آشنایی با فایروال های threat-focused NGFW – قسمت دوم

این مقاله بخش دوم از سری مقاله های مربوط به threat-focused NGFW است. بخش اول آن را در اینجا مشاهده کنید.

 به درون threat-focused NGFW قدم گذارید

فایروال threat-focused NGFW سیسکو چه چیزی را به گونه ای متفاوت انجام می دهد؟ در اینجا به مقایسه مشهورترین سیستم های NGFW موجود در بازار (NGFW معمولی) با سیستم Threat-Focused NGFW) FirPower NGFW) می پردازیم.

یکی از NGFW های معمولی را در نظر بگیرید، این سیستم ها برای مدیرانی طراحی شده است که تمرکزشان بر روی شبکه است، مدیرانی که به visibility بیشتری در سیاست های خود نیاز دارند و سطوح مجوزدهی عمیق تری را می خواهند. سیاست های معمول، در محاصره ی خطر همیشگی تهدیدات هستند بنابراین مدیریت سیاست ها که در واقع تاثیر مهمی بر حفاظت دارد بسیار دشوار خواهد بود. فاکتور محدودکننده ی موجود در NGFW استاندارد عبارت است از اینکه این NGFW معمولی تنها  می تواند به دقت، مجوز یا عدم مجوزها را بر چیزهایی که درک خواهد کرد، اعمال کند. نمونه کلاسیک آن فایروالی است که اثر IDS/IPS را در مسیر بسته به کار می برد تا چیزی را که درک کرده است، شناسایی کند و کنشی انجام دهد (رویدادی خروجی که دیده شده و اطلاعاتی اولیه درباره کسی و چیزی که این عمل را انجام داده است).

در مقابل، یک فایروال Threat-Focused NGFW سیسکو به گونه ای دیگر به اطراف می نگرد، اساس آن، مجموعه ای از ابزارهای شناسایی است که هم تکنولوژی های signature-based ¹ و هم signature-less را به کار می برند تا داوری هایی را بر روی جریان های داده، فایل ها و بیت های دیگری از اطلاعات انجام دهند. این چه مقدار به هوشمندی تعبیه شده در ابزارهای داوری بستگی دارد؟ ، علاوه بر شناسایی و طبقه بندی رویدادهای point-in-time همانطور که بسیاری از فروشندگان آن را انجام می دهند، شناسایی در پس event horizon نیز یکی از مهمترین تفاوت های Firepower NGFW سیسکو است.

شکل 1) این تصویر نمایانگر مفهوم افق رویداد است در جهت متوقف نمودن بدافزارها

شکل 2) تحلیل Point-int-time که توسط هر NGFW  که شما خریداری می کنید، استفاده می شود.

اگر برای داده ای وضعیت “پاک (بی خطر)” صادر شده باشد، یک NGFW معمولی برای بررسی یا تعقیب آن داده، تلاش بیشتری نمی کند زیرا پیش از این وضعیت “پاک” صادر شده است و از آنجایی که تداوم در تحت نظر داشتن همه چیز، توان زیادی مصرف می کند، اکثرفروشندگان NGFW تمایلی به تخصیص کارایی بهتر Packet-in/Packett-out ندارند. به یاد دارید، همان طور که پیشتر گفتیم NGFW ها برای فروختن به مدیران شبکه ساخته شده اند؟ ما انتظار داریم که روترها بسته ها را با حداکثر سرعت ممکن انتقال دهند، همین است که NGFW استاندارد تمرکز معمول در ارزیابی را بر سرعت، سادگی و هزینه می گذارد.

تحلیل مستمر

برای اینکه بتوانید از شبکه خود در برابر تهدیدهای جدید دفاع و محافظت کنید، سرعت فدای این امر خواهد شد.

