يتضمن تكوين أي نظام أمن معلومات تقريبًا الأنظمة التقليدية (بشكل فردي أو جماعي):
- جدار الحماية
- نظام منع التطفل (IPS)
- قوائم التحكم في الوصول (ACL)
- نظام التحكم في الوصول إلى الشبكة (NAC)
- أنظمة مكافحة الفيروسات (Antivirus / Antimalware)
- نظم إدارة الأحداث IS (SIEM)
كل هذه الأنظمة جيدة بشكل فردي على حد سواء لحل مشاكلهم ، وفي تركيبة. ومع ذلك ، هناك فئات مختلفة من مهام أمن المعلومات التي للأسف لا يمكن حل هذه الأنظمة. علاوة على ذلك ، فإن محيط الشبكة التقليدية ، حيث تستخدم الوسائل التقليدية للحماية عادة في البنية التحتية الحديثة للشبكة ، غير واضح ، حيث ظهرت التقنيات السحابية خلال هذا الوقت ، وأصبح المستخدمون أكثر قدرة على الحركة.
ما هي المهام التي يمكن للأنظمة التقليدية حلها ، وأي منها سيكون من الصعب للغاية أو حتى من المستحيل التعامل معه؟
فقط اطرح على نفسك أسئلة ، مثل هذه:
- إذا قام شخص ما بجمع معلومات حول المضيفين الموجودين في نفس قطعة الشبكة باستخدام ping (على سبيل المثال ping (أي مسح ping) ، فهل يمكنك رؤية ذلك؟ كيف ستحدد هذا النشاط؟
- إذا بدأ أحد مستخدمي شبكتك هجوم DDoS (عن قصد أو تحت سيطرة شخص آخر) على شيء موجود أيضًا على شبكتك ، لذا يبدو أنه حركة مرور شرعية ، فهل يمكنك التعرف على إنذار وتنبيهه بسرعة؟
- إذا كان أحد مستخدمي شبكتك لديه أذونات لتنزيل الملفات من خادم الشركة بمعلومات سرية ، والذي ينزل عادةً حوالي 10 ميغابايت في اليوم ، فإنه في يوم من الأيام قام بتنزيل هذه الملفات فجأة من الخادم إلى 100 غيغابايت. هل تعرف هذا ، هل سيتم إعلامك تلقائيًا؟ كيف تكتشف الآن وتحقق في هذه الحقائق من تسرب المعلومات؟
- إذا أصاب أحد مستخدمي شبكتك جهاز الكمبيوتر المحمول الخاص به بدودة شبكة خارج الشركة ، فقد أحضره إلى العمل واتصل بشبكة الشركة. كيف تعرف أي مضيف على شبكتك مصاب إذا لم يكن ، على سبيل المثال ، أي من الوسائل التقليدية للحماية ، على سبيل المثال ، تواقيع لدودة الشبكة؟
- إذا قام شخص ما بسرقة معلومات سرية من شبكة شركتك ، أثناء إخفاء الإرسال ، عن طريق تحويله إلى بروتوكول معروف جيدًا مسموح به على شبكتك (على سبيل المثال ، DNS ، UDP / 53). كيف تعرف عن هذا؟
- كيف تحقق في التهديدات التي حدثت بالفعل مع الفيروسات والبرامج الضارة في البنية التحتية الخاصة بك؟
- كيف تتحقق من المشكلات المتعلقة بأداء الشبكة لمحطات العمل ، بشرط أن تعرف ، على سبيل المثال ، اسم المستخدم فقط على الشبكة؟
- كيف يمكنك الآن تحديد التهديدات الداخلية أو التحقيق فيها؟
بمجرد أن يكون لديك مثل هذه الأسئلة ، يصبح من الواضح أن الوسائل التقليدية لتوفير أمن المعلومات في شبكة الشركة لا يمكنها الإجابة عليها نوعيا. في الواقع ، أنت بحاجة إلى أداة تكمل العلاجات التقليدية.
