بررسی پلتفرم هوشمند شناسایی تهدیدات Spotlight Secure – قسمت دوم (پایانی)

شرکت Juniper با وارد نمودن پلتفرم هوشمند Spotlight Secure در فایروال‌های سری SRX Services Gateways، کارایی این تجهیزات را چندین برابر نموده است. در قسمت اول از این سری مقالات به بررسی ویژگی‌های این پلتفرم پرداختیم. در این مقاله که قسمت دوم (پایانی) می‌باشد، به بررسی اجزا و مزایای استفاده از Spotlight Secure می‌پردازیم.  

تکنولوژی Spotlight Secure این امکان را برای فایروال‌های سری SRX فراهم می‌نماید تا محافظت کاملا موثر و کارآمدی را ارائه نمایند. کاربر با این پلتفرم می‌تواند تکنولوژی‌های کارآمدتری را به کار برده و اجرا نماید که از سوی Juniper و سایر پیشروهای حوزه IT ارائه شده‌اند و شامل Feedهای سفارشی‌سازی شده برای سازمان موردنظر می‌باشد. با ایجاد قابلیت یکپارچه‌سازی Real-Time بین Feedهای تهدیدات و فایروال‌ها، صرفا جدیدترین و مرتبط‌ترین موارد به فایروال ارسال می‌شود؛ بدین ترتیب نیاز به انتقال دستی اطلاعات در حوزه تهدیدات جدید برای اجرای فایروال کاهش یافته و علاوه بر زمان کوتاه‌تر برای اجرا، نرخ پایین False Positive نیز با قابلیت جدیدترین هوشمندی تضمین‌ می‌گردد. برآورد شدت تهدیدات برای هر یک از ورودی‌های Data Feed به مدیران امنیتی این امکان را می‌دهد تا Policyها را بر اساس برآوردها تدوین و راهکارها را برای پیاده‌سازی به دقت تنظیم نمایند؛ در نتیجه این امر، False Positiveها کاهش یافته و اثربخشی افزایش می‌یابد. به‌روزرسانی‌های منظم و قاعده‌مند برای دیتای تهدیدات Juniper از طریق Cloud، تضمین می‌کند که داده‌های Feed، جدید بوده و علاوه بر کمک به اجرای Policyها در فایروال‌های سری SRX با تکیه بر جدیدترین تهدیدات، منابع تجهیزات فایروال را نیز به حداکثر می‌رساند.

Juniper با استفاده از Spotlight Secure می‌تواند طیف وسیعی از گزینه‌ها را با توجه به Data Feedها برای کاربران ارائه نموده و فرآیند محافظت را به صورت کاملا سفارشی میسر سازد.

• (Command & Control (C&C و Feedهای تهدید ضد بات‌نت (Anti-Botnet)

بدافزار در شرایطی شناسایی می‌شود که با سرورهای C&C در ارتباط است و بات‌نت‌ها نیز‌ از طریق فایروال سری SRX متوقف می‌شود.

• Feedهای GeoIP

IP Addressهای طراحی شده برای داده‌های مربوط به محدوده‌های جغرافیایی، با Policyهای فایروال سری SRX ادغام می‌شوند تا ترافیک طبق سیاست‌ کسب‌وکار در موقعیت‌های خاصی مانیتور یا مسدود گردد.

• اطلاعات مربوط به تجهیزات مهاجمان

اطلاعاتِ تجهیزات مهاجمان شناخته‌شده به منظور مانیتورینگ یا مسدود کردن ترافیک با استفاده از فایروال سری SR یا WebApp Secure، مورد استفاده قرار می‌گیرد. ویژگی‌های خاصی که فراتر از اطلاعات IP Addressها رفته و محافظت از سازمان در برابر مهاجمانی که از وبسایت بازدید می‌کنند را فراهم می‌نماید، به شرح زیر می‌باشد:

