و نه دستگاه ها از قیمت گذاری لایه ای استفاده می کند. نمایندگان و همکاران فروش ما می توانند به مشتریان در تعیین اندازه و مقدار مناسب گسترش دستگاه ها کمک کنند.
لایسنس های نرم افزارهای امنیت شبکه
چهار لایسنس نرم افزار امنیت شبکه موجود است که عبارتند از : Cisco Web Security Essentials, Cisco Anti-Malware, Cisco Web Security Premium, و McAfee Anti-Malware. مولفه های اصلی هر یک از این نرم افزارها را می توانید در زیر مشاهده کنید:
نرم افزار Cisco Web Security Essentials
● هوش های تهدیدآمیز از طریق Talos
● چهار لایه از نظارت ترافیکی
● دید نرم افزار و کنترل آن (AVC)
● مدیریت سیاست
● گزارش گیری کاربردی
● فیلتر سازی URL
● یکپارچه سازی DLP سوم شخص از طریق ICAP

نرم افزار Cisco Anti-Malware
● اسکن بی درنگ بدافزارها
نرم افزار Cisco Web Security Premium
● الزامات امنیت شبکه
● اسکن بی درنگ بدافزارها
نرم افزار McAfee Anti-Malware
● اسکن بی درنگ بدافزارها که به صورت یک لایسنس جداگانه و تنها موجود است.

قرارداد لایسنس نرم افزار
در هر یک از لایسنس های نرم افزاری خریداری شده، قرارداد لایسنس کاربر نهایی (EULA) و قرارداد لایسنس تکمیلی کاربر نهایی (SEULA) ارائه می شود.
خدمات اشتراک نرم افزار
برای آنکه برنامه های تجاری در اوج کارکرد در دسترس، امن و عملیاتی باقی بمانند، تمامی لایسنس های امنیت شبکه ی سیسکو شامل پشتیبانی از اشتراک نرم افزار می شوند. در این پشتیبانی مشترکان به ازای کل دوره ی اشتراک نرم افزار خریداری شده خدمات زیر را می توانند دریافت کنند:
• ارتقا و به روز رسانی های اصلی نرم افزار برای آنکه برنامه ها عملکرد مناسبی داشته باشند.
• دسترسی به مرکز کمک های فنی سیسکو جهت دریافت پشتیبانی تخصصی و سریع
• ابزارهای آنلاین جهت ساخت و گسترش تخصص در خانه و بهبود سرعت کسب و کار
• یادگیری مشارکتی برای کسب دانش بیشتر و امکانات آموزشی

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Cisco WSA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

خدمات

خدمات مربوط به برند سیسکو (Cisco Branded Services) طراحی و برنامه ریزی امنیت سیسکو : گسترش راهکارهای امنیتی به صورت سریع و کم هزینه.
راه اندازی و پیکربندی امنیت شبکه ی سیسکو : کاهش خطرات امنیت شبکه با راه اندازی، پیکربندی و آزمایش تجهیزات جهت پیاده سازی :
• کنترل قابل قبول استفاده از مقررات
• فیلتر سازی بدافزار ها و شهرت
• امنیت داده ها
• دید نرم افزار و کنترل
خدمات بهینه سازی امنیت سیسکو : جهت بررسی تهدیدات امنیتی، به روز رسانی طراحی، تنظیم عملکرد و تغییرات سیستم از یک سیستم امنیتی در حال توسعه پشتیبانی می کند.
خدمات همکاری یا اشتراکی (Collaborative/Partner Services)

ارزیابی امنیت دستگاه های شبکه با شناسایی شکاف های موجود در زیرساخت امنیتی شبکه، محیط مقاوم شبکه را حفظ می کند.
نگهداری هوشمند : هوشی کاربردی را ارائه می کند که از دید امن موجود در عملکرد یک شبکه حاصل شده است.
خدمات بیشتر : در سرتاسر چرخه ی عمر برنامه ریزی، طراحی، پیاده سازی و بهینه سازی همکاران سیسکو طیف وسیعی از خدمات ارزشمند را ارائه می کنند.

امور مالی سیسکو (Cisco Financing)

Cisco Capital می تواند راهکارهای مالی مورد نیاز کسب و کارها را سازماندهی کند. هرچه زودتر به فناوری سیسکو دسترسی پیدا کنید، مزایای تجاری آن را زودتر خواهید دید.

خدمات پشتیبانی SMARTnet

مشتریان می توانند سیسکو SMARTnet را خریداری کنند و از آن در کنار تجهیزات امنیت شبکه سیسکو استفاده کنند. Cisco SMARTnet در برطرف سازی سریع مشکلات شبکه با دسترسی مستقیم و ۲۴ ساعته به متخصصان سیسکو، ابزارهای پشتیبانی خودکمک رسان و تعویض سریع سخت افزار به مشتریان خود کمک می کند. برای اطلاعات بیشتر به وبسایت http://www.cisco.com/go/smartnet مراجعه کنید.
سفارش تجهیزات مجازی امنیت شبکه
۱٫ به http://www.cisco.com/go/wsa بروید و در سمت راست در بخش “Support” ، بر روی “Software Downloads, Release, and General Information.” کلیک کنید. سپس بر روی “Download Software” کلیک کرده و برای مشاهده ی لینک های دانلود دستگاه های مجازی بر روی یکی از مدل ها کلیک کنید. همچنین می توانید یک لایسنس ارزیابی قابل دانلود XML را نیز مشاهده کنید. نیاز است که این دو را باهم دانلود کنید.
۲٫ آموزش های زیر را از Cisco.com دانلود کنید.
الف. آموزش راه اندازی تجهیزات مجازی امنیت سیسکو
ب. آموزش AsyncOS® ۷٫۷٫۵
۳٫ برای شروع دستورالعمل های موجود در راهنمای دانلود شده را دنبال کنید. لطفا توجه داشته باشید که SMARTnet از ارزیابی تجهیزات مجازی امنیت محتوا پشتیبانی نمی کند.


برای اطلاعات بیشتر با ما تماس بگیرید

آشنایی با سرویس Cisco WSA

Cisco Web Security Appliance WSA

امنیت شبکه ی سیسکو : حفاظت، کنترل و ارزش

شبکه ی گسترده ی جهانی پدیده ای شگفت انگیز و در عین حال نا امن است. در عین استفاده از شبکه های اجتماعی و نرم افزارهای ویندوز چگونه می توانید از دستگاه ها و منابع خود محافت کنید؟

ما بر این باوریم که یک راه حل کفایت نمی کند بلکه امروزه با وجود تهدیدات سایبری که به سرعت در حال افزایش هستند، به مجموعه ای متنوع از حفاظت نیازمند هستید. اما این کار باعث تحمیل پیچیدگی و تراکم کاری بر محیط IT شما می شود، درسته؟ این جواب با وجود تجهیزات امنیت شبکه سیسکو (wsa) (شکل ۱) منفی است. تجهیزات امنیت شبکه سیسکو ی یک درگاه بسیار امن بوده و چندین ویژگی را یکجا در خود جای داده است. این تجهیزات برای شما محافظت قوی، کنترل کامل و ارزش سرمایه گذاری به ارمغان می آورند. همچنین این تجهیزات مجموعه ی گسترده ای از امکانات رقابتی گسترش امنیت شبکه را فراهم می کنند که در هر یک از آن ها زیرساخت پیشرو در بازار هوش تهدیدآمیز سیسکو استفاده شده است.

                                                   

                                                                     شکل ۱ تجهیزات امنیت شبکه ی سیسکو

محافظت قوی

مقابله ی پیشرفته با تهدید

با کمک بزرگ ترین شبکه ی شناسایی تهدیدات در جهان با پهناورترین قابلیت دید و بزرگترین ردپا به سرعت و به صورت جامع حفاظت از شبکه را دریافت کنید. با جمع آوری تعداد بسیار زیادی از اطلاعات جهانی تمامی بردارهای حمله محل مخفی شدن تهدیدها را شناسایی می کند. این گردآوری اطلاعات را در زیر می توانید مشاهده کنید.

●۱۰۰ ترابایت هوش امنیتی در روز

●۱٫۶ میلیون از دستگاه های امنیتی گسترش یافته از جمله فایروال، IPS، شبکه و تجهیزات ایمیلی

●۱۵۰ میلیون نقطه ی پایان (endpoint)

●۱۳ میلیارد درخواست شبکه در روز

●۳۵ درصد ترافیک ایمیل شرکتی جهان

تالوس با هوش اولیه ی هشدار، تحلیل آسیب پذیری و تهدید می تواند به سازمان ها جهت مقابله با تهدیدات پیشرفته ای بحرانی کمک کند. تالوس با تولید پیوسته ی قوانین جدیدی که هر ۳ تا ۵ دقیقه، بروز رسانی ها را به تجهیزات امنیت شبکه تزریق می کند باعث می شود صنایع پیشرو در مقابله با تهدیدات ساعت ها و حتی روزها از رقبای خود پیش بیفتند.

مزایا

  • محافظت قوی: از طریق یک زیرساخت پیچیده ی هوش تهدید جهانی از تمامی دستگاه ها محافظت می کند که شامل Cisco Talos Security Intelligence  و  Talos Research Group  است.
  • کنترل کامل : در کنترل پیشرفته ی تمامی ترافیک های شبکه مانند نرم افزارهای شبکه ی اجتماعی کمک می کند.
  • ارزش سرمایه گذاری: سرمایه گذاری امنی برای شما فراهم می کند و در عین حال کل هزینه ی مالکیت (TCO) مربوط به امنیت شبکه، ارائه ی امکانات گسترش منعطف، یکپارچگی روان با زیرساخت شبکه و ایمنی موجود و بهترین پشتیبانی ۲۴ ساعته را کاهش می دهد.

 

گروه تحقیقاتی و هوش ایمنی cisco Talos
                                                                          شکل ۲ گروه تحقیقاتی و هوش ایمنی cisco

 

تحلیل شهرت بهترین وب سایت

تجهیزات امنیت شبکه ی سیسکو تهدیدات حاصل از شبکه ی سیسکو را به یکدیگر ارتباط می دهند تا برای اقدام کردن  در آن ها یک امتیاز رفتاری را تولید کند.

مقابله با بدافزارها به صورت چندلایه ای و یکپارچه برای محاظت انطباقی

در گذشته مسدود سازی دسترسی به آدرس های خراب به معنی امنیت شبکه بود. اما امروزه احتمال اینکه شما از سایت های معتبر ویروس یا بدافزاری را دانلود کنید بیشتر است. تجهیزات امنیت شبکه ی سیسکو با استفاده از لایه های متعدد فناوری های ضد بدافزار و هوش حاصل از تالوس که هر ۳ تا ۵ دقیقه به روز رسانی می شود،در برابر بدافزارها مقابله می کنند . هر محتوای اینترنتی ای که بنا باشد در دسترس قرار بگیرد (از HTML گرفته تا تصاویر و فایل های فلش)، با استفاده از موتورهای اسکن سازی آگاه از زمینه و امنیتی تحلیل می شود.

این تجهیزات ترافیک را به صورت بی درنگ تحلیل می کنند، آن را به بخش های  عملی تقسیم می کند و برای نظارت در عین حفظ سرعت بالای پردازش،این بخش ها را به بهترین موتورهای بدافزاری ارسال می کند. (شکل ۳)

 

لایه های مقابله ای تجهیزات امنیت شبکه ی سیسکو

شکل ۳ لایه های مقابله ای تجهیزات امنیت شبکه ی سیسکو

 

سندباکسینگ و تحلیل پیوسته

 

ویژگی محافطت پیشرفته در برابر بدافزار (AMP) ویژگی ای است که در اختیار تمامی مشتریان تجهیزات امنیت شبکه ی سیسکو قرار دارد. AMP یک راهکار جامع جهت غلبه بر بدافزارها بوده که با کمک آن می توان بدافزارها را شناسایی و بلاک کرد، به صورت پیوسته به تحلیل پرداخت و از هشداردهی بازنگرانه بهره برد (شکل ۴). این ویژگی شناسایی بدافزار و قابلیت مسدود کردن که در حال حاضر در تجهیزات سیسکو وجود دارند را با قابلیت های بهبود یافته ی شهرت فایل (file reputation) ، گزارش دهی کامل رفتار فایل، تحلیل پیوسته فایل و هشداردهی بازنگرانه تصمیمی ( verdict) ترکیب می کند. امکان جدیدی که برای مشتریان اضافه شده است این است که مشتریان حالا دیگر می توانند علاوه بر فایل های EXE موجود در اولین انتشار AMP ، به فایل های مایکروسافت آفیس و sandbox PDF نیز دسترسی داشته باشند.

تحلیل بازنگرانه توسط AMP

شکل ۴ تحلیل بازنگرانه توسط AMP

 

مدیریت متمرکز

رابط مدیریت شهودی تجهیزات امنیت شبکه ی سیسکو گزارش گیری و مدیریت سیاست ها را متمرکز ساخته و تنها از طریق یک رابط ساده کنترل سراسری را ارائه می کند.

بهره گیری عمیق شبکه و دید برنامه

با کمک تجهیزات امنیت شبکه ی سیسکو می توانیم نسبت به محتوای برنامه ها و ریزبرنامه های خود دید عمیقی پیدا کنیم. به بیان بهتر این تجهیزات مرتبط ترین و پرکاربردترین برنامه های ویندوز و موبایل (مانند فیسبوک و بیش از ۱۵۰ هزار ریز برنامه مانند بازی های فیسبوک) را شناسایی و طبقه بندی می کنند.این کار با ترکیب هویت، زمان، محتوا ، مکان و مطابقت خارج از مرز داده ها جهت ساخت و نگهداری سیاست های برنامه انجام شده است.

