کاربرد (Cisco Advanced Malware Protection (AMP در امنیت وب

امروزه داشتن امنیت وب کارآمد و موثر، تنها به مسدود نمودن مسیر وب‌سایت‌های مشکوک ختم نمی‌شود و امکان دانلود ویروس یا بدافزار (Malware) حتی از وب‌سایت‌های مجاز نیز وجود دارد. همچنین با افزایش دسترسی افراد از طریق تلفن‌همراه، شبکه‌های اجتماعی و برنامه‌های تعاملی، امنیت وب در بیشترین میزان آسیب‌پذیری خود قرار گرفته است. پس به همان نسبت که تهدیدات وب افزایش می‌یابد، نیاز به استفاده از راهکارهایی که فراتر از اصول اولیه در شناسایی تهدیدات، فیلترینگ URL و کنترل برنامه‌ عمل نمایند نیز به امری حیاتی تبدیل می‌گردد.

راهکار امنیتی که نیازهای پیچیده دنیای امروز را پاسخ می‌دهد باید با مانیتورینگ و تجزیه و تحلیل مداوم، تیم امنیتی را قادر به مقابله با تهدیدات نابهنگام نماید. بدین منظور برای امنیت شبکه‌ای با(CTA (Cognitive Threat Analytics نیاز به Cisco Advanced Malware Protection یا به اختصار سیسکو AMP می‌باشد.

بررسی راهکار Cisco AMP برای شناسایی و پاسخ به تهدیدات

مشاده ویدیوهای مرتبط با سیسکو

دلایل اهمیت AMP

معیارهای قدیمی امنیت شبکه برای مقابله با تهدیدات پیچیده‌ی امروز کافی نیستند. یکپارچه نمودن AMP با راهکارهای امنیت وب شرکت سیسکو علاوه بر قابلیت‌های امنیت وب قدیمی، قابلیت‌های پیشرفته‌ی مقابله با تهدیدات جدید را نیز فراهم می‌نماید.

Cisco Advanced Malware Protection شناسایی بدافزار، مسدود کردن، تجزیه و تحلیل مداوم و هشدار Retrospective (شکل 1) را به Web Security Appliance License سیسکو می‌افزاید و دارای ویژگی‌های زیر می‌باشد:

• انعطاف‌پذیری و انتخاب: یکپارچگی AMP با Gateway امنیت سیسکو، برای پیاده‌سازی AMP گزینه‌ی دیگری ارائه می‌دهد که برای محیط موجود مناسب‌تر می‌باشد.
• File Reputation: AMP آثار هر فایلی که از Gateway امنیت وب سیسکو می‌گذرد را Capture نموده و برای دریافت تایید Reputation، آن را به شبکه هوشمند مبتنی بر Cloud سیسکو انتقال می‌دهد. با این نتایج فایل‌های مخرب به صورت خودکار مسدود شده و Policyهای Administrator- Defined بر آن‌ها اعمال می‌گردد.
• تجزیه و تحلیل فایل: این ویژگی توسط AMP Threat Grid ارائه شده است و کاربر را قادر به دریافت آنالیزهای استاتیک و داینامیک یا به عبارتی Sandbox نمودن فایل‌های ناشناخته‌ای می‌نماید که از Gateway وب عبور کرده‌اند. Threat Grid به منظور جمع‌آوری جزئیات دقیق در مورد رفتار فایل و سطح تهدیدات، نمونه‌ها را در یک محیط بسیار ایمن و با استفاده از بیش از 700 شاخص رفتاری همراه با Global Threat Intelligence یا به اختصار GTI آنالیز می‌نماید.
• Retrospection فایل: AMP مشکل فایل‌های مخربی که از شبکه Perimeter و شرایط دفاعی حاصل از آن عبور می‌نمایند را حل کرده و بدون توجه به وضعیت اولیه آن‌ها، به صورت مداوم به تجزیه و تحلیل فایل‌هایی که از Gateway امنیتی عبور کرده‌اند می‌پردازد. هنگامی که یک فایل به عنوان تهدید شناسایی می‌شود AMP اقدام به ارسال هشدار Retrospective می‌نماید که مشخص می‌کند، کدام سیستم ممکن است در شبکه آلوده شده باشد و این اتفاق چه زمانی رخ داده است. سپس قبل از اینکه حمله‌ی مربوطه فرصت انتشار پیدا کند، تیم‌های امنیتی به سرعت حمله را شناسایی می‌نمایند.