من نمی خواهم بگویم که شما کارایی خوبی نمی توانید داشته باشید تنها مسئله این است که سرعت packet-in/packet-out برابر نیست به خصوص بیشتر حملات پیشرفته ای که ما امروزه می بینیم سریعا به عنوان بدافزار شناخته نمی شوند و در بیشتر مواقع این بدافزارها برای اولین بار استفاده شده اند. امنیت به معنای شناسایی، درک و توقف تهدیدهاست. شما با استفاده از برقراریِ visibility (قابلیت رویت) می توانید محتوا را درک کنید و برای تشخیص یک تهدید، هوشمندی گردآوری شده ای را اعمال کنید. حرکت کردن در پس event horizon از مفهوم شناخته شده ای به نام “تحلیل مستمر” استفاده می کند تا نظارت بر فعالیت فایل هایی که از ارزیابی اولیه گذشته اند و به آنها یک وضعیت ناشناخته یا پاک نسبت داده شده است، ادامه یابد. یک سیستم متمرکز بر تهدید (Threat-focused) به هنگام رویارویی با بدافزارهای جدید به خصوص zero-day (بدافزاری یک بار مصرف که تغییرات کارکردی ناشناخته ای دارد)، با نگاهی به گذشته می تواند عملکردهایی مثل lateral movement ، تکنیک های sleep، پلی مورفیسم (چند شکلی)، رمزگذاری یا حتی پروتکل های ناشناخته را ارزیابی و شناسایی کند. به وسیله این تشخیص جدید، حکمی بر مخرب جدید می تواند صادر شود و با نگاه به گذشته اقدامات بیشتری به طور اتوماتیک می توانند اتفاق بیافتند.

شکل 3) تحلیل مستمر ، در پس افق رویداد که تنها توسط فایروال های متمرکز بر تهدید سیسکو استفاده می شوند.

اگر تهدیدی با گذشته نگری یا بی درنگ شناخته شود، اجرایی خودکار و با اطمینانی بسیار بالا یا “امنیت تطبیق پذیر” برای توقف تهدید استفاده شده است. به منظور رسیدن به این هدف، سیستم باید بتواند هر آنچه که دیده می شود را ثبت کند تا قابلیت مستمری را برای شناسایی تهدیدها در ساعت ها، روزها یا حتی هفته های آتی داشته باشد. visibility، زمینه و ویژگی حامیان تهدید، تهدید و هدف از تهدید باید بخشی از فرآیندی واحد بر روی سیستم ها باشند تا موثر واقع شود ، نه به صورت مجزا. این چیزی است که فایروال های تهدید محور (firepower Threat-centric) برای اجرایش ساخته شده اند.

در ادامه نگاهی می اندازیم به نمونه ای از آنچه که در روند یک جریان تحلیل مستمر درون مرکز مدیریت firepower (فایروال های firepower را مدیریت می کند) رخ می دهد. فایلی که توسط یک کاربر از طریق مرورگرش دانلود شده بود و در آغاز وضعیت “ناشناخته” در point-in-time به آن داده می شود و تشخیص نمی دهد که این فایل شامل یک تهدید day-zero (که پیش از این هیچ گاه دیده نشده است) است. به یاد داشته باشید که اینها در محیطی انجام شده که هیچ نرم افزار client agent اضافی نصب نشده است تا جزییاتی را برای سیستم فراهم کند. در آینده شما ارزش افزودن یک AMP host agent اختیاری در فرآیند را خواهید دید.

شکل 4) نمایش مسیر حرکت در مرکز مدیریت firepower

شکل 5) مسیر حرکت مربوط به فایل اصلی دانلود شده توسط توسط فایرفاکس را نشان می دهد

شکل 6) مسیر حرکت، فایلی که از طریق مرورگر کپی شده را نشان می دهد

شکل 7) در اینجا نیز کپی دیگری از فایل گرفته شده است، این بار توسط اپلیکیشن SMB

شکل 8) دوباره از طریق پروتکل SMB در سیستم چهارم کپی می شود

شکل 9) با استفاده از هوشمندی گردآوری شده در برابر تهدید (Talos)، هفت ساعت پس از اولین دانلود به عنوان فایلی مخرب شناسایی می شود. (یک تهدید zero-day)