تجهیزات امنیت شبکه ی سیسکو در کنار این قابلیت دید، این امکان را می دهد تا بتوان برنامه ها و رفتار استفاده از آن ها را به صورت دقیقی کنترل کرد. این تجهیزات بر اساس مکان یا پروفایل کاربر و نوع دستگاه می توانند مصرف پهنای باند را تنظیم کرده و کنترل هایی شرطی مانند throttling را اعمال کنند. علاوه بر این بر اساس پروفایل کاربر، دستگاه و مکانیزم دسترسی این تجهیزات امکان کنترل دینامیک و مبتنی بر زمینه ی دسترسی کاربر به برنامه ها را فراهم می کند. همچنین می توانید برای کنترل کردن برنامه های اجاره ای (SaaS) مانند Salesforce.com یا WebEx سیاست هایی را تنظیم کنید.

جلوگیری از اتلاف داده

تجهیزات امنیت شبکه ی سیسکو از برون رفت اطلاعات حساس از ایمنی شبکه جلوگیری می کند. این کار انعطاف بیشتر و ریسک کمتر را تضمین می کند (شکل ۵). این قابلیت به قابلیت کنترل محتواهای خارج از مرز مانند برنامه های به اشتراک گذاری فایل اضافه شده است. می توانید در سیستم های ابری از آپلود شدن فایل ها در سرویس های به اشتراک گذاری مانند iCloud   و Dropbox جلوگیری کنید. همچنین می توانید با ایجاد قوانین مبتنی بر زمینه برای جلوگیری از اتلاف داده (DLP) و یا با استفاده از پروتکل سازشی محتوای اینترنت (ICAP) برای یکپارچه شدن با تمامی راهکارهای DLP  سوم شخص از برون رفت داده های محرمانه از شبکه جلوگیری کنید و به صورت عمیق سیاست های DLP را اجرا کرده و بر روی آن نظارت کنید.

شکل ۵ جلوگیری از اتلاف داده ها با استفاده از تجهیزات امنیت شبکه ی سیسکو

کل هزینه ی مالکیت کمتر

تجهیزات امنیت شبکه ی سیسکو برخلاف راهکارهای دیگر که برای ویژگی ها و عملیات های جدید به دستگاه های بیشتری نیاز دارند، راهکار مستحکمی را در تنها یک دستگاه ارائه می کند. در این صورت شما زمان کمتری را برای عیب یابی صرف می کنید و در ۹۹٫۹۹۹% مواقع تجهیزاتتان فعال و در دسترس هستند. با دریافت به روز رسانی های خودکار از Talos از آخرین تهدیدات بدون هیچ اقدامی مطلع شوید. در نهایت، می توانید زیرساخت VMware فعلی خود را در تعداد نامحدودی از گسترش های تجهیزات مجازی امنیت شبکه ی سیسکو (WSAV) به کار ببرید.

مدل ها و امکانات موجود

 

جدول ۱ مشخصات سخت افزاری تجهیزات امنیت شبکه ی سیسکو

Cisco S680 Cisco S380 Cisco S170
پلتفرم سخت افزاری
ضریب شکل ۲U ۲U ۱U
ابعاد ۳٫۵ x 19 x 29 in.

(۸٫۹ x 48.3 x 73.7 cm.)

۳٫۵ x 19 x 29 in.

(۸٫۹ x 48.3 x 73.7 cm.)

۱٫۶۴ x 19 x 15.25 in.

(۴٫۲ x 48.3 x 38.7 cm.)

منبع تغذیه اضافی Yes Yes No
قابل خاموش/روشن کردن از راه دور

 

Yes Yes No
امکان استفاده از برق DC Yes Yes No
هارد جایگزین Yes Yes Yes
امکان استفاده از فیبر نوری Yes (Accessory) No No
اترنت ۴ Gigabit NICs, RJ-45 ۴ Gigabit NICs, RJ-45 ۲ Gigabit NICs, RJ-45
سرعت (mbps) ۱۰/۱۰۰/۱۰۰۰, توافقی بین دو دستگاه ۱۰/۱۰۰/۱۰۰۰, توافقی بین دو دستگاه ۱۰/۱۰۰/۱۰۰۰, توافقی بین دو دستگاه

 

جدول ۲ تجهیزات مجازی امنیت شبکه ی سیسکو

کاربران شبکه
کاربران شبکه مدل فضای دیسک حافظه هسته ها
<1000 S000v ۲۵۰ GB ۴ GB ۱
۱۰۰۰-۲۹۹۹ S100v ۲۵۰ GB ۶ GB ۲
۳۰۰۰-۶۰۰۰ S300v ۱۰۲۴ GB ۸ GB ۴
سرورها
Cisco UCS ESXi 4.0 X 5.0 Hypervisor

 

جدول ۳ سری M تجهیزات مدیریت امنیت محتوا

Model Cisco M680 Cisco M380 Cisco M170
Users (approx.) ۱۰,۰۰۰ or more Up to 10,000 Up to 1,000

 

آشنایی با سرویس Splunk در AWS آمازون

PAYG for Splunk Insights on AWS

امروز در نشست AWS سانفرانسیسکو، قابلیت استفاده از Splunk Insights به منظور پایش ابر AWS در حالت PYAG انتشار می یابد. نسخه آزمایشی ۱۵ روزه و نسخه کامل نرم افزار با پرداخت $/h2 در یک مدل قیمت گذاری ساعتی در دسترس عموم قرار گرفته است.
چنین گزینه های ساعتی دارای حجم روزانه ۱۰GB است که معمولا پاسخگوی نیازهای یک محیط AWS متوسط است، ارایه می شود. همچنین امکان استفاده از قراردادهای یکساله (با حداقل قیمت) از طریق پیشنهادات ویژه مرکز فروش ممکن خواهد بود.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Splunk را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

بکارگیری Splunk Insights به منظور AWS Cloud Monitoring AMI ، یک روش تحلیلی است به منظور پایش ابر با قابلیت بررسی end-to-end زیرساخت AWS و ارزیابی لحظه ای عملکرد، صحت، پیکربندی، امنیت و هزینه های زیرساخت است.
این کار چگونه انجام می شود؟
بکارگیری Splunk Insights به منظور AWS Cloud Monitoring امکان پایش فضای ابر که شامل موارد زیر است، را فراهم می کند:

پایش منابع و بررسی میزان مصرف آنها

بررسی منابع و تغییرات آن، همچنین قابلیت پایش کلیه منابع ابر که شامل AWS Config و منابع دیتا AWS CloudTrail است، را فراهم می کند. نقشه توپولوژی Splunk’s AWS شمای کلی از وضعیت توسعه AWS موجود را نمایش می دهد؛ که قابلیت مشاهده و بررسی وضعیت مکانی و ارتباط منابع را از طریق اکانت، منطقه،virtual private cloud) VCP) ، برچسب و زمان فراهم می کند. همچنین نمای کلی از زمان ایجاد محیط تاکنون را ارایه می دهد. با استفاده از داشبوردهای پیش ساخته، مشتریان امکان مشاهده میزان مصرفEC2 instance، رهگیری و مشاهده جزئیات مصرفElastic Block Store) EBS) ، حجم ترافیکSimple Storage Service) S3 )، جریان ترافیک VCP، میزان تاخیر ELB ، میزان فعالیت Lambda و تاخیر Content Delivery Network) CloudFront CDN) ، را خواهند داشت. Visualization، دید جامعی (بر حسب اکانت، منطقه، بر چسب و زمان) از instance انحصاری تا جستجوی های اولیه و متریک های اصلی ارایه می دهد.

نحوه محاسبه صورتحساب، هزینه مصرف و بهینه سازی

قابلیت مدیریت هزینه Splunk’s AWS با استفاده از AWS instance و فهرست نمونه های پیشین آغاز شده و تا حد یک نمای کلی از هزینه منابع مورد استفاده و بلااستفاده، هزینه بر حسب اکانت و هزینه بر حسب سرویس ارایه شده، گسترش پیدا می کند. ظرفیت تعاملی و برنامه ریزی داشبوردها (صورتحساب ماهیانه و تاریخی، برنامه ریزی بودجه و RI و ظرفیت ها) امکان مدیریت صحیح هزینه ها و سرمایه ها را در طول زمان فراهم می کند. با این روش شما امکان پایش هزینه ها و میزان مصرف منابع را دارید و چنین نگرش جامعی امکان بهینه سازی هزینه های ابر موجود و یا انتقال به ابر AWS را فراهم می کند. علاوه بر این RI Planner، امکان برنامه ریزیReserved Instance) RI) موجود را از طریق ارایه دید کاملی از منابع موجود و توصیه های لازم در خصوص بهینه سازی آنها به همراه تخمین میزان صرفه جویی سالانه بر اساس داده های قبلی و یا میزان مصرف داده پیش بینی شده، ارایه می کند.

امنیت: بررسی و مدیریت Compliance

مشتریان امکان مشاهده فعالیت های حسابرسی AWS، کاربران غیر مجاز، نقض تعهدات امنیتی گروه ها و کلیدهای عمومی و خصوصی، ترافیک VCP مبدا،تهیه instance 0جدید، ارزیابی یافته های امنیتی، بررسی compliance و تغییرات AWS instance، را خواهند داشت.

پایش و عیب یابی

داشبوردهایی که از ابزار Splunk Machine Learning استفاده می کنند، قابلیت بهینه سازی هزینه های RI جامع تر، EC2 sizing، بررسی صحت ELB،Security Group orphans and Elastic IPs inactivity.. جدول زمانی منابع Splunk امکان مقایسه و ایجاد ارتباط میان AWS Cloudwatch، CloudTrail، Config Rules و بررسی رخدادها در یک نوار ابزار مبتنی سری زمانی را ارایه میدهد. از طریق تحلیل کلی رخدادها به صورت چشمگیری سرعت واکنش در مقابل آنها افزایش خواهد یافت. همچنین قابلیت شناسایی رخدادهای غیرمعمول بر کلیه داده های امنیتی و صورتحساب ها اعمال می شود.


Splunk Insights در پایش ابر AWS با مشخصه های AWS CloudTrail، AWS Config، AWS Config Rules، Amazon Inspector، Amazon RDS ، Amazon CloudWatch، Amazon VPC Flow Logs، Amazon S3، Amazon EC2، Amazon CloudFront، Amazon EBS، Amazon ELB و AWS Billing ترکیب شده و امکان پایش جامع محیط AWS را فراهم می کند.
زمانی که بار کاری خود را به ابر منتقل می کنید و به پایش اساس AWS می پردازید، بکارگیری Splunk Insights به منظور AWS Cloud Monitoring ، مشتریان را در پایش مقیاس instance و بار کاری آن که دائما در حال تغییر است، همچنین نحوه اتصال دیتا به برنامه به منظور نظارت جامع، یاری می کند. نرم افزار Splunk، تصویر کاملی از منابع و صحت کل زیرساخت ابر شامل کلیه node، معاملات و کاربران را در یک بستر فراهم می کند. این قابلیت مشتریان را در شناسایی تمام منابع توسعه یافته در زیرساخت AWS یاری می کند بدین ترتیب هر گونه مصرف غیرمتعارف و یا ابزار غیرمعمول به سادگی قابل شناسایی است.

آشنایی با ویندوز سرور ۲۰۱۹ windows Server 2019

معرفی ویندوز سرور ۲۰۱۹

امروز روزی بزرگ برای ویندوز سرور است. از طرف تیم فنی ویندوز سرور مفتخرم اعلام کنم که ویندوز سرور ۲۰۱۹ در نیمه دوم سال ۲۰۱۸ در دسترس عموم قرار خواهد گرفت. در حال حاضر با استفاده از برنامه Insiders، پیش نمایش آن ارایه شده است.

 تغییرات ویندوز سرور ۲۰۱۹

ویندوز سرور ۲۰۱۹ بر مبنای ویندوز سرور ۲۰۱۶ که مورد توجه مصرف کنندگان قرار گرفته است، ساخته شده است. ویندوز سرور ۲۰۱۶ سریعترین نسخه ویندوز سرور است. تیم فنی ما از زمان اعلام در اجلاس Ignite سال ۲۰۱۶ در حال دریافت بازخوردها و دیدگاههای مختلف به منظور ارتقا این نسخه است.
تیم فنی زمان زیادی را به منظور درک چالش های پیش روی کاربران و همچنین تغییرات روند صنایع و نیازهای آنها صرف کرده است. چهار موضوع مطرح در این زمینه شامل سازگاری با محیط ترکیبی، امنیت، بستر نرم افزاری و  HCI    Hyper-converged infrastructure است. ویندوز سرور ۲۰۱۹ نوآوری های بسیاری در این موارد ارایه کرده است.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای windows Server  را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

سناریوهای ابر ترکیبی

آنچه مشتریان از انتقال به محیط ابر انتظار دارند، فرآیندی است که اغلب شامل استفاده همزمان از محیط های محلی،ابری و انتقال تدریجی به محیط ابر است. گسترش سرویسهای Active Directory، سنکرون سازی فایل سرورها و پشتیبان گیری در محیط ابر تنها نمونه هایی از کاربری ابر توسط مشتریان به منظور توسعه دیتاسنترهای خود به ابرهای عمومی است. علاوه براین وجود راهکار ترکیبی، امکان استفاده از برنامه هایی را که به صورت محلی و ابری مانند IoT ارایه می شود، فراهم میکند. ابر ترکیبی رویکردی بلند مدت است که نقش مهمی در تعیین استراتژی های لازم برای پیش بینی نیازهای آتی را فراهم میکند.
در اجلاس Ignite سپتامبر ۲۰۱۷، پیش نمایش فنی پروژه Honolulu که راهکاری جدید به منظور مدیریت ویندوز و ویندوز سرور است، ارایه شد. این پرژوه بستری انعطاف پذیر، مبتنی بر مرورگرهای ساده و محلی برای مدیریت طرح های مختلف ارایه کرده است. یکی از اهداف این پروژه ارتباط ساده تر بسترهای موجود از ویندوز سرور تا سرویسهای Azure است. با استفاده از ویندوز سرور ۲۰۱۹ و پروژه Honolulu مشتریان قادر به یکپارچه سازی سرویسهای Azure مانند Azure Backup، Azure File Sync، بازیابی پس از وقوع رخدادها و سایر سرویسهای Azure بدون ایجاد خللی در فعالیت برنامه ها و زیرساخت، خواهند بود.