افزایش قابلیت دید با یکپارچگی  Cognitive Threat Analytics و AMP

راهکار Cognitive Threat Analytics مبتنی بر Cloud سیسکو به عنوان بخشی از AMP Add-On License در Web Security Appliance گنجانده شده است. با استفاده از Cognitive Threat Analytics می‌توان اقدام به شناسایی و پاسخگویی به تهدیدات پیچیده و مخفیانه‌ای نمود که در حال حاضر به شبکه وارد شده و یا در حال تلاش برای حضور در شبکه هستند.

یکپارچگی Cognitive Threat Analytics با AMP برای امنیت شبکه قابلیت‌های زیر را فراهم می‌نماید:

• تشخیص و بررسی خودکار ترافیک مبتنی بر وبی که مشکوک یا مخرب است.
• تجزیه و تحلیل اطلاعات ایجاد شده توسط راهکارهای موجود امنیت وب، بدون نیاز به نرم‌افزار یا سخت‌افزار اضافی.
• تمرکز بر فعالیت‌های مخرب که از کنترل‌های امنیتی عبور می‌کنند و از اتصالات مبتنی بر وب شامل استاندارد، رمزگذاری و کانال‌های ناشناس استفاده می‌نمایند که ممکن است در حمله به سازمان مورد استفاده قرار گیرند.
• ایجاد یک مبنای اصلی از فعالیت عادی و شناسایی ترافیک غیرعادی درون شبکه.
• تجزیه و تحلیل رفتار تجهیزات و ترافیک وب برای مشخص نمودن دقیق ارتباطات صدور و کنترل و همچنین فشرده‌سازی فایل‌ها.

مزایای استفاده از AMP

• شناسایی پیشرفته تهدید: AMP به منظور حفاظت از شبکه، قادر به ارائه‌ی محافظتی جامع در مقابل تمامی تهدیدات مربوط به وب برای حفاظت قبل، در حین و پس از حمله می‌باشد.
• تجزیه و تحلیل مستمر و امنیت Retrospective: پس از اینکه یک فایل از Gateway عبور کرد، AMP بدون در نظر گرفتن موقعیت اولیه آن شروع به نظارت، آنالیز و ثبت فعالیت‌های آن فایل می‌پردازد. چنانچه رفتار مخرب بعدا شناسایی شود، AMP اقدام به ارسال هشدار Retrospective می‌نماید تا کاربر قادر به محصور و اصلاح نمودن بدافزار شود.
• تقویت شرایط دفاعی شبکه: AMP برای Web Security بر پایه‌ی Big Data و امنیت اطلاعات استثنایی ساخته شده و گروه Cisco Talos هر روز میلیون‌ها نمونه Malwareو ترابایت‌ها داده را آنالیز نموده و این اطلاعات را به AMP انتقال می‌دهد. سپس AMP برای دفاع فعالانه در مقابل تهدیدات شناخته شده و همچنین تهدیدات در حال ظهور، اقدام به مرتبط نمودن فایل‌ها، داده‌های Telemetry و رفتار فایل در مقابل اطلاعات Context-Rich می‌نماید.
• Sandboxing پیشرفته: کنترل بر محیط شبکه و قابلیت دیدی که AMP ارائه می‌دهد با دریافت حجم بالای داده‌، تجزیه و تحلیل دقیق رفتار، Reputation و ارزیابی سطح تهدید فایل‌هایی که برای ورود به شبکه تلاش می‌نمایند، حاصل می‌شود.
• کاهش زمان شناسایی تهدیدات موجود در شبکه: AMP پروکسی وب را به یک حسگر امنیتی تبدیل کرده و به طور خودکار ترافیک مشکوک وب را بررسی می‌نماید.