• شناسایی تجهیزات مهاجمان بر اساس Intrusion Deception از طریق WebApp Secure و اجرای Policy از طریق فایروال سری SRX
• ردیابی در سطح تجهیزات برای شناسایی کامل مهاجمان بدون هیچ گونه False Positive
• ردیابی صدها ویژگی مربوط به شناسایی شامل نسخه مرورگر، افزونه‌های مرورگر، IP Address، محدوده زمانی و قلم‌ها
• نرخ شناسایی 99 درصدی
• اطلاعات مربوط به تجهیزات که بر استفاده از سرورهای پروکسی جهت شناسایی و ردیابی تجهیزاتِ مهاجمان غلبه می‌نماید؛ همچنین مهم نیست که مهاجم از کدام IP Address برای گریز از فرآیند شناسایی استفاده می‌نماید.
• ارائه پاسخ متقابل به نحوی انعطاف‌پذیر در Application Layer و فایروال شبکه
• ردیابی مستمر مهاجمان حتی در صورت تغییر پروکسی‌ها
• قابلیت ارسال پاسخ‌های متقابل در یک دستگاه واحد و در نتیجه، عدم تغییر کاربران مجاز که فراتر از یک IP Address مشترک می‌باشند.
• اختصاص نام مستعار بطور دائمی برای مهاجمان
• قابلیت ارسال پاسخ‌های متقابل در یک دستگاه واحد، در نتیجه، عدم تغییر کاربران مجاز که فراتر از یک IP Address مشترک می‌باشند.

مشتریان می‌توانند گزینه‌ی استفاده از Feedهای سفارشی یا Third-Party را به واسطه ایجاد یک لیست‌ سفید یا سیاه خاص و یا هر دوی آنها و به‌کارگیری و اشتراک‌گذاری آن با Junos Space Security Director، انتخاب نمایند که پس از آن داده‌ها را با فایروال‌های سری SRX برای اجرای Policy به اشتراک می‌گذارد.

SpotlightSecure این امکان را برای سازمان‌ها فراهم می‌نماید تا همگام با به‌کارگیری و مدیریت امنیت در سراسر محدوده‌ی فایروال سری SRX، به کارایی عملیاتی دست یابند. در ابتدا اینکه سازمان‌ها با مدل ساده‌ی اجرای  Spotlight Secure می‌توانند سربارهای اجرایی را کاهش دهند. یکپارچه‌سازی بین Jonus Space Security Director و Spoltlight Secure موجب ایجاد ارتباط در Feedهای تهدیدات مبتنی بر Cloud برای فایروال‌های کاربران شده و یک نقطه تجمع واحد (Aggregation Point) را برای چندین Feed در فایروال ارائه می‌نماید. همچنین Policyهای فایروال، Feedهای مربوط به هوشمندی تهدیدات و گزارش‌گیری در مورد اجرا و فعالیت‌ها در یک کنسول مدیریتی واحد با Security Director در دسترس می‌باشند. به علاوه، قابلیت جدید در هوشمندیِ شناسایی تهدیدات یا Threat Intelligence می‌تواند بدون نیاز به به‌روزرسانی یا تعهد به تغییرات در Policy فایروال، به صورت خودکار و در سراسر محدوده فایروال ادغام شود.

سازمان‌ها با Spotlight Secure می‌توانند از یک راهکار هوش امنیتی بهره‌مند شود که به صورت کامل با فایروال‌های سری SRX ادغام شده و امنیت داده‌های مهم و حساس به لحاظ عملیاتی را به نحوی موثر و کارآمد با حداقل سربار عملیاتی تضمین می‌نماید.