شکل ۱: داشبورد مدیریتی پروژه Honolulu برای سرویس Azure Backup در ویندوز سرور ۲۰۱۹


امنیت
همواره امنیت یکی از مهمترین اولویتهای مشتریان است. تعداد رخدادهای امنیتی همواره رو به رشد است و تاثیر این حوادث به شکل فزاینده ای مخرب خواهد بود. تحقیقات شرکت مایکروسافت نشان میدهد که مهاجمان به طور متوسط ۲۴ تا ۴۸ ساعت پس از نفوذ به اولین دستگاه، قابلیت تحت تاثیر قرار دادن کل محیط شبکه را دارند. علاوه براین مطابق گزارشهای FireEye/Mandiant مهاجمان به طور متوسط تا ۹۹ روز بدون اینکه شناسایی شوند، می توانند در شبکه تحت نفوذ خود فعالیت داشته باشند. تیم فنی ما مشتریان را در خصوص ارتقا وضعیت امنیتی خود از طریق ارایه آگاهی های لازم در خصوص دیتاسنترهای مقیاس جهانی مانند Microsoft Azure، Office 365 و سایر سرویسهای آنلاین، یاری میکند.
رویکرد تیم فنی ما در زمینه امنیت شامل سه بخش حفاظت، شناسای و پاسخگویی است. کلیه مشخصه های امنیتی فوق در ویندوز سرور ۲۰۱۹ مورد توجه قرار گرفته است. از منظر حفاظت، در ویندوز سرور ۲۰۱۶ مبحث Shielded VMs مطرح شد، که مورد توجه کاربران قرار گرفت. قابلیت Shielded VMs ماشین های مجازی را در مقابل compromised و یا فعالیتهای مخرب ادمین نیز محافظت میکند بنابراین ادمین ماشین مجازی، تنها در یک بستر مورد تایید و حفاظت شده قابلیت دسترسی به آن را خواهد داشت. در ویندوز سرور ۲۰۱۹ قابلیت Shielded VMs به بستر ماشین های مجازی تحت لینوکس نیز توسعه پیدا کرده است. همچنین ویژگی VMConnect به منظور ارتقا عیب یابی Shielded VMs در محیط ویندوز سرور و لینوکس تعبیه شده است. توانایی رمزنگاری شبکه به منظور ارایه قابلیت رمزنگاری بخشهای مختلف شبکه به وسیله سوئیچ های گوناگون در جهت حفاظت از ارتباط میان سرورها در اختیار ادمین قرار داده شده است.
ویندوز سرور ۲۰۱۹ در بخش شناسایی و پاسخگویی، قابلیت Windows Defender ATP را تعبیه کرده است که امکان حفاظت پیشگیرانه، شناسایی حملات و ممانعت از تهدیدات zero-day را دارد. این قابلیت امکان دسترسی به kernel و حافظه را در اختیار مشتریان قرارا میدهد و موجب ارتقا عملکرد سیستم در مقابل حملات مخرب شده و پاسخگویی سرورها را بهبود میبخشد.

شکل ۲: Windows Defender ATP در سیستمی با سیستم عامل ویندوز سرور ۲۰۱۹


بستر نرم افزاری:
پایه اصلی طرحهای تیم ویندزو سرور بر تمرکز ویژه در زمینه تجربیات توسعه استوار است. دو جنبه اصلی مورد توجه تیم در ارتقا Windows Server containers و WSL است.
با توجه به اینکه در معرفی Windows Server containers 2016 تلاش زیادی به منظور پذیرش آن صورت پذیرفت. ده ها تصویر containers از میان میلیونها تصویر Docker Hub دانلود شد. تیم فنی با توجه به بازخوردهای دریافت شده از کاربران متوجه شد، هر قدر سایز تصویر container کوچکتر باشد، توسعه دهندگان نرم افزارها و تیم های IT که در حال توسعه نرم افزارهای خود با استفاده از آن container هستند، عملکرد بهتری خواهند داشت. در ویندوز سرور ۲۰۱۹ هدف ما کاهش سایز تصویر container ویندوز سرور Core تا یک سوم حجم کنونی آن(۵GB) است. که این رویکرد موجب کاهش زمان دانلود تصویر تا ۷۲ درصد و بهینه سازی زمان توسعه و کارایی آن شده است.
همچنین تیم فنی ما در حال توسعه گزینه های موجود در هماهنگی و توسعه Windows Server container است. در حال حاضر Kubernete در نسخه بتا و ویندوز سرور ۲۰۱۹ پشتیبانی می شود و پیشرفتهای شگرفی در ارتقا پردازشها، ذخیره سازها و المان شبکه در یک Kubernetes cluster صورت پذیرفته است.
بازخوردی که همواره از توسعه دهندگان نرم افزارها دریافت می شود پیچیدگی موجود در گذار میان محیط های لینوکس و ویندوز است. به منظور پاسخگویی به این نیاز، تیم فنی قابلیت WSL را در ساختارهای درونی ویندوز سرور توسعه داده و در نتیجه مشتریان قادر به استفاده containers لینوکسی و ویندوزی به صورت همزمان در ویندوز سرور خواهند بود. همچنین تیم ما در حال توسعه WSL در ویندوز سرور ۲۰۱۹ به منظور تسهیل انتقال scripts کاربران لینکوس به محیط ویندوز در حین استفاده از استانداردهایی تجاری چون OpenSSH، Curl و Tar است.

  شکل ۳: مدیریت container که حاوی ویندوز سرور ۲۰۱۹ توسط Kubernate

 HCI

امروزه HCI یکی از آخرین پیشرفتها در حوزه سرور است. با توجه به گزارش IDC در سال ۲۰۱۶ حوزه HCI تا ۶۴ درصد رشد داشته است و باتوجه به گزارش Gartner تا پایان سال ۲۰۱۹ حجم این بازار تا ۵ بیلیون دلار خواهد بود. این گرایش عمدتا زمانیکه مشتریان اهمیت استفاده از سرورهای ۳۲ بیتی در یک دیسک محلی پرسرعت به منظور تامین همزمان نیازهای پردازشی و storage درک کردند، به وجود آمد. علاوه براین HCI انعطاف پذیری لازم به منظور توسعه چنین زیرساختی را ارایه میدهد.
در حال حاضر مشتریان به دنبال راهکارهای HCI هستند که امکان استفاده از ویندوز سرور ۲۰۱۶ و برنامه های Windows Server Software Defined) WSSD) را فراهم کند. تیم فنی ما با همکاری فروشندگان پیشرو حوزه سخت افزار راهکار HCI قوی و پایدار با طراحی معتبر را ارایه کرده است. در ویندوز سرور ۲۰۱۹ تیم فنی قابلیتهای مقیاس پذیری، اطمینان و عملکرد این بستر را ارتقا داده است. همچنین امکان مدیریت توسعه HCI در پروژه Honolulu به منظور تسهیل مدیریت و فعالیتهای روزانه در بسترHCI، افزوده شده است.

شکل ۴: داشبورد مدیریت HCI پروژه Honolulu در ویندوز سرور ۲۰۱۹


در نهایت آنچه مورد توجه کاربران ویندوز سروری که از System Center استفاده می کنند، خواهند بود پشتیبانی از System Center 2019 در ویندوز سرور ۲۰۱۹ است.
اطلاعات بیشتری تا پایان سال جاری ارایه خواهد شد که شامل جزئیات بیشتر در ارتباط با مزیتهای ویندوز سرور ۲۰۱۹ خواهد بود.

بررسی راهکارهای تحلیل Splunk Enterprise

الزامات SIEM در سرویس اسپلانک

اکنون که درون مایه راهکارهای تحلیلی SIEM بیان شد. شش قابلیت اصلی SIEM مبتنی بر تحلیل به شرح جدول زیر است.
پایش لحظه ای سرعت رشد تهدیدات بسیار بالا است و مدیران IT ملزم به پایش پیوسته و بررسی آنی ارتباط میان رخدادها به منظور شناسایی و متوقف کردن آنها هستند.
پاسخ آنی در برابر حوادث IT نیازمند یک روش سازماندهی شده به منظور مدیریت هر گونه نقص احتمالی به همراه هر گونه نقض امنیتی و یا حمله با هدف محدود کردن آسیب ها و کاهش زمان بازیابی است.
پایش کاربران نظارت دقیق بر فعالیت کاربران مساله ای بحرانی و حساس به منظور شناسایی نقاط ضعف و سوء استفاده ها است. نظارت بر فعالیت کاربران یکی از الزامات شناسایی compliance است.

سیستم هوشمند مقابله با تهدیدات چنین سیستم هوشمندی در شناسایی فعالیت های غیرمعمول، شناسایی ریسک های کسب و کار و اولویت بندی اقدامات نقش شایانی دارد.
تجزیه و تحلیل پیشرفته تحلیل حجم عظیم داده ها بهترین راه برای کسب دید کلی نسبت به آنها است و machine learning امکان تحلیل خودکار و شناسایی تهدیدات پنهان را در اختیارمان قرار می دهد.
سیستم پیشرفته شناسایی تهدیدات متخصصان امنیت نیازمند ابزارهای ویژه ای به منظور نظارت، تحلیل و شناسایی تهدیدات در سراسر زنجیره حملات هستند.
این قابلیت ها به سازمان ها امکان استفاده از SIEM در طیف گسترده ای از موارد امنیتی و compliance، را می دهد. در این بررسی عمیق تر به هر یک از قابلیت های پایه SIEM مبتنی بر تحلیل پرداخته می شود.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Splunk را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

پایش لحظه ای Real time Monitoring

هر چه زمان شناسایی یک تهدید طولانی تر باشد، به صورت بالقوه احتمال ایجاد آسیب های بیشتری وجود دارد. شرکت های IT نیازمند SIEM با قابلیت های پایش لحظه ای هر نوع داده ای بدون توجه به مکان داده (محلی و ابری) هستند. علاوه بر این قابلیت پایش ملزم به بازیابی contextual data feed مانند دارایی های اطلاعاتی و اطلاعات هویتی و فیدهای هوشمند مقابله با تهدیدات که با هدف ارایه هشدارها استفاده می شوند.
سیستم های SIEM مبتنی بر تحلیل ملزم به شناسایی کلیه نهادهای یک محیط IT شامل کاربران، ابزارها و نرم افزارها به همراه کلیه فعالیت های مرتبط با هر یک از این نهادها، است. SIEM به منظور شناسایی طیف گسترده ای از رفتارهای غیرمعمول، باید قادر به استفاده از این داده ها در هر لحظه ای باشد. پس از شناسایی، داده ها به شکلی ساده وارد جریان کار شناسایی و ارزیابی خطرات بالقوه شده و به این ترتیب ریسک های کسب وکار شناسایی و معرفی می شوند.
می بایست مجموعه ای از قوانین از پیش تعیین شده و سفارشی، یک کنسول رخدادهای امنیتی به منظور نمایش لحظه ای وقایع اتفاق افتاده و داشبوردهایی به منظور ارایه یک دیدکلی نسبت به تهدیدات پیوسته و در حال پیشرفت، وجود داشته باشد. در نهایت کلیه این قابلیت ها از طریق ارایه برنامه های جستجوی لحظه ای و برنامه ریزی شده به منظور شناسایی ارتباط رخدادها تکمیل می شود. این جستجوها از طریق یک UI با کاربری ساده در اختیار مدیران IT قرار می گیرد.
در نهایت SIEM مبتنی بر تحلیل نیازمند قابلیت جستجوی محلی داده ها در هر زمانی به منظور کاهش بار ترافیکی جستجوی داده ها نیز می باشد.