وهناك مثل هذه الأداة - شركة Cisco المعروفة لديها منتج ممتاز يسمى Cisco StealthWatch (الاسم موروث من شركة Lancope الأصلية ، التي تأسست في عام 2000 ، وكانت أيضًا رائدة في السوق العالمية لحلول توفير رؤية الشبكة واستخبارات الأمن قبلها استحواذات سيسكو في عام 2015):
وما هو Cisco StealthWatch - في الواقع ، هو وسيلة لتوفير أمن المعلومات في شبكة ، والذي يعتمد على جمع بيانات القياس عن بعد من أجهزة مختلفة ، أي ليس فقط من الاتحاد الدولي للاتصالات واقفا على المحيط ، ولكن أيضًا من أجهزة البنية التحتية مثل أجهزة التوجيه والمحولات والخوادم مع الأجهزة الافتراضية وحتى من أجهزة المستخدم (لا يهم إذا كانت متصلة من داخل شبكة الشركة أو تقع خارجها).
نظرًا لأن حل Cisco StealthWatch هو NetFlow / IPFIX المعروف والشائع كبروتوكول رئيسي لجمع بيانات القياس عن بُعد ، فإن هذا يلغي الحاجة إلى شبكة مادية منفصلة مخصصة للرصد ، أي أنه يمكن استخدام معدات الشبكة الحالية. وإذا لم تكن هناك أجهزة تدعم NetFlow في جزء من شبكة الشركة ، فإن Cisco StealthWatch لديه أيضًا حل لهذه الحالة.
علاوة على ذلك ، لا تقوم Cisco StealthWatch بجمع هذه البيانات فقط (أي أنها مجمعة لهذه البيانات) ، بل يمكنها إلغاء البيانات المكررة وإثراء بيانات القياس عن بُعد ببيانات من مصادر أخرى ، وما إلى ذلك ، كل هذا يشكل أكثر سياق متكامل لأمن المعلومات من مصادر حركة المرور على شبكة الشركة ، متوفرة في وضع الوقت الحقيقي. يتم توفير معلومات سياق الأمان الشامل لـ Cisco StealthWatch من خلال حل آخر - Cisco ISE ، بالإضافة إلى خدمات Cisco السحابية التي تحتوي على قواعد بيانات IP / URL سمعة).
بمساعدة Cisco StealthWatch ، يتم تحويل شبكة بيانات الشركة بالكامل إلى مستشعر واحد يكتشف الهجمات والسلوك غير الطبيعي ، وما إلى ذلك ... يتجاوز هذا الحل شبكة الشركة ، حتى أنه يسمح بمراقبة البيئات السحابية ومستخدمي الهواتف المحمولة. الحل يعرف كل شيء عن كل مضيف ومستخدم على الشبكة ، ويسجل جميع إجراءاته على الشبكة (بما في ذلك يرى حركة مرور الشبكة على مستوى توقيعات التطبيق) ، ويتتبع الانحرافات عن السلوك "العادي" (علاوة على ذلك ، فإن الحل لديه القدرة على إنشاء ملف تعريف للسلوك "الصحيح" ( خط الأساس) في شكل آلية للتعلم التلقائي) ، يوفر تخزينًا لهذه البيانات ، ويسمح لك بعمل عينات من هذه البيانات (بما في ذلك تحليل النشاط المشبوه ، نظرًا لأن Cisco StealthWatch لديه بالفعل أكثر من 100 خوارزميات مختلفة للكشف عن الحالات الشاذة والسلوك) ، يقطع المسؤولين عن أي تغييرات. يمكن استخدام الحل كأداة لإجراء تدقيق دائم على قابلية تشغيل الأدوات التقليدية لأمن المعلومات ، ومن المفيد أيضًا استخدامه للتحقيق في توزيع الكود الضار وناقلات الهجوم (القدرة على "الغوص" في البيانات التاريخية).
نوصي أي شخص مهتم ومهتم بتلقي المزيد من المعلومات حول Cisco StealthWatch أن يرى تسجيل عرض تقديمي حول حل Cisco StealthWatch ، يتم إجراؤه من قبل مهندس الاستشارات من Cisco Vasily Tomilin ، والذي نعرب عن شكره الخاص له:
نظرًا لأن المنتج معقد تمامًا ، نقترح عليك تجربته أولاً كمختبر في سحابة Cisco dCloud ، للوصول إليه ، ومراسلتنا ، وسنساعدك في البدء باستخدام Cisco dCloud ، حوالي 1.5-2 ساعة فقط ويمكنك التعرف على المنتج كجزء من الأساسي العمل المختبري ، وبالنسبة لأولئك الذين يرغبون في تجربة المنتج بكل مجده ، بما في ذلك النشر أيضًا ، هناك أيضًا عمل مختبري منفصل لمدة يومين.