معماری و اجزای Spotlight Secure

در شکل زیر معماری Spotlight Secure و اجزای آن بیان شده است:

ایجاد ارتباط بین هوش امنیتی با اجرای Policy از طریق SRX Series و به صورت انتخابی WebApp Secure، جهت محافظت سریع در برابر تهدیدات پیشرفته

سرویس‌های Juniper Networks و پشتیبانی

Juniper Networks از پیشگامان در سرویس‌های عملیاتی محسوب می‌شود که برای تسریع، توسعه و بهینه‌سازی یک شبکه با عملکرد بالا طراحی شده است. این سرویس به کاربران امکان می‌دهد تا کارایی عملیاتی را به حداکثر رسانده و در کنار آن علاوه بر کاهش هزینه‌ها و به حداقل رساندن ریسک‌ها، در زمان کوتاه‌تری به نتیجه دست یابند. Juniper Networks، برتری عملیاتی را از طریق بهینه‌سازی شبکه برای حفظ سطوح موردنیاز از عملکرد، قابلیت اطمینان و دسترس‌پذیری تضمین می‌نماید.

برای استفاده از هوش امنیتی با تکیه بر پلتفرم هوشمند شناسایی تهدیدات Spotlight Secure برای SRX Series Services Gateways باید دست کم موارد زیر را تهیه نمود:

• Juniper Networks SRX550 Services Gateway یا مدل‌های بعدی آن

این مورد برای اجرای Policy بر اساس Feedهای هوشمندی شناسایی تهدیدات است.

• Juniper Networks Junos Space Network Management Platform

این محصول به صورت متمرکز و قبل از اشتراک‌گذاری با نقاط اجرای Policy به جمع‌آوری Threat Intelligence می‌پردازد.

• Junos Space Security Director

این محصول، Policyهای فایروال سری SRX را به صورت متمرکز مدیریت می‌نماید.

• Security Intelligence (SecIntel) Service Software

این سرویس از هوش تهدید برای Policyهای مربوط به فایروال استفاده نموده و به مدل قیمت‌گذاری Juniper Software Advantage مرتبط می‌شود که یک مدل مبتنی بر اعتماد و بدون اجرا است. License این سرویس به صورت اشتراک (با شرایط ثابت) همراه با گزینه خرید جهت استفاده 1، 3 و یا 5 ساله عرضه می‌گردد. این License نرم‌افزار شامل Juniper Care Software Advantage بوده و به‌روزرسانی و ارتقای نرم‌افزار، پشتیبانی فنی از راه دور در هر ساعت از شبانه روز و در هفت روز هفته را به همراه پشتیبانی آنلاین برای کاربر امکانپذیر می‌نماید.

کاربر می‌تواند به صورت انتخابی موارد زیر را تهیه نماید:

-Feedهای تهدید Juniper

-(Command and Control (C&C و Anti-Bot

این مورد برای اجرای Policy بر اساس حوزه‌های مخرب و شناخته‌شده IP و URL است که به با‌ت‌نت و منبع C&C مرتبط می‌شود. این نرم‌افزار به مدل قیمت‌گذاری Juniper Software Advantage مرتبط می‌شود؛ در حالی که قبلا در قالب نرم‌افزار Security Intelligence (SenIntel) Service توصیف می‌شود.

-اطلاعات مربوط به مهاجمان وب

این نرم‌افزار برای اجرای Policy بر اساس تجهیزات مخرب مهاجمان بوده و به مدل قیمت‌گذاری Juniper Software Advantage مرتبط می‌شود.

-GeoIP

این نرم‌افزار برای اجرای Policy بر اساس اطلاعات طراحی Country-to-IP بوده و به مدل قیمت‌گذاری Juniper Software Advantage مرتبط می‌شود.

-WebApp Secure

این نرم‌افزار یا سخت‌افزار به کاربرد اطلاعات مهاجمان (به صورت Local یا سراسری) برای اجرای Policy در وضعیت Local با استفاده از WebApp Secure یا در Perimeter با استفاده از SRX Series Services Gateways می‌پردازد؛ محصولات Juniper Networks به صورت مستقیم و از طریق شرکای Juniper و توزیع‌کنندگان آن به فروش می‌رسد.