صرفه جویی در هزینه های سرمایه گذاری و زمان شرکت Autodesk با استفاده از بکارگیری Splunk در AWS

مشتریان در کلیه بخش های صنعت ساختمان، معماری، ساخت و ساز و صنایع سرگرمی شامل ۲۰ برنده برتر جایزه اسکار برای بهترین جلوه های بصری از نرم افزارهای Autodesk به منظور طراحی، تجسم و شبیه سازی ایده های خود استفاده کردند. با توجه به تاثیرات جهانی این مساله Autodesk با دو چالش مجزا روبرو بود: نیاز به کسب اطلاعات و آگاهی کلی در زمینه های عملیاتی، امنیتی و کسب وکار در سراسر گروه های مختلف داخلی و انتخاب بهترین زیرساخت به منظور استقرار نرم افزارهای هوشمند عملیاتی است.
پس از شرکت Autodesk از بستر Splunk ، این شرکت از مزایای زیر بهره مند شده است:
• پس انداز چندین هزار دلاری
• درک عملیاتی و امنیتی وسیع تر
• مشاهده آنی عملکرد محصولات

چرا Splunk ؟

Splunk اولین بار در سال ۲۰۰۷ در دفتر مرکزی Autodesk به عنوان راهی برای کنترل و مهار اطلاعات دستگاه ها مورد استفاده در عیب یابی عملی، مورد استفاده قرار گرفت. امروزه استفاده از این ابزار گسترش یافته و شامل پایش لحظه ای، نظارت امنیتی دقیق و تحلیل کامل فرآیندهای کسب و کار در سراسر بخش های اجرایی Autodesk شامل موارد زیر است:
• سرویس های اطلاعاتی سازمانی یا EIS : مسئولیت مدیریت اطلاعاتی سراسری شامل اطلاعات امنیتی و مدیریتی را بر عهده دارد.
• گروه های مشتریان Autodesk یا ACG : مسئولیت کلیه محصولات مصرفی Autodesk بر عهده این بخش است.
• مدل سازی اطلاعات و بستر محصولات یا IPG : مسئولیت راهکارهای Autodesk برای مشتریان تجاری و صنعتی شامل طراحان و مهندسین کلیه صنایع است.
Autodesk به منظور کاهش زمان شناسایی و حل مسایل امنیتی از Splunk ES استفاده می کند. همچنین این شرکت از Splunk App در AWS به منظور ارایه و مدیریت انعطاف پذیر منابع برای Splunk Enterprise و سایر برنامه های مهم و حساس، بهره می گیرد.
توانمندسازی تصمیم گیری های مبتنی بر داده
شرکت Autodesk با استفاده از Splunk Enterprise، Splunk App for AWS، Splunk Enterprise Security و سایر راهکارهای Splunk، درک کاملی نسبت به کارایی عملیاتی، امنیتی و عملکرد محصولات خود، کسب کرد. همچنین این شرکت با استفاده از تحلیل های مبتنی بر داده و انعطاف پذیر Splunk و بستر مبتنی بر AWS، نتایجی همچون صرفه جویی در زمان، کاهش هزینه سرمایه و افزایش حوزه و ژرفای تصمیمات حیاتی را کسب کرده است.

 

پاسخ رخدادها incident response splunk

درون مایه هر استراتژی واکنش در مقابل حوادث، شامل بستر پایداری از SIEM است که نه تنها امکان شناسایی رخدادهای متمایز را فراهم می کند بلکه ابزاری به منظور ردیابی و تفسیر آنها ارایه می دهد. راهکارهای امنیتی می بایست برای کلیه اعضای یک سازمان با سطوح مختلف دسترسی و نقش های کاری متفاوت فراهم شود. سایر قابلیت های کلیدی شامل همگرایی دستی و یا خودکار رویدادها، پشتیبانی از APIs که امکان استخراج و ورود اطلاعات سیستم های Third-party را داشته باشند، قابلیت تجمیع شواهد قانونی و کتابچه راهنما به منظور هدایت شرکت ها در پاسخگویی به حوادث امنیتی خاص است. مهمترین قابلیت SIEM مبتنی بر تحلیل شامل قابلیت پاسخگویی خودکار می شود که امکان ایجاد اختلال در فرآیند یک حمله سایبری را فراهم می کند.
در واقع بستر SIEM، می ایست به صورت hub around بوده به عبارت دیگر امکان تنظیم یک جریان کار سفارشی برای مدیریت حوادث وجود داشته باشد. مطمئنا هر یک از رخدادها سطح ضرورت متفاوتی دارند. بستر SIEM مبتنی بر تحلیل از طریق داشبوردهایی که قابلیت رده بندی رخدادهای مهم را دارند امکان طبقه بندی شدت تهدیدات بالقوه را خواهند داشت و به بررسی جزییات رخدادها با هدف کسب شواهد تحقیقاتی می پردازد. در نتیجه بستر SIEM مبتنی بر تحلیل، ابزاری ارزشمند به منظور تصمیم گیری و تعیین بهترین واکنش در مقابل هر رویدادی را در اختیار سازمان ها قرار می دهد.
قابلیت های پاسخگویی شامل توانایی شناسایی و تعیین وضعیت رخدادهای مهم، تعیین شدت آن، ایجاد روند بازسازی و رسیدگی کل فرآیند یک رخداد و حوادث جانبی آن است. در ضمن داشبوردی ساده جهت اعمال مستقیم فیلترها در حین یک تحلیل و توسعه و یا کاهش سطح تحقیق ضروری است. در نهایت کلیه اعضای تیم امنیتی باید امکان اعمال واکنش مناسب، تعیین جدول زمانی انجام کار و یادداشت اعمال صورت گرفته به منظور آگاهی سایر اعضای گروه از رخدادها و واکنش های در نظر گرفته شده، را داشته باشند. این جداول زمانی در یک دیتابیس به منظور بررسی حملات و اجرای راهکار مقابله با حوادث مشابه، نگهداری می شوند.

تضمین قابلیت پایش سراسری شبکه شرکت PagerDuty به وسیله Splunk Cloud و AWS

مشتریان گرایش خاصی به PagerDuty، enterprise incident response service دارند، این امر به منظور مدیریت و رفع سریع و کارآمد مشکلات IT به وجود آمده است. زمانی که شرکت های مبتنی بر ابر نیازمند راهکاری جهت تامین الزامات تحلیل های عملیاتی خود بودند؛ رویکردی که اغلب این شرکت ها در این خصوص اتخاذ کردند، استفاده از Splunk cloud در AWS است. PagerDuty با استفاده از Splunk cloud و AWS، دسترس پذیری سرویس ها و امکان توسعه آنها متناسب با تقاضای مشتریان را تضمین می کند. PagerDuty از زمان استقرار Splunk Cloud از مزایایی که از جمله آنها می توان به موارد زیر اشاره کرد، بهره مند شده است:
• تضمین رضایت مشتریان و ارایه خدمات ابری با دسترس ذیری بالا
• کاهش ۳۰ درصدی هزینه های ارایه خدمات نسبت به سرویس های پیشین
• کاهش زمان پاسخگویی و رفع مشکلات در زمان وقوع رخدادهای امنیتی (از ۱۰ دقیقه تا حدود یک دقیقه و یا چند ثانیه)

چرا Splunk ؟

Arup Chakrabarti، مدیر بخش مهندسی زیرساخت در PagerDuty که شامل بخش های قابلیت اطمینان سایت ها، بستر داخلی و مهندسی امنیتی است. هدف این بخش ارتقا بهره وری و کارایی در سراسر سازمان است.
PagerDuty پیش از استفاده از Splunk Cloud از یک راهکار مبتنی بر ثبت وقایع استفاده می کرده است، که با توجه به گسترش سازمان شاخص گذاری و نگهداری از هزاران گیگابایت رخداد ثبت شده غیر ممکن بوده است. علاوه بر این تیم امنیتی با مشکل بزرگتری مواجه بود و آن استخراج داده های عملی از حجم عظیم اطلاعات ثبت شده و تصمیم گیری و پاسخ سریع در زمان وقوع رویدادها است. پس از اجرای Splunk Cloud در کنار سرویس موجود، تیم امنیتی سرعت ارایه شده در پاسخگویی به رخدادها توسط Splunk Cloud را معقول و تضمین کننده سرعت بالای پاسخگویی و دسترس پذیری بالا برای مشتریان دانست. در طول چند روز مهندسین عملیات انتقال به Splunk Cloud را انجام دادند.
Chakrabarti بیان کرد:” با استفاده از راهکار پیشین، مدت زمان جستجو در داده ها تا ۳۰ دقیقه می رسید که اغلب نتیجه بدست آمده نیز غیر قابل قبول بوده است. با استفاده از Splunk Cloud، زمان مورد نیاز برای تفکیک داده ها از منظر مشتری از چند ثانیه تا حداکثر ۱۰ دقیقه کاهش یافته است. همچنین اگر چه انتخاب Splunk Cloud از منظر هزینه مورد بررسی قرار گرفته نشده بود، لیکن تیم حسابداری از کاهش هزینه های ایجاد شده توسط طرح جدید شگفت زده شده اند.”

پایش و نظارت بر کاربران 

کمترین وضعیت نظارت بر کاربران، شامل پایش فعالیت های کاربر، تحلیل میزان دسترسی، احراز هویت داده، استقرار user context و ارایه هشدارهای لازم در خصوص هرگونه رفتار مشکوک، نقض قوانین و سیاست گذاری ها است.
نظارت بر کاربران می بایست به صورت هدفمند صورت گیرد، برخی کاربران بیشتر از سایرین در معرض اهداف حملاتی قرار می گیرند؛ لذا لزوم بررسی دقیق تر این کاربران مشاهده می شود، چرا که در صورت قرار گرفتن آنها در معرض چنین خطراتی احتمال بروز آسیب بیشتری برای کل سیستم را در پی دارد. در حقیقت با توجه به وجود چنین ریسک هایی، بسیاری از صنایع قانونی از پایش کاربران، به منظور تامین الزامات قوانین گزارش compliance استفاده می کنند.
دستیابی به این اهداف نیازمند دیدگاه بهنگام و قابلیت های بهره برداری از مکانیزم های مختلف احراز هویت است که امکان توسعه در انواع مختلف برنامه های ۳rd party را داشته باشند.

بهره گرفتن شرکت Travis Perkins PLC از SIEM مبتنی بر تحلیل به منظور فعال سازی قابلیت گذار به ابر ترکیبی

شرکت Travis Perkins PLC یکی از خرده فروشان بازار بازسازی ساختمان ها در بریتانیا با ۲۸۰۰۰ کارمند و ۲۰۰۰ بازار فروش است. در سال ۲۰۱۴ این شرکت اولین اقدامات لازم به منظور استقرار سیستم های مبتنی بر ابر را آغاز کرد، لیکن راهکارهای امنیتی موجود در شرکت پاسخگوی نیازهای محیط هیبریدی نبود. بنابراین شرکت به بررسی راهکارهای جایگزین پرداخت و لذا Splunk Cloud را انتخاب کرد و Splunk Enterprise و Splunk ES را به عنوان SIEM مورد استفاده قرار داد. از زمان استقرار Splunk شرکت Travis Perkins PLC از مزایای آن شامل موارد زیر بهره مند شده است:

• افزایش قابلیت پایش و نظارت کل شبکه زیرساخت هیبریدی
• قابلیت شناسایی و واکنش در مقابل تهدیدات پیچیده سایبری
• کاهش هزینه های IT با توجه به کارایی بیشتر منابع

چرا Splunk ؟

با توجه به شرایط چالش برانگیز بازارها پس از رکود اقتصادی سال ۲۰۰۸، Travis Perkins PLC اولویت های سرمایه گذاری خود را تغییر داده و بدین ترتیب حوزه IT شرکت دیگر اولویت سرمایه گذاری شرکت نبوده است. در سال های اخیر، بهبود شرایط کسب وکار موجب بازنگری و بررسی استراتژیک زیر ساخت ها شده و بکارگیری راهکارهای مبتنی بر ابر به عنوان رویکردی در کاهش هزینه ها و افزایش انعطاف پذیری مورد استفاده قرار گرفتند. زمانی که Travis Perkins PLC سرویس هایی از جمله G Suite از Google Cloud، Amazon Web Services و Infor CloudSuite به صورت ابری منتشر کردند، متوجه عدم کارایی SIEM موجود در پاسخگویی به رخدادهای امنیتی موجود در یک محیط ترکیبی شدند. بنابراین به بررسی راهکارهای جایگزین ارایه شده توسط شرکت های HP، IBM و LogRhythm پرداختند و پس از مقایسه جزییات هر یک از این راهکارها، Splunk Cloud، Splunk Enterprise و Splunk ES به منظور کسب دیدکلی نسبت به رخدادهای امنیتی صورت گرفته انتخاب شدند.

ایجاد امنیت سراسری

Travis Perkins PLC از استقرار Splunk ES نه تنها به منظور بهره برداری امنیتی بلکه جهت ارتقا آگاهی امنیتی همه افراد استفاده می کنند. کارکنان تیم های IT، از طریق دسترسی به داشبوردهای خود و دریافت هشدارهای لازم امکان پاسخگویی موثر در مقابل تهدیدات بالقوه و انجام اقدامات ضروری پیش از ارجاع به تیم های امنیتی را خواهند داشت. بنابراین Travis Perkins PLC یک مرکز عملیاتی SOC بسیار مطمئن بدون نیاز به سرمایه گذاری قابل توجه مستقر کرده است.

سیستم دفاعی خودکار

تامین امنیت برای تیم فناوری شرکت Travis Perkins PLC، با وجود ۲۴۰۰۰ کارمند در سراسر بریتانیا که ابزارهای ارتباطی متفاوتی را مورد استفاده قرار می دهند، مساله ای چالش برانگیز است. در حال حاضر این شرکت با استفاده از Splunk ES، ریسک فعالیت های مختلف را بر اساس داده های موجود و یا بر مبنای هشدارهای ارایه شده توسط راهکارهای امنیتی موجود، محاسبه می کنند. در کسب وکارهایی که با مشکلاتی چون حملات فیشینگ ایمیل روبرو هستند، چنانچه کلاینت مشکوکی شناسایی شود، هشدارهای لازم از طریق بستر Splunk به صورت خودکار تولید و ارایه می شود. سپس تیم های مرتبط با استفاده از یک پاسخ از پیش تعیین شده واکنش متناسب را نشان می دهند. Splunk ES به صورت گلوگاهی با دید جامعی نسبت به کل دارایی ها و کاربران عمل کرده و نقش بسزایی در کاهش زمان مورد نیاز برای حل و فصل مشکلات امنیتی ایفا می کند.