شکل 10) در دستگاه دوم AMP برای endpoint ها به اجرا در می آید و به صورت اتوماتیک بدافزار را قرنطینه می کند. سه دستگاه دیگر AMP را برای endpoint ها اجرا نکردند اما به طور اتوماتیک بخشی از میدان تهدید هستند و همه فعالیت های آنها کاملا ثبت می شود

شکل 11) مرکز مدیریت firepower  به طور خودکار سیاست را تغییر می دهد تا از عبور دوباره این بدافزار در enterprise شما جلوگیری کند، و به طور اتوماتیک میدان تهدید را تعریف کرده، patient-zero را شناسایی کرده و بقیه جزییات مورد نیاز که می تواند توسط شاغلان استفاده شود، را فراهم می کند

از آنجایی که اطلاعات همواره ردیابی می شود، وجود این قابلیت رویت مستمر (continuous visibility) محدوده و میدان تهدید، تحلیل اثر و پاسخگویی رویداد بعلاوه ی همه روابط سلسه مراتبی برای patient-zero و … را به طور خودکار فراهم می کند (همه فعالیت ها و اطلاعاتی که برای شاغلان مفید است). با توجه به زمینه و قابلیت رویت این عملکردها، یک سیستم اتوماسیون امنیتی با قابلیت اطمینان بالا برای فرآیندها در دسترس است (با قابلیت خودتنظیمی سیاست ها و عملیات ها- فراهم کردن کنترل های outbreak، تخصیص ها، و روابط والد-فرزندی به طور خودکار). در حالی که همه NGFW های معمولی کاملا در برابر آنچه اتفاق می افتد، ناآگاه هستند و قادر نیستند که چنین عملیاتی را انجام دهند.

1. تشخیص حملات با استفاده از الگوهایی خاص نظیر دنباله ای از بایت ها در ترافیک شبکه یا دنباله ای از دستورالعمل های مخرب شناخته شده

برای خرید فایروال سیسکو کلید کنید.

بررسی فایروال­ های ASA with FirePOWER

در شرایط امروزه ­ی امنیت سایبری، شرکت ها نمی ­توانند از عهده واکنش به نفوذی که خطر آسیبی جبران ­ناپذیر را به همراه دارد، برآیند. برای پاسخگویی به افزایش فزاینده خطرات، فایروال های Next Generation اقدامات امنیتی پایه­ ای را برای جلوگیری از حملات بر شبکه ­های سازمان دنبال می­ کنند. سرویس­ های Cisco ASA with FirePOWER فایروال­های threat-focused NGFW را ارائه می ­دهند که مورد پذیرش مارکت هستند و از سیستم دفاع تایید شده ای برای محافظت شبکه­ ها برخوردارند.

سرویس­ های ASA with FirePOWER  قابلیت­های فایروال­های سری ASA 5500-X و ASA 5585-X را با مانیتورینگ مستمر و محافظت توسعه می­ دهد. این محصولات سیستم دفاع یکپارچه ای را برای زنجیره سراسری از حملات – پیش از حمله، در طول آن و پس از آن– به وسیله­ ی ادغام قابلیت­ های امنیتی فایروال ASA سیسکو با تکنولوژی Sourcefire و ویژگی محافظت پیشرفته در برابر بدافزار ¹ در یک دستگاه واحد، ارائه می­ دهد.

در فوریه 2016، سیسکو محصول فایروال جدیدی را با هدف تغییری در نحوه ارائه سرویس ­های امنیتی در برابر تهدیدات سایبری عرضه کرد. سیسکو اظهار داشته است، فایروال­ های FirePOWER نخستین محصول در صنعت است که اطلاعاتی کاربردی از app ها را با threat intelligence ² به هم پیوند می ­زند. سیسکو با تمرکز بر روی دفاع در برابر تهدیدها، به سازمان­ ها برای مدیریت بهتر خطرات و کاهش آنها کمک می کند.