 سیستم هوشمند مقابله با تهدیدات

SIEM مبتنی بر تحلیل دو شکل متمایز از سیستم های هوشمند دفاع در مقابل تهدیدات را ارایه می دهد.
نوع اول شامل اطلاعاتی چون شاخص های compromise، تکنیک ها و فرآیندهایی جهت مقابله با انواع مختلفی از رخدادهای امنیتی و فعالیت های مشکوک است. این سیستم هوشمند موجب سهولت شناسایی فعالیت های غیرمعمول مانند اتصالات outbound به IP خارجی که به عنوان سرور C2 وجود دارند، شده است. با این سطح از اطلاعات تهدیدات، تحلیلگران به ارزیابی دقیق تر خطرات پرداخته و تاثیر و اهداف حملات را بررسی و به اولویت بندی پاسخ ها می پردازند.
نوع دوم اطلاعات، شامل ارزیابی میزان اهمیت منابع، کاربری، ارتباطات، مالکیت و در نهایت نقش کاربران و وضعیت فعالیت های آنها است. این اطلاعات از لحاظ تحلیل میزان خطر و تاثیرات بالقوه آن اهمیت فراوانی دارد. به عنوان مثال SIEM مبتنی بر تحلیل، می بایست توانایی تایید اطلاعات هویتی کارمندان و مشخصات هویتی VPN آنها را در هنگام ورود به منظور ارایه اطلاعات مورد نیاز کارمندان در هر نقطه جغرافیایی، داشته باشد. به منظور ارایه سطوح عمیق تری از تحلیل های هوشمند، SIEM ملزم است قابلیت نفوذ به سایر API به منظور درک فرآیند کاری آنها و همچنین ترکیب داده های بدست آمده از دیتابیس های مرتبط با machine data را داشته باشد.
اطلاعات سیستم های هوشمند مقابله با تهدیدات می بایست با machine data تولید شده توسط زیرساخت های مختلف IT و برنامه های گوناگون به منظور ایجاد یک watch list ادغام شوند، قوانین همبستگی و Query مختلف در افزایش نرخ تشخیص موفق و زود هنگام هر گونه نقض قوانین و تعهدات تاثیر بسزایی خواهند داشت. این اطلاعات همواره ملزم به حفظ ارتباط و همبستگی با داده های رخدادها هستند و به بخش گزارشات داشبوردها افزوده شده و یا به ابزارهای مرتبط مانند فایروال و یا IPS که امکان بازیابی و پیشگیری از نفوذ را دارند، ارجاع داده می شوند.
داشبوردهای ارایه شده توسط SIEM باید قابلیت شناسایی و ردیابی وضعیت محصولات آسیب پذیر مستقر شده در محیط IT را داشته باشند؛ این مراحل شامل بررسی صحت و سقم سیستم های اسکن شده و مشخص کردن سیستم هایی که عملیات اسکن آسیب پذیری بر آنها صورت نگرفته است، می شود.
به طور خلاصه یک سیستم هوشمند مقابله با تهدیدات به ارایه پوشش کاملی از راهکارهای مقابله در برابر انواع مختلف تهدیدات، سیستم شناسایی تهدیدات مبتنی بر هوش مصنوعی، اولویت بندی تهدیدات بر مبنای لیست های مختلف تهدیدات و تعیین بار هر یک از تهدیدات به منظور تشخیص ریسک های واقعی تهدید کننده کسب و کارها، می پردازد.

یکپارچه سازی سیستم هوشمند امنیتی به اشتراک گذاشته شده در ۴۰ نمایندگی سطح شهر لس آنجلس

شهر لس آنجلس به منظور محافظت از زیرساخت های دیجیتالی خود نیازمند آگاهی وضعیتی از موقعیت امنیتی و استقرار سیستم های امنیتی هوشمند مقابله با تهدیدات برای ادارات و ذینفعان خود است. در گذشته بیش از ۴۰ سازمان از اقدامات امنیتی متفاوتی استفاده می کردند که این مساله پیچیدگی ترکیب و تحلیل داده ها را در پی داشت. لس آنجلس خواستار یک سیستم اطلاعاتی SaaS قابل توسعه و راهکاری برای مدیریت رخدادها به منظور شناسایی، اولویت بندی و کاهش تهدیدات به منظور پایش کامل فعالیت های مشکوک و ارزیابی خطرات موجود، بوده است. از زمان استقرار Splunk Cloud و Splunk ES، این شهر از مزایای زیر بهره مند شده است:
• ایجاد SOC در سطح شهر
• سیستم هوشمند بهنگام مقابله با تهدیدات
• کاهش هزینه های عملیاتی
ایجاد آگاهی situational
Splunk Cloud دیدگاه جامعی نسبت به موقعیت امنیتی این شهر فراهم کرده است. فرستنده های Splunk اطلاعات رخدادهای ثبت شده از بخش ها و ادارات مختلف شهر را به Splunk cloud ارسال می کنند، در این بخش اطلاعات نرمال سازی شده و به SOC یکپارچه بازگردانده می شوند، سپس اطلاعات بررسی شده و در داشبوردهای Splunk قابل مشاهده خواهند بود. با استفاده از داشبوردهای پیش ساخته و قابل تنظیم Splunk ES اطلاعات اجرایی و تحلیل های صورت گرفته همواره در دسترس خواهند بود و اطلاعات کاملی در ارتباط با رخدادهای امنیتی صورت گرفته در سراسر زیرساخت فناوری شهر فراهم می آورند. تیم Lee با استفاده از اطلاعات بروزرسانی شده، به مقایسه اطلاعات machine data، شامل اطلاعات ساختار یافته و غیر ساختار یافته پرداخته و کلیه اطلاعات مورد استفاده در سیستم های هوشمند مقابله با تهدیدات را استخراج می کنند.

سیستم هوشمند مقابله با تهدیدات بهنگام

SOC یکپارچه این شهر علاوه بر جمع آوری اطلاعات، به تهیه و ارایه اطلاعات عملی نیز می پردازد و اطلاعات Splunk Cloud را به سیستم های هوشمند مقابله با تهدیدات منتقل می کند. اطلاعات با نمایندگی های مختلف سطح شهر و همچنین سازمان های ذینفع خارج از شهر همچون FBI، اداره امنیت داخلی، سرویس های مخفی و سایر سازمان های اجرایی قانونی به اشتراک گذاشته می شود. با استفاده از این اطلاعات این شهر با سازمان های فدرال در شناسایی ریسک ها و توسعه استراتژی های جلوگیری از نفوذ همکاری می کند.
Lee اظهار داشت: “ما با استفاده از آگاهی situational، موقعیت و وضعیت خود را درک می کنیم، لیکن با استفاده از سیستم های هوشمند مقابله با تهدیدات قادر به شناسایی مهاجمان خواهیم بود. در حال حاضر درصدد اجرای یک برنامه هوشمند یکپارچه و Splunk SIEM به عنوان یک بستر مدیریت مرکزی اطلاعات که قابل استقرار در ISOC است، هستیم.”
تحلیل های پیشرفته

SIEM مبتنی بر تحلیل، امکان انجام تحلیل های پیشرفته از طریق بکارگیری روش های کمی پیشرفته همچون داده کاوی پیش نگر، آماری و توصیفی، machine learning، شبیه سازی و بهینه سازی، را به منظور ارایه دید کاملی نسبت به تهدیدات صورت گرفته دارد. روش های تجزیه و تحلیل پیشرفته شامل تشخیص رفتارهای خلاف قاعده، peer group profiling و مدل سازی ارتباطات کلیه ابزارها و نرم افزارها است. SIEM مبتنی بر تحلیل، نیازمند ارایه ابزارهایی جهت مشاهده قابلیت پایش و ایجاد ارتباط میان اطلاعات، به عنوان مثال نگاشت طبقه بندی شده رخدادها در مقابل زنجیره ای از حملات و یا ایجاد heat map به منظور پشتیبانی بهتر بررسی رخدادها، است.
تامین کلیه موارد بالا مستلزم دسترسی است که بستر SIEM امکان استفاده از الگوریتم های machine learning را ممکن کرده و امکان بررسی و شناسایی خودکار یک رفتار معمول و عادی از یک رفتار مشکوک را داشته باشد. این سطح از تحلیل رفتاری قابلیت ساخت، اعتبارسنجی و استقرار مدل های پیش نگر را فراهم می کند. در این مساله حتی امکان استفاده از مدل های ساخته شده با سایر نرم افزارهای ۳rd party نیز در بستر SIEM وجود دارد.

 مستقر کردن SIEM مبتنی بر ابر در سیستم هوشمند امنیتی شرکت Equinix

شرکت Equinix ارتباط میان کسب وکارهای پیشرو جهان با مشتریان و کارمندان آنها در ۳۳ بازار بزرگ در سراسر ۵ قاره را برقرار می کند. امنیت، یکی از مهمترین فاکتورها در شرکت Equinix است؛ زیرا هزاران شرکت در سراسر جهان بر دیتاسنترها و سرویس های ارتباطی این شرکت متکی هستند. Equinix به منظور کسب یک دیدگاه یکپارچه در زمینه زیر ساخت امنیتی خود، نیازمند یک راهکار مبتنی بر ابر با قابلیت مدیریت و پایش مرکزی، کاربری SIEM است که امکان استقرار ساده، سریع و عملیاتی آن وجود داشته باشد. از زمان استقرار Splunk Cloud و Splunk ES، این شرکت از مزایای زیر بهره مند شده است:
• قابلیت اطمینان
• ارتقا وضعیت امنیتی
• صرفه جویی در زمان و هزینه

ارزیابی میزان قابلیت پایش زیرساخت توسط Splunk Cloud و Splunk ES

قبل از Splunk Cloud شرکت Equinix در هر ماه با حجم عظیمی در حدود ۳۰ بیلیون اطلاعات خام رخدادهای امنیتی تولید شده، روبرو بود. با استفاده از Splunk Cloud و Splunk ES، تیم امنیتی این اطلاعات خام را در ۱۲۰۰۰ رخداد امنیتی مرتبط دسته بندی کرده است و ۲۰ هشدار امنیتی قابل اجرا ارایه می دهند، بنابراین یک سیستم هوشمند امنیتی عملیاتی که پایه SOC اختصاصی است، فراهم می شود. با استفاده از کلیه اطلاعات جمع آوری شده در بستر Splunk، تیم های امنیتی امکان بررسی داده های با مرجع متقابل بین سیستم ها و جستجو و پاسخ تا سی درصد سریع تر به رخدادها را خواهد داشت. George Do، مدیر امنیت اطلاعات شرکت Equinix بیان کرد:”هدف نهایی ما حفاظت از مشتریان، کارمندان و اطلاعات است. با استفاده از Splunk cloud و Splunk ES به عنوان بستر SIEM، اطلاعات همواره به صورت امن در دسترس ما خواهد بود”.
او همچنین اظهار داشت: “هر زمان نیاز به بررسی یک رویداد وجود داشته باشد، اطلاعات امنیتی مرتبط با آن در داشبورد Splunk تیم های امنیتی و مدیران اجرایی سطح C قابل مشاهده خواهد بود. در مقایسه با SIEM سنتی محلی موجود، این روش موجب صرفه جویی در زمان و کاهش ۵۰ درصدی هزینه های مالکیت (TCO ) شده است.”
در حال حاضر این شرکت با استفاده از مزیت های Splunk ES به یک راهکار تحلیل امنیتی جامع دست یافته است. هر زمان نشانه های رفتارهای مشکوک کاربری مشاهده شود، به عنوان مثال زمانی که یک کارمند محلی به صورت غیرمنتظره وارد سامانه قاره دیگری شود، بلافاصله هشدارهای با اولویت امنیتی بالا به تیم امنیتی ارسال می شود. همچنین بکارگیری Splunk Cloud به همراه Splunk ES در این شرکت امکان جلوگیری از افشای اطلاعات حساس را ایجاد کرده است. به ویژه در شرایط خاص مدیران از این اطلاعات به منظور تشخیص تخلفات کارمندان در خصوص سرقت اطلاعات محرمانه استفاده می کنند.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Splunk را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

قابلیت شناسایی پیشرفته تهدیدات

تهدیدات به صورت پیوسته تکامل می یابند. SIEM تحلیلی با استفاده از استقرار سیستم پایش امنیتی شبکه امکان مطابقت با تهدیدات جدید، شناسایی و بررسی endpoint قابلیت واکنش در مقابل sandboxing ارائه می دهد و تحلیل رفتاری در ترکیب با سایر سیستم های شناسایی قابلیت قرنطینه تهدیدات بالقوه جدید را خواهد داشت. اغلب فایروال ها و راهکارهای جلوگیری از نفوذ تمام این قابلیت ها را به صورت همزمان ندارند.
هدف نهایی نه تنها تشخیص تهدیدات است بلکه تعیین دامنه این تهدیدات از طریق شناسایی نحوه حرکت و تاثیرات آنها، نحوه محدود کردن و نوع به اشتراک گذاری اطلاعات را نیز در بر می-گیرد.