مجموعه ویژگی ها

ویژگی­ های فایروال NGFW سیسکو شامل stateful firewall ³ ، تنظیمات Non-disruptive in-line bump-in-the-wire ⁴network address translation ⁵، واسط جانبی سریال SPI ⁶، تکنولوژی Virtual Private Network⁷، دسترس ­پذیری بالا و clustering می شود. فایروال های سیسکو NGFW مسیریابی پویا، محافظت پیشرفته در برابر بدافزار، فیلتر کردن URL و آگاهی امنیتی، indications of compromise ⁸ و application awareness را فراهم می­ کند. فایروال­ های ASA دارای سیستم پیشگیری از نفوذ، کنترل با جزییات، قابلیت رویت (visibility) بالا،توانایی در ترکیب اطلاعات بیرون از فایروال و رمزگشایی SSL برای ایجاد توانایی در شناسایی اپلیکیشن های رمزگذاری شده ­ی نامطلوب هستند.

محدوده پوشش ­دهی پلتفرم

سرویس ­های ASA with FirePOWER سیسکو  برای کمپانی­ های کوچک و متوسط و شرکت های بزرگ طراحی شده است. این محصول می­ تواند در محیط های مجازی، فیزیکی و یا ترکیبی از هر دو توسعه داده شود.

کارایی

فایروال FirePOWER 8350 بالاترین کارایی را در میان تمام رقبایش در NSS Labs به دست می آورد در حالی که  ASA 5585-X SSP60 در آن رده ­بندی رتبه سوم را کسب می­ کند. سیسکو همچنین سری FirePOWER 4100 را برای اپلیکیشن های با کارایی بالا درون سازمان های متوسط و بزرگ عرضه کرده است. آنها یک unit از فضای rack را اشغال می کنند.

مدیریت پذیری (manageability)

فایروال های ASA with FirePOWER توسط مرکز مدیریت ⁹ Cisco FireSIGHT مدیریت شده اند. مرکز مدیریت، خدمات امنیتی با visibility فراگیری در شبکه و کنترل بر فعالیت درون شبکه را فراهم می ­کند. این visibility برای کاربرها، دستگاه ها، ارتباطات بین ماشین های مجازی، آسیب پذیری ها، تهدیدها، اپلیکیشن های سمت client، فایل ها و وبسایت ها به کار بسته می­ شود.  Indications of compromise اطلاعات جزیی شبکه را با اطلاعات رویدادها در endpoint مرتبط می­ کند و visibility بیشتری را نسبت به اثرگذاری­ های بدافزار ارائه می ­دهد. مرکز مدیریت همچنین از طریق مسیر حرکت فایل بدافزار، محتوایی را فراهم می ­کند که به تعیین علت ریشه ­ای نفوذ و همینطور تعیین دامنه آن کمک می کند تا زمان اصلاح را بهبود بخشد.

قیمت گذاری و licensing

Application Visibility and Control در فایروال های سیسکو به عنوان بخشی از کانفیگ پایه بدون هیچ هزینه ای در دسترس است. لایسنس های هر یک از ویژگی های NGIPS، Advanced Malware Protection و URL filtering نیز با پرداخت هزینه در دسترس قرار می گیرند.

پشتیبانی

پشتیبانی فایروال­ های NGFW شامل سرویس SMARTnet – نگهداری/پشتیبانی از پلتفرم سخت­ افزار و نرم­ افزار – و SASU – مجوز نگهداری/پشتیبانی برای NGIPS، URL filtering و AMP – می­ شود.

تمایزات

فایروال ASA with FirePOWER، محصول جامعی را ارائه می دهد که شامل آگاهی به محتوا، تشخیص تهدید و حفاظت در برابر آن، ویژگی های فایروال enterprise-class، قابلیت رویت و کنترل اپلیکیشن در سطوحی جزیی­ تر و حفاظت پیشرفته در برابر بدافزارها می­ شود. همراه با محصول NGFW از سیسکو که تمرکز بر تهدیدها را در نظر دارد، سیسکو سرویس Security Segmentation را نیز معرفی کرد. این سرویس به سازمان­ ها در ایجاد کنترل­ های امنیتی کمک می­ کند تا پیشگیری از نفوذ، شناسایی تهدید، امنیت محتوا و جلوگیری از دست دادن داده در سراسر زیرساخت IT آنها بهبود یابد.

خلاصه

Cisco ASA with FirePOWER، خدمات امنیتی threat-focused NGFW را به فایروال­ های سری ASA 5500-X و ASA 5585-X ارائه می ­دهد. این محصولات از طریق ترکیب قابلیت­ های امنیتی فایروال ASA با ویژگی های “Sourcefire” و “محافظت پیشرفته در برابر بدافزار” در دستگاهی واحد، دفاع در برابر تهدید یکپارچه ­ای را برای زنجیره سراسری از حملات – پیش، در طی آن و پس از حمله – ارائه می­ دهد. آنها محافظت در برابر تهدیدهای پیشرفته و شناخته شده­ ای را فراهم می­ کنند که شامل محافظت در برابر حملات مخرب هدفمند و مکرر می ­شود.

نویسنده: مایک ویلگاس

1. advanced malware protection
2. اطلاعاتی سازماندهی شده، آنالیز شده و پالایش شده در مورد حملات جاری یا بالقوه ­ای است که یک سازمان را تهدید می­ کند
3. یک تکنولوژی فایروال است که بر وضعیت اتصالات فعال نظارت می­ کند و از این اطلاعات استفاده می­ کند تا تعیین کند که کدام بسته ­های شبکه اجازه دارند از طریق فایروال عبور کنند
4. این قابلیت اجازه می ­دهد که ASA بتواند به صورت فایروالی در مد transparent ایفای نقش کند در این حالت، فایروال امنیت ترافیک را مدیریت می­ کند اما مسیرها (route) را مدیریت نمی­ کند و نیازی به تغییر دادن مسیریابی یا هر سرویسی از لایه 3 نیست. به طور مثال این حالت زمانی است که ASA بین ISP router و Core switch قرار گیرد
5. این ویژگی برای نگهداری آدرس IP طراحی شده است. به شبکه های IP خصوصی این توانایی را می ­دهد که از آدرس های unregistered IP برای اتصال به اینترنت استفاده کنند
6. واسطی است که توانایی انتقال و دریافت سریال داده بین دو دستگاه را برقرار می­ سازد و به صورت fullduplex است
7. VPN تکنولوژی است که اتصالی امن و رمزگذاری شده را بر روی شبکه­ ای با امنیت کمتر همچون اینترنت ایجاد می­ کند
8. قطعاتی از داده ­ها، همچون داده ­هایی که در جداول یا فایل­ های لاگ سیستم پیدا می­ شوند هستند که فعالیت های مخرب بالقوه بر روی سیستم یا شبکه را شناسایی می ­کنند
9. Management Center

منبع : Faradsys.com

فایروال سیسکو سری Firepower 9000

فایروال سیسکو سری  Firepower 9000 از جمله دیگر محصولات امنیتی کمپانی سیسکو می باشد. این محصول جهت استفاده در مراکز داده و دیگر موارد که نیاز به کارایی بالا، زمان تأخیر کم و توان عملیاتی بالا نیاز دارند، مناسب و ایده آل است. این دستگاه امنیتی یکپارچه و قابل ارتقاء را برای بار کاری و جریان داده بر روی محیط های Cloud، مجازی و فیزیکی ارائه می دهد. فایروال سری Firepower 9000 با سرویس های یکپارچه شده که به همراه دارد، هزینه ها را کاهش می دهد و شبکه های Open Programmable را پشتیبانی می کند.