رویکرد SAIC در ارتقا قابلیت پایش و شناسایی تهدیدات

SAIC، یک تکنولوژی پیشرو در زمینه بازارهای فنی، مهندسی و اطلاعات سازمانی است. SAIC، با دارا بودن تخصص در زمینه های تحقیقات علمی، سرویس های مدیریت برنامه و IT بیشترین درآمد خود را از سازمان هایی چون دولت ایالات متحده امریکا کسب می کند. این شرکت نیاز به ساخت مرکز عملیات امنیتی (SOC) و یک تیم پاسخگویی به رویدادهای کامپیوتری (CIRT )، به منظور مقابله با حملات سایبری دارد. این شرکت از زمان توسعه بستر Splunk از مزایای زیر بهره مند شده است:
• ارتقا وضعیت امنیتی و عملیاتی
• کاهش ۸۰ درصدی زمان تشخیص و بازیابی
• امکان پایش کامل محیط شرکت
Why Splunk
در سال ۲۰۱۳ پس از تفکیک SAIC به دو شرکت مجزا با هدف تفکیک حوزه های کاری، SAIC ملزم به ساخت یک SOC به عنوان بخشی از برنامه امنیتی جدید خود بود. با وجود اینکه این شرکت زیرساخت های امنیتی مورد نیاز خود را داشته است لیکن کمبود راهکاری جهت مدیریت رخدادها و اطلاعات امنیتی به منظور تحکیم سیستم دفاعی مشهود می باشد. SIEM سنتی موجود در شرکت پاسخگوی نیازهای توسعه ای آن نیست؛ بنابراین این شرکت تصمیم به ارتقا SIEM با استفاده از Splunk Enterprise گرفته است، از طریق این بستر امکان شناسایی رخدادها با استفاده از بررسی ارتباطات آنها و تحقیق در ارتباط با رخدادهای امنیتی وجود دارد. در حال حاضر کارکنان IT شرکت از راهکارهای Splunk مستقر شده به منظور پایش شبکه، مدیریت عملکرد، تحلیل نرم افزارها و ارایه گزارش ها استفاده می کنند.
هنگامی که SAIC شروع به ساخت SOC جدید خود کرد، این شرکت تصمیم به استفاده از Splunk به عنوان یک بستر هوشمند امنیتی برای کلیه نیازهای SIEM خود همچون شناسایی رخدادها، بررسی و پایش پیوسته، ارایه هشدارها و تحلیل های یکپارچه، گرفته است.

شناسایی و نظارت کامل بر تهدیدات سراسر شبکه

در حال حاضر شرکت SAIC از Splunk به منظور نظارت بر تهدیدات سراسر شبکه استفاده می کند. در SOC، تحلیلگران داشبوردهای سفارشی Splunk را به منظور ارایه هشدارهای لازم در صورت مشاهده هرگونه نشانه ای از رفتارهای غیرمعمول و یا غیرمجاز، مورد استفاده قرار می دهند. در حال حاضر آنها از تهدیدات شناخته شده، مبتنی بر امضا (مانند تهدیداتی که از طریق IDS و یا بدافزارها وارد می شوند) و ناشناخته (همچون یک کاربر با دسترسی های مجاز فعالیت های مشکوکی را انجام می دهد)، به صورت آنی مطلع می شوند.
SIEM سنتی از روش های از پیش تعیین شده و غیر قابل تغییر به منظور انجام جستجوها استفاده می کنند که اغلب در بررسی تهدیدات پیشرفته و تولید خطای نوع اول و نوع دوم ناتوان هستند. تحلیلگران SAIC، با استفاده از بستر Splunk علاوه بر قابلیت جستجوهای دقیق به منظور شناسایی تهدیدات و هرگونه IOC ، تیم امنیتی امکان ارزیابی و مدیریت ریسک را خواهد داشت. در حال حاضر مدیران اجرایی از جمله CISO، می توانند شاخص های کلیدی فعالیت هر یک از تهدیدات شامل فرآیند تهدید، محل جغرافیایی منبع تهدید و جدیدترین IOC، را مشاهده کنند.

تکنیک های Cisoc ESA در مقابله با باج افزارها و حملات phishing

تکنیکهای مقابله با باجافزارها، حملات phishing و BEC

 مقدمه

حملات phishing، باج افزارها و Business Email Compromise) BEC) به یکی معضلات امنیتی سازمانها تبدیل شده است؛ این مساله از یک طرف با رشد تکنیک های پیچیده مورد استفاده توسط مجرمان سایبری و از طرف دیگر عدم آگاهی سازمان ها و افراد در برخورد با چنین حملاتی، روز به روز در حال گسترش است. به عنوان مثال باج افزارها در سال های اخیر به صورت اپیدمیک رشد یافته است به طوری که میزان خسارت از ۲۴ میلیون دلار در سال ۲۰۱۵ به یک بیلیون دلار در سال ۲۰۱۶ رسیده است. جدول شماره ۱، درصد سازمان هایی که در ۱۲ ماه گذشته مورد حملات سایبری مختلف قرار گرفته اند را نشان میدهد:

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Cisoc ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

جدول شماره ۱:

رویداد درصد سازمان­ها
حملات Phishing موفق ۳۷%
حملات باج­افزار موفق که منجر به رمزنگاری فایل­ها شده است ۲۴%
بدافزارهایی که موفق به تاثیرگذاری بر سیستم­ها شده و کانال ورودی آنها ناشناخته است ۲۲%
اطلاعات محرمانه و حساسی که به صورت تصادفی از طریق ایمیل فاش شده است ۲۲%
حملات drive-by attack که از وب­گردی کارمندان ایجاد شده است ۲۱%
حملات BEC ۱۲%
حملات spearphishing ایمیل که موفق به تاثیرگذاری بر سیستم­های حساس سازمان­ها شده است ۱۰%
اطلاعات محرمانه و حساسی که توسط یک بدافزار از طریق ایمیل فاش شده است ۷%
اطلاعات محرمانه و حساسی که به صورت تصادفی و یا بدافزاری از طریق ابزارهای مبتنی بر ابر مثل Dropbox فاش شده است ۶%
اطلاعات محرمانه و حساسی که به صورت تصادفی و یا بدافزاری از طریق شبکه­های اجتماعی فاش شده است ۲%
اطلاعات محرمانه و حساسی که به صورت تصادفی و یا بدافزاری به روش­های ناشناخته فاش شده است ۲%
سایر موارد ۲۵%

 

عمده مشکلات:

طیف گسترده ای از حملات سایبری وجود دارد که مدیران شبکه های سازمان ها ملزم به تصمیم گیری صحیح در برخورد با آنها هستند. همانطور که در شکل شماره ۱ نمایش داده شده است سه مورد اول که بیشترین توجهات را به خود جلب کرده اند مبتنی بر ایمیل هستند: که شامل Phishing، نفوذ بدافزار و Spearphishing است. با این حال بزرگترین نگرانی درخصوص نفوذ بدافزارها از طریق مرورگرهای وب، باج افزار و BEC است.

شکل شماره ۱:

چرا حملات Phishing، Spearphishing، BEC و باج ­افزارها تا حد زیادی موفقیت­ آمیز است؟

این حملات از جنبه هایی مختلفی سازمان ها را تحت تاثیر قرار داده و هزینه های هنگفتی را به آنها تحمیل می کنند. این امر می تواند منجر به وقوع خسارت های مالی، از دست دادن کارمندان و حسن شهرت شده و حتی اعتبار سازمان ها را در معرض خطر قرار دهد. مساله مهم بررسی دلایل موفقیت این نوع حملات است؟

کاربران به عنوان ضعیف­ترین عامل در این زنجیره حملات

کاربران، یکی از عوامل موفقیت بسیاری از حملات سایبری بوده و یکی از مشکلات اساسی سازمان ها در تامین امنیت کاربران هستند. اغلب کاربران در ارتباط با شناسایی و برخورد با حملات Phishing، Spearphishing، BEC و باج افزارها آموزش های لازم را دریافت نکرده اند، بنابراین بر لینک های مخرب و یا پیوست ایمیل های حاوی بدافزار بدون توجه به خطر بالقوه آنها کلیک کرده و در نتیجه سازمان ها و افراد را در معرض خطر قرار می دهند. بنابراین سازمان ها ملزم هستند تا با در نظر داشتن زیرساخت های مناسب هشدارهای لازم را به کاربران در ارتباط با لینک های مخرب و یا پیوست های ایمیل مشکوک ارائه دهند.
مدیران شبکه در نتیجه این آموزش های ضعیف از توانایی کاربران و سازمان ها در مقابله با تهدیدات، اطمینان ندارند. به عنوان مثال همانطور که در شکل شماره ۲ نشان داده شده است کمتر از پنج درصد مدیران شبکه ها از توانایی کارمندان سازمان خود در مقابله با شناسایی حملات باج افزارها اطمینان دارند:

شکل شماره ۲:

سازمان­ها کارایی لازم در برخورد با حملات را ندارند

مساله دیگری که منجر به پیچیدگی مقابله با حملات سایبری می شود، تلاش ناکارآمد سازمان ها در برخورد با حملات است. به عنوان مثال:
 بسیاری از سازمان ها فرآیندهای پشتیبان گیری کافی به منظور بازگرداندن سریع سرورها و Endpoint به وضعیت مناسب در صورت بروز حملات باج افزاری و سایر حملات را ندارند.
 بیشتر سازمان ها، کاربران خود را در برخورد با ایمیل های مخرب و میزان حساسیت آنها به این حملات آزمایش نمی کنند.
 بسیاری از سازمان ها فاقد سیستم های کنترل داخلی به منظور جلوگیری از حملات BEC هستند.
 اغلب سازمان ها فاقد سیستم ها و تکنولوژی های لازم در برخورد و کاهش تهدیدات پیش رو هستند.
 بسیاری از سازمان ها فاقد قوانین خاص در برخورد با BYOD بوده اند و کاربران با استفاده از ابزارهای سیار و نرم افزارهای تحت ابر و … امکان دستیابی به اطلاعات سازمانی و استفاده از آنها در ابزارهای دسترسی ناایمن دارند.

سازمان­های و گروه­ های مجرمانه تامین مالی می­شوند

سازمان­هایی که مرتکب جرایم سایبری می­شوند، معمولا منابع مالی مناسبی جهت انتشار انواع جدیدی از نرم ­افزارهای مخرب دریافت می­کنند. به عنوان مثال انواع مختلف باج­ افزارهایی که در سالهای اخیر منتشر شده ­اند، مانند: CryptoWall(2014)، CBT-Locker(2014)، Tesla-Crypt(1025)، Samas(2016)، Locky(2016 و (Zepto(2016 . این رشد بگونه ­ایست که واقعیتی چونransomware-as-a-service) RaaS)  به عنوان یکی از معضلات امنیتی امروزه تبدیل شده است. با توجه به منابع مالی بالا، این سازمان­های مجرمانه به سرعت امکان رشد و سازگاری با راهکارهای امنیتی جدید را خواهند داشت.

جرایم سایبری در حال تغییر و ارتقا خود هستند

پیشتر جرایم سایبری با تکیه بر دستیابی به اطلاعات افراد و فروش آن اطلاعات در فضای Darkweb استوار بودند، لیکن به تدریج با افزایش حجم اطلاعات به سرقت رفته و کاهش اهمیت این اطلاعات درآمد مجرمان سایبری کاهش پیدا کرد. در نتیجه شیوه های حملات سایبری تغییر پیدا کردند. مجرمان با استفاده از حملات Phishing و Spearphishing بدافزاری مانند Keylogger در سیستم قربانی نصب کرده و به انتقال وجه از حساب های مالی سازمان ها می پردازند، علاوه براین با استفاده از باج افزارها مستقیما وجه مورد نظر خود را دریافت می کنند، همچنین با بهره گیری از روش های BEC مدیران ارشد سازمان ها را فریب داده و مستقیما حجم بالایی از انتقالات مالی به حساب های مجرمان واریز می کنند. با این روش مجرمان سایبری به جای دزدی و فروش اطلاعات مستقیما به سرقت پول می پردازند.

در دسترس ­بودن، کم ­هزینه بودن و گستردگی ابزارهای phishing و باج ­افزار

نرم افزارهایی به منظور راهنمایی آماتورهایی با کمترین دانش IT در خصوص انجام حملات Phishing و ایجاد باج افزار، رشد قابل توجهی یافته اند. به صورتی که هر فردی با استفاده از Phishing Kit قادر به راه اندازی یک سایت فیشینگ است. بنابراین علاوه بر سازمان های بزرگی که حملات سایبری پیشرفته و ابزارهایی چون RaaS را توسعه می دهند، نسل جدیدی از حملات ناشی از ظهور رنج وسیعی از باج افزارها و سایر حملات ایجاد شده بوسیله این مجرمان آماتور است، بوجود آمده است.

 بدافزارها پیچیده تر شده است

با گذشت زمان باج­ افزارها ارتقا یافته و ساختار پیچیده­ تری پیدا کرده­اند. به عنوان مثال تلاش برای حملات فیشینگ از حملات ساده با هدف فریب کاربر جهت کلیک بر لینک مخرب تبدیل  شده است به حملات پیچیده BEC که می­توانند سازمان­های بزرگ را تحت تاثیر قرار دهد. باج­افزارها شکل­های پیچیده­تری یافته و به­سادگی اطلاعات افراد را رمزنگاری کرده و از دسترس فرد خارج می­کنند. در سال­های آینده باج­افزارها با استفاده از تکنولوژی­های machine learning ارتقا یافته و به­ صورت خودکار و هوشمند عمل خواهند کرد و به یکی از مهمترین تهدیدات سایبری تبدیل خواهند شد.

امنیت سایبری باید ارتقا یابد

برای رفع مشکلات ناشی از حملات پیچیده سایبری چون Phishing، BEC و باج افزار، ملزم به ارتقا امنیت سایبری و تغییر دیدگاه امنیتی سازمان ها در ارتباط با امنیت هستیم. با این حال تحقیقات نشان می دهد پیشرفت هایی که در زمینه امنیت سایبری صورت می گیرد متناسب با رشد تهدیدات نیست.

راهکارهای امنیتی بصورت همه جانبه ارتقا نیافته و تنها در برخی زمینه­ ها رشد لازم را دارند

تحقیقات نشان می دهد راهکارهای مقابله با حملات Phishing، Spearphishing، BEC و باج افزارها در بسیاری از سازمان ها چنانچه در جوانب شناسایی، تشخیص و جلوگیری از تهدید پیش از تاثیرگذاری آن بر Enduser، ارتقا یابند تاثیرگذارتر خواهند بود و آثار حملات را کاهش خواهند داد. شکل شماره ۳ نظر بسیاری از سازمان ها در ارتباط با تغییرات راهکارهای امنیتی آنها را نشان میدهد:

 

شکل شماره ۳:

راهکارهای امنیتی کنونی تا چه اندازه موثر هستند؟

در این تحقیق از سازمان ها خواسته شد، میزان اثربخشی راهکارهای امنیت سایبری خود را ارزیابی کنند. همان طور که در شکل شماره ۴ نمایش داده شده است، ۵۶ درصد از افراد شرکت کننده در نظرسنجی معتقدند راهکارهای امنیتی آنها برای از بین بردن تهدیدات امنیتی پیش از رسیدن به کاربر موثر بوده است.