ویژگی های فایروال سری 9000:

امنیت چند سرویسی قابل ارتقاء

این دستگاه حفره های امنیتی را حذف می کند، سرویس های امنیتی سیسکو را بر روی فابریک شبکه ادغام کرده  و ارائه می دهد، سیاست ها ، ترافیک و رویدادها را بر روی سرویس های گوناگون بررسی و مرتبط می کند.

ماژول های امنیتی بسط پذیر

این محصول کارایی امنیت را ارتقاء می دهد، نیازهای پویای کسب و کارها را بررسی می کند و به سرعت  قیودی را فعال می کند.

کارایی Carrier-grade

این دستگاه همراه با تنظیمات NEBS است همچنین کارایی شبکه و دفاع در برابر تهدیدها را با تاخیر کم ارائه می دهد، مدیریت جریانی عظیم و Orchestration سرویس های امنیتی را می افزاید. علاوه بر این از EPN ،ESP و معماری های ACI پشتیبانی می کند.

فایروال سیسکو سری Cisco ASA 5500-X

سری فایروال Cisco ASA 5500-FTD-X مجموعه ای از هشت پلتفرم امنیتی threat-focused NGFW است. با توجه به محدوده توان عملیاتی در این فایروال کاربردهای آن از ادارات کوچک یا شعبه ها تا edge اینترنت را در بر می گیرد. این سری دفاع در برابر تهدیدبهتری را با ملاحظه هزینه-کارایی ارائه می دهد.

 

 

ویژگی های فایروال های سری Cisco ASA 5500-FTD-X عبارتند از:

حفاظت چندلایه ای قوی

امنیت بیشتری را برقرار می سازد. با مسدود کردن 99.4% از تهدیدها به خاطر NGIPS (قابلیتی موجود در این سری از فایروال ها است که پیشگیری از تهدید کارا و اطلاعات کاملی از کاربرها، زیرساخت ها، اپلیکیشن ها و ظرفیتی برای شناسایی تهدیدها و پاسخگویی دفاعی خودکار را پشتیبانی می کند) و 99.2% از تهدیدها به خاطر AMP (قابلیتی دیگر در سری فایروال ASA 5500-x است. تشخیص نفوذی کارا، sandboxing (مکانیزمی امنیتی برای تفکیک برنامه های در حال اجرا است به گونه ای که خطاهای سیستم و آسیب پذیری های نرم افزار را کاهش دهد)، هزینه کم ownership و حجم حفاظتی بیشتری  را فراهم می کند که در کشف، درک و مسدود کردن بدافزارها و تهدیدهایی نوظهور که توسط دیگر لایه های امنیتی کشف نمی شوند، کمک می کند.)، بیشترین امتیازات کارایی امنیت را در تست های third-party به دست آورده است.

کاهش هزینه ها و سادگی مدیریت

فعالیت های درون شبکه را تعقیب و کنترل می کند. اطلاعاتی از کاربرها، اپلیکیشن ها، دستگاه ها، تهدیدها، فایل ها و آسیب پذیری ها به دست می آورد. همچنین محافظت را از مراکز داده به دستگاه های موبایل گسترش می دهد.

سرویس های امنیتی یکپارچه و اتوماسیون task ها

ادغام چند سرویس امنیتی در پلتفرمی واحد، سرمایه و هزینه های اجرایی و همچنین پیچیدگی اجرایی را کاهش می دهد. Task هایی امنیتی برای افزایش عملکرد و سرعت گرفتن اصلاحات را به طور خودکار انجام می دهد.

پشتیبانی گستره ای وسیع از اندازه ها و فرم فاکتورها

به عنوان گزینه هایی مستقل برای کسب و کارهای کوچک و متوسط، دستگاه های ruggedized برای محیط های بزرگ، دستگاه midsize برای امنیت در edge اینترنت و دستگاهی با کارایی بالا در مراکز داده موسسات تجاری است.