 

 

شکل شماره ۴:

همانطور که در شکل شماره ۵ مشاهده می کنید میزان اثربخشی راهکارهای امنیت سایبری در سازمان هایی که کارمندان آنها آموزش های بیشتری در ارتباط با حملات سایبری دیده اند (حداقل دو بار در سال دوره های آموزشی برگزار کرده اند)، بیش از سایر سازمان ها است:

شکل شماره ۵:

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Cisoc ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

تکنیک ­هایی که سازمان­ها در برخورد با تهدیدات سایبری می­بایست اتخاذ کنند

در این پژوهش ۱۴ گام به منظور محافظت سازمان ها در برابر حملات سایبری همچون Phishing، Spearphishing، BEC و باج افزارها پیشنهاد و ارائه می شود:

 ۱-درک خطراتی که سازمان با آنها مواجه است:

اگرچه ممکن است این گام در ظاهر توصیه ای واضح به نظر برسد، لیکن تنها در صورت درک صحیح مشکل از جانب سازمان ها زیرساخت های لازم جهت امنیت سایبری توسعه خواهد یافت. جرایم سایبری به صنعتی عظیم و پیچیده تبدیل شده است که مقابله با آن مستلزم سرمایه گذاری است.

۲٫ طرح یک بازرسی کامل نسبت به ابزارهای فعلی امنیت سایبری:

سازمان ها ملزم به آگاهی کامل از رویکرد امنیتی خود هستند که این موارد شامل: بازرسی کامل از زیرساخت امنیتی موجود، نحوه آموزش در خصوص حملات و نحوه برخورد راهکارهای موجود در بازیابی اطلاعات در صورت بروز حملات می شود. این مرحله یک گام اساسی در شناسایی کمبودها و اولویت گذاری هزینه ها به منظور ارتقا راهکارهای امنیتی است.

۳٫ ایجاد پالیسی ها امنیتی:

مساله اعمال پالیسی ها از اهمیت ویژه ای برخوردار است که شامل کلیه ایمیل ها، صفحات وب، شبکه های اجتماعی، ابزارهای سیار و هر گونه فناوری که دپارتمان IT اجازه استقرار آن را صادر کرده است، می شود. یک گام مهم در ایجاد پالیسی ها این است که، پالیسی ها بگونه ای اعمال شوند که کلیه ابزارهایی، را که احتمالا در آینده به شبکه افزوده می شود، را در بر بگیرند. پالیسی ها باید در بردارنده قوانینی در خصوص رمزنگاری ایمیل های حاوی اطلاعات حساس، پایش رفتار بدافزارها و کنترل استفاده از ابزارهای ارتباطی شخصی باشند.

۴٫ارایه راهکارهای جایگزین

مدیران IT شبکه ­ها، ملزم به ارایه راهکارهای جایگزین برای بسیاری از سرویس­های مستقر شده برای کارمندان هستند. به عنوان مثال  enterprise file sync and share) EFSS ،(voice-over-IP) VoIP ، cloud storage) ، ارتباطات real-time و سایر قابلیت­هایی که برای استفاده کارمندان توسعه یافته است، بنابراین تیم­ های IT باید راهکاری جامعی را ارایه دهند که قابلیت استقرار در کل سازمان و تامین الزامات امنیتی را داشته باشد.

۵٫اجرا و بروزرسانی رویکردهای امنیتی سازمان

هر سازمانی ملزم به استقرار و بروزرسانی دوره­ای رویکردهایی است که به منظور حفظ اطلاعات حساس شرکت تعبیه شده است. به عنوان مثال کلیه سازمان­ها نیاز به مجموعه­ای از راهکارهای تهیه فایل­های پشتیبان، قابلیت بازیابی و تست کل مجموعه دیتا دارند تا در صورت حمله باج ­افزارها امکان بازیابی اطلاعات وجود داشته باشد.

۶٫ اجرا بهترین روشها به منظور برخورد آگاهانه افراد با حملات:

سازمان ها ملزم به توسعه روش های هستند که کاربران را در مقابل شکاف های امنیتی موجود یاری کند. به عنوان مثال: کاربران آموزش های لازم در خصوص انواع تهدیدات سایبری را داشته باشند، کارمندانی که با اطلاعات مالی و حساس سازمان ها در ارتباط هستند از Backchannel استفاده کنند و همواره کارمندان نسبت به بروزرسانی سیستم ها و ابزارهایی ارتباطی خود آگاه شوند.

۷٫ آموزش کلیه کاربران و مدیران ارشد:

برنامه آموزشی مناسب برای کلیه کارمندان به منظور آگاهی رسانی در خصوص ایمیل هایی که دریافت می کنند، نحوه استفاده از وب و لینک هایی که احتمال وجود حملات مخرب وجود دارد. مساله سرمایه گذاری در خصوص آموزش کارمندان از منظر ایجاد یک فایروال انسانی در مقابل حملات فیشینگ و حملاتی که از طریق مهندسی اجتماعی صورت می گیرد، اهمیت می یابد. مدیران ارشد می بایست در ارتباط با کلاه برداری های سایبری و حملات BEC مطلع باشند، چرا که اغلب این افراد به عنوان هدفی ارزشمند برای مجرمان سایبری مطرح هستند.

۸٫ بروزرسانی پیوسته سیستم ها:

ضعف های موجود در برنامه ها، سیستم عامل ها، پلاگین ها و سیستم ها یکی از راه های نفوذ مجرمان سایبری است. بنابراین بروزرسانی سیستم ها با استفاده از patch معتبر شرکت های صادرکننده آن، اهمیت ویژه ای در جلوگیری از بروز این مشکل دارد. به عنوان مثال یکی از مهمترین منابع نفوذ عدم بروزرسانی Oracle Java، Adobe Flash و Adobe Reader است.

۹٫ اطمینان از پشتیبان گیری صحیح و بهروز:

راهکارهای تهیه پشتیبان درصدد تهیه پشتیبان از کل داده ها پیش از آلوده شدن و بازیابی آنها در صورت بروز هرگونه مشکلی است. امروزه این راهکارها از تکنیکهایEnterprise Key Management) EKM) به منظور حفاظت و رمزنگاری فایلهای پشتیبان استفاده می کنند.

۱۰٫ استقرارهای راهکارهای مقابله با بدافزارهاو باج افزارها:

امروزه راهکارهای امنیتی مناسبی جهت مقابله با این قبیل بدافزارها وجود دارد که امکان استقرار محلی و ابری آنها وجود دارد. این راهکارها قابلیت شناسایی حملات phishing، Spearphishing، باج افزار، data exfiltration و سایر تهدیدات را دارند. هر سازمانی با توجه به الزامات امنیتی مورد نیاز خود ملزم به استقرار زیرساخت متناسب است. DLP یک عنصر کلیدی در توسعه زیرساخت امنیتی به منظور کاهش خطرات مرتبط با نقض و افشای اطلاعات است.

۱۱٫ استفاده از سیستم¬های هوشمند مقابله با تهدیدات:

استفاده از سیستم های هوشمند امنیت Real-time در مقابله با طیف گسترده ای از تهدیدات ارایه میدهد. این سیستم ها قادر به بررسی اعتبار دامنه ها و جلوگیری از حملات ، Spearphishing و باج افزار که از طریق دامنه های فاقد اعتبار انجام میشود، است.

۱۲٫ پیاده سازی سیستم های مرکزی حفاظت از داده های حیاتی:

با وجود تمام تمهیدات امنیتی همواره احتمال نفوذ و عبور از زیرساخت امنیتی وجود دارد. بنابراین سازمانها ملزم به استقرار راهکارهایی به منظور غیرقابل استفاده شدن داده های حیاتی در زمان چنین حملاتی، هستند. این عمل از طریق تکنولوژی های جدید رمزنگاری مانند:Format-Preserving Encryption) FPE) صورت میگیرد.

۱۳٫ رمزنگاری ارتباطات ایمیل:

همواره رمزنگاری ارتباطات ایمیل به عنوان یک ابزار استاندارد در مقابله با حملات فیشینگ است. راهکاری که قادر به رمزنگاری end-to-end ایمیل از ارسال آن تا دریافت توسط گیرنده اصلی، باشد.

۱۴٫ تجزیه و تحلیل رفتارها:

در این روش الگوی رفتارهای سازمانها بررسی و چنانچه رفتاری خارج از این الگو مشاهده شود دسترسی به دادهها مسدود خواهد شد.

راهکارهای احراز هویت ایمیل با استفاده Cisco ESA بخش دوم

برای مطالعه بخش اول راهکارهای احراز هویت ایمیل با استفاده Cisco ESA اینجا کیلیک کنید

الزامات پیاده سازی DMARC

DMARC برای گیرنده

احراز هویت DMARC در ESA مبتنی بر پروفایل است ولی برخلاف DKIM پروفایل پیش فرض باید بگونه ای سازگار با مشخصه ها باشد. ESA به صورت پیش فرض به نحوی رفتار می کند که هیچ یک از پیام ها از بین نرود، بنابراین پروفایل پیش فرض احراز هویت DMARC به صورت “No Action” است. علاوه بر این به منظور فعال کردن قابلیت تولید گزارش ملزم به ویرایش بخش DMARC از پالیسی های ایمیل هستیم.
تنظیمات احراز هویت DMARC، مشابه دو مورد دیگر به بخش تنظیمات پیش فرض پالیسی Mail Flow اعمال می شود. از فعال شدن ارسال گزارش فیدبک اطمینان حاصل کنید، این گزینه یکی از مهمترین قابلیت-های DMARC برای فرستنده است. در زمان انتشار این مقاله ESA از تولید گزارش Failure به ازای هر پیام پشتیبانی نمیکرد (بر چسب “ruf” در پالیسی DMARC).
اقدامات و پالیسی های DMARC توسط فرستنده توصیه می شود لیکن برخلاف SPF و DKIM در عمل هیچ پیکربندی خارج از پروفایل پیکربندی قابل اعمال نیست. همچنین نیازی به ساخت فیلترهای محتوا نیست.
احراز هویت DMARC فیلدهایی را به هدر Authentication-Results می¬افزاید:
Authentication-Results: mx1.hc4-93.c3s2.smtpi.com; dkim=pass (signature verified)
header.i=MileagePlus@news.united.com; dmarc=pass (p=none dis=none) d=news.united.com
در نمونه فوق، DMARC براساس هم ترازی شناسه DKIM تایید می شود و فرستنده درخواست پالیسی “none” ارسال می کند. این مساله نشان دهنده وضعیت “monitor” در مراحل استقرار DMARC است.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای احراز هویت ایمیل با استفاده Cisco ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

چنانچه به سایر دامینها و یا ۳rd party سرویس ایمیل ارایه می کنید

بزرگترین مساله در سازگاری ESPs با DMARC، دستیابی به هماهنگی کامل شناسه است. زمانیکه قصد توسعه DMARC را دارید، ملزم به اطمینان از صحت تنظیمات SPF هستید، به گونه ای که کلیه دامنه های مرتبط، گیت وی خروجی شما را در رکوردهای SPF خود داشته و پیام هایی را که از منظر همترازی قابل قبول نیستند، ارسال نمی کنند. اصولا این عمل از طریق استفاده از دامین های متفاوت برای MAIL FROM و شناسه Header From صورت می گیرد. این خطا اغلب هنگامیکه از برنامه هایی که اعلان ها و هشدارهایی از طریق ایمیل ارسال می کنند رخ می دهد، زیرا اغلب توسعه دهندگان نرم افزارها از عواقب ناسازگاری شناسه های ایمیل اطلاعی ندارند.
همانگونه که پیشتر ذکر شد، ملزم به اطمینان از کاربری پروفایل امضا DKIM مجزا برای هریک از دامنه ها هستیم، بدین ترتیب پروفایل امضا شما به صورت صحیح به دامینی که درخواست امضا ارسال شده است، از طریق Header From ارجاع داده می شود. چنانچه شما از زیردامنه های خود استفاده می کنید، امکان امضا با یک کلید وجود دارد لیکن باید از مطابقت با DKIM در پالیسی های  adkim=”r”) DMARC”) اطمینان حاصل کنید.
به صورت کلی چنانچه سرویسهای ایمیل برای تعداد بالایی از ۳rd party ارایه می کنید، توصیه می شود راهنمایی هایی در مورد چگونگی ارسال ایمیلی که از دریافت آن اطمینان داشته باشیم تهیه کنید.

دامنه ها و زیردامنه های فاقد ترافیک ایمیل

از دیگر مزایای DMARC نسبت به سایر تکنولوژی های احراز هویت پیشین، قابلیت آن در برخورد با زیر دامنه ها است. به صورت پیش فرض پالیسی DMARC به کلیه زیردامنه ها اعمال می شود. زمانیکه رکوردهای DMARC policy را اصلاح می کنید، اگر هیچ رکوردی در سطح Header From FQDN تعریف نشده باشد، دریافت کننده ایمیل ملزم به تصمیم گیری در خصوص دامین فرستنده و جستجوی رکورد پالیسی است.
پالیسی برای Organizational Domain بگونه ایست که میتوان پالیسی مجزایی به هریک از زیردامنه ها اعمال کرد ( برچسب “sp” در رکورد DMARC) که این پالیسی به کلیه زیردامنه هایی که پالیسی DMARC مجزایی ندارند، اعمال خواهد شد.
در سناریوی بخش SPF شما امکان:
 انتشار یک رکورد صریح DMARC برای هریک از زیردامنه های که در گروه منابع معتبر ایمیل قرار دارند.
 پالیسی “reject” را در کلیه زیردامنه های رکوردهای Organizational Domain policy منتشر می کنیم، به این ترتیب کلیه ایمیلهایی که از منابع جعلی ارسال میشوند، پذیرفته نخواهند شد.
چنین ساختار احراز هویت ایمیل، بهترین روش برای حفاظت از زیرساخت و نام تجاری شما خواهد بود.

 مباحث ویژه در DMARC

چندین مشکل بالقوه در مبحث DMARC وجود دارد که از ماهیت و کاستی های سایر تکنولوژی هایی احراز هویتی که DMARC به آنها وابسته است، نشات گرفته است. مساله اصلی زمانی آشکار میشود که DMARC پالیسی “reject” اعمال و یا شناسه ارسال کنندگان متفاوت در یک پیام را با یکدیگر مرتبط می کند.
اغلب مشکلات با mailing list و نرم افزارهای مدیریت mailing list، زمانیکه یک ایمیل به یک mailing list ارسال می¬شود، در میان همه گیرندگان موجود در لیست توزیع می شود. اگرچه ایمیل نهایی، با آدرس فرستنده اصلی، از طریق زیرساخت مدیریت mailing list ارسال و درنتیجه تست failing SPF برای Header From صورت نخواهد گرفت ( اغلب زیرساختهای مدیریت mailing list از لیست ایمیلها با عنوان Envelope From و یا MAIL FROM و فرستنده اصلی با عنوان Header From استفاده می کنند.).
با توجه به اینکه DMARC احتمال شکست SPF وجود دارد، در این موارد به DKIM متکی خواهیم بود، اگرچه نرم افزارهای مدیرت mailing list اغلب پاورقی و یا برچسب موضوعی به همراه نام لیست به پیام می-افزایند که موجب ناکارآمدی تایید امضا DKIM خواهد شد.
توسعه دهندگان DKIM راهکارهای مختلفی را به منظور رفع این مشکل ارایه می کنند، که در اغلب این روشها از mailing list managers ، که از آدرس موجود در لیست در کلیه بخشهای From addresses و اشاره به فرستنده اصلی با استفاده از سایر روشها، استفاده می شود.
مشکلات مشابهی در فوروارد پیام از طریق کپی پیام اصلی و ارسال از طریق SMTP به گیرنده جدید، به وجود می آید. اگرچه امروزه بسیاری از Mail User Agent ، یک پیغام جدید ایجاد کرده و پیام فوروارد شده درون پیام جدید و یا بصورت پیوست آن قرار می دهند. پیامهایی که به این شکل ارسال می شوند چنانچه کاربر فوروارد کننده مورد قبول باشد، الزامات DMARC را فراهم میکنند( البته احراز هویت پیام اصلی را نمیتوان فراهم کرد).

نمونه ای از اقدامات صورت گرفته جهت پیاده سازی احراز هویت ایمیل

اگرچه ماهیت تکنولوژی ها احراز هویت ایمیل ساده است، لیکن روند اجرای یک زیرساخت کامل، پیچیده و طولانی خواهد بود. برای سازمانهای کوچک و افرادی که جریان ایمیل کنترل شده ای دارند این روند چندان پیچیده نیست لیکن پیاده سازی آن در سازمانهای بزرگ چالش برانگیز خواهد بود و معمولا آنها به منظور مدیریت پروژه از کمک مشاوران بهره می گیرند.

گام اول : DKIM

DKIM نسبتا بی وقفه است، زیرا پیامهای امضا نشده پذیرش خواهند شد..پیش از شروع پیاده سازی کلیه این مسایل را باید در نظر گرفت. با هر ۳rd party که قصد واگذاری عملیات امضا DKIM به او را دارید تماس حاصل کرده و استراتژی مدیریت سلکتور آنها را بررسی کنید. برخی سازمانها کلیدهای مجزایی ( سلکتور ) برای هریک از واحدهای سازمانی متفاوت استفاده می کنند. همچنین برای امنیت بیشتر از چرخش دوره ای کلیدها استفاده کنید، توجه داشته باشید تا پیش از اطمینان از دریافت کلیه ایمیلهای ارسالی کلید پیشین حذف نشوند.
ملاحظات ویژه ای درخصوص سایز کلیدها باید لحاظ شود. اگرچه بصورت عام تصور میشود هرچه سایز کلید بزرگتر باشد بهتر است، ولی باید توجه داشت تولید دو امضای دیجیتال به ازای هر پیام بار کاری بالایی برای CPU و تاثیر منفی بر عملکرد گیت وی ایمیلهای خروجی خواهد داشت. با توجه به حجم بالای محاسباتی، ۲۰۴۸ بیت در عمل بالاترین سایز کلید مورد استفاده است، لیکن در بسیاری از روشهای توسعه کلید ۱۰۲۴ بیتی سازگاری بهتری میان عملکرد و امنیت برقرار می کند.
به منظور پیاده سازی DMARC ملزم به :
a. شناسایی کلیه دامنه ها و زیردامنه هایی که به آنها ایمیل ارسال می کنید.
b. تولید کلید DKIM و ایجاد پروفایل امضا برای هریک از دامنه ها
c. ارایه کلید خصوصی مرتبط با هریک از ۳rd party
d. انتشار کلیه ملیدهای عمومی در DNS مرتبط
e. بررسی آمادگی ۳rd party جهت تایید امضا
f. فعال کردن قابلیت DKIM signing در بخش Mail Flow Policy مرتبط در ESAs
g. اعلام شروع عملیات امضا به ۳rd party

گام دوم : SPF

پیاده سازی SPF قطعا سخت ترین و زمان برترین بخش اجرای احراز هویت ایمیل است. باتوجه به اینکه کاربری و مدیریت ایمیل بسیار ساده و فارغ از الزامات امنیتی است، بنابراین شرکتها به صورت سنتی پالیسی های سختگیرانه ای در مورد ایمیل اعمال نمی کنند. این مساله منجر به عدم آگاهی سازمانها از منابع مختلف داخلی و خارجی ایمیل خود، شده است. بزرگترین مشکل پیاده سازی SPF تشخیص اینکه در حال حاضر چه کسی در حال ارسال ایمیل معتبر از طرف شما است.
مسایلی که باید دنبال کنید:
a. اهداف آشکار: سرورهای Exchange و یا هرگونه سرورهای groupware و گیت وی ایمیل خروجی
b. هرگونه راهکار DLP و یا سیستمهای پردازش ایمیلی که امکان ارایه هشدار دارد.
c. سیستمهای CRM که اطلاعات مرتبط با مشتریان را ارسال می کنند.
d. برنامه های ۳rd party مختلفی که ایمیل ارسال می کنند.
e. سرورهای تست ، lab و … که ایمیل ارسال می کنند.
f. رایانه های شخصی و سایر ابزارهایی که برای ارسال ایمیل خارجی پیکربندی شده است.
لیست فوق کامل نبوده زیرا سازمانها محیط های متفاوتی را تجربه می کنند، لیکن به عنوان یک راهنمای کلی مفید است. زمانیکه اغلب منابع ایمیل شما مشخص باشد، احتمال دارد تمایل داشته باشید یک قدم به عقب بازگشته و درعوض تایید جداگانه هر منبع از یک لیست استفاده کنید. در حالت ایده آل مگر در چند مورد استثنا، کلیه ایمیلهای خروجی شما ملزم به عبور از گیت وی خروجی است. چنانچه بازاریابی از طریق ایمیل داشته و یا از ۳rd party استفاده می کنید باید زیرساخت موجود را از production email gateway تفکیک کنید. چنانچه شبکه ارسال ایمیل شما پیچیده باشد، ممکن است تمایل به مستندسازی وضعیت فعلی SPF داشته باشید، که این مساله در آینده زمان زیادی برای پاکسازی نیاز دارد.
چنانچه شما به دامینهای متفاوت در یک زیرساخت سرویسی ارایه می دهید، تمایل به ایجاد یک رکورد SPF عمومی و ارجاع آن به هریک از دامینها با استفاده از مکانیزم “include” داشته باشید. اطمینان حاصل کنید که رکورد SPF شما بیش از حد گسترده نباشد؛ به عنوان مثال چنانچه تنها پنج ابزار ارسال SMTP در یک شبکه سابنت /۲۴ وجود داشته باشد، در مقابل افزودن آن به کل شبکه این پنچ آدرس مجزا را به رکورد SPF خود اضافه کنید. حال هدف این است که رکوردها تا حد امکان اختصاصی شود تا احتمال ایمیلهای حاوی بدافزار با به خطر انداختن شناسه شما، به حداقل برسد.
با گزینه Softfail برای فرستنده های ناسازگار (“~all”) آغاز کنید و تنها زمانیکه از شناسایی کلیه منابع ایمیل اطمینان حاصل کردید وضعیت را به  all”)  Hardfail-“) تغییر دهید، در غیراینصورت در خطر از دست دادن production email قرار خواهید گرفت. پس از استقرار DMARC و اجرای آزمایشی آن در حالت monitor، قادر به شناسایی کلیه سیستمهای از دست رفته و بروزرسانی کامل رکورد SPF خواهید بود. تنها در این وضعیت میتوان به صورت امن SPF را در وضعیت hardfail قرار داد.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای احراز هویت ایمیل با استفاده Cisco ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

 گام سوم : DMARC

پس از انجام تنظیمات SPF و DKIM زمان ایجاد پالیسی های DMARC رسیده است. شرایط مختلفی را که در بخش پیش به آنها اشاره شد در نظر گرفته و درصورت وجود زیرساخت ایمیل پیچیده آمادگی استقرار بیش از یک رکورد DMARC را داشته باشید.
ایجاد ایمیلهای جایگزینی که گزارشها را دریافت می کنند، و یا ایجاد نرم افزارهای تحت وب که امکان ارایه آن را داشته باشد. هیچ آدرس ایمیل دقیقی برای این منظور تعریف نشده است، لیکن میتواند به شکل توصیفی مانند : rua@domain.com، dmarc.rua@domain.com، mailauth-rua@domain.com و … ایجاد شوند. از وجود یک فرآیند جایگزین برای عاملی جهت پایش آدرسها و ویرایش پیکربندی SPF، DKIM و DMARC و هشدار تیم های امنیتی در وضعیت spoofing campaign، اطمینان حاصل کنید. در ابتدا، در زمان تعریف رکوردها به منظور پوشش کلیه مسایلی که در ارتباط با پیکربندی SPF و DKIM از قلم افتاده است، بار کاری زیادی وجود دارد. پس از مدتی گزارشات تنها احتمال تلاشهایی برای spoofing را نمایش خواهند داد.
در ابتدا پالیسی DMARC را در وضعیت “none” و وضعیت گزینه ارسال گزارش را در حالت تست تمام وضعیتهایfail  “fo=1 قرار داده، که در این حالت به سرعت کلیه خطاهای موجود در SPF و DKIM بدون تاثیرگذاری بر ترافیک گزارش می شود. زمانیکه نتایج گزارشها رضایت بخش بود باتوجه به پالیسی امنیتی و اولویت های خود، پالیسی را در وضعیت “quarantine” و “reject” قرار دهید. مجددا از وجود عاملی که به صورت پیوسته به تحلیل گزارشات DMARC دریافت شده برای کلیه حالتهای false positive، اطمینان حاصل کنید.
پیاده سازی صحیح و کامل DMARC، فرآیندی پیچیده و طولانی است. برخی از نتایج ( در پیاده سازی رسمی DMARC) از طریق انتشار یک مجموعه ناقص از رکوردها و پالیسی “none” بدست می آید. این مساله برای سازمانهای ارسال کننده و همچنین اینترنت به عنوان محلی که همه سازمانها به منظور ارتقا نهایی قابلیت هایش، آن را پیاده سازی می کنند جذاب است.
حال به ارایه یک طرح کلی و جدول زمانی مناسب برای پیاده سازی یک پروژه نمونه پرداخته می شود. باید توجه داشت که سازمانها متفاوت بوده و این مراحل برای کلیه سازمانها دقیق و متناسب با نیازهای آنها نخواهد بود:

ردیف موضوع زمان
۱ برنامه ­ریزی و تهیه مقدمات DKIM ۲-۴ هفته
۲ آزمون اجرای DKIM ۲ هفته
۳ شناسایی فرستنده معتبر SPF ۲-۴ هفته
۴ آماده­ سازی پالیسی DMARC ۲ هفته
۵ اجرای تست رکوردهای SPF و DMARC ۴-۸ هفته
۶ اجرای تست SPF به همراه hardfail ۲هفته
۷ اجرای تست DMARC به همراه quarantine/reject ۴ هفته
۸ پایش گزارشات DMARC و تطبیق SPF/DKIM با این گزارشات به صورت پیوسته

پیاده سازی در سازمانهای کوچک زمان کمتری به ویژه در مراحل ۳و۴ نیاز دارد. صرف نظر از سادگی زیرساخت ایمیل، معمولا زمان زیادی به انجام تستها و بررسی فیدبک گزارشها اختصاص دهید.
سازمانهای بزرگتر مراحل فوق را در زمانهای طولانی تر و الزامات سختگیرانه تری تجربه می کنند. معمولا سازمانهایی با زیرساخت ایمیل پیچیده، نه تنها از جنبه های پیاده سازی احراز هویت بلکه از منظر مدیریت کل پروژه و هماهنگی تیم ها و ادارات از کمک مشاوران بهره می گیرند.