امنیت یکپارچه در ساختارهای شبکه های وسیع:
- شناسایی تهدیدات در هر جایی و پاسخ به آنها از طریق ادغام زیرساخت های امنیت شبکه مانند Firewall ها و Mail-Gateway ها با سیستم های تحلیل محتوا (Content Analysis) برای پاسخ به نتایج بررسی شده فایل های مشکوک در فرآیندهای Sandboxing
- ادغام با Symantec EDR برای بررسی و پاسخ به حوادث با بهرهگیری از معماری Single Agent
- ادغام با زیرساختهای موجود فناوری اطلاعات برای اتوماسیون و هماهنگی با Open-APIs
فراهم سازی امنیت فعالیت های سازمان و کسب و کار با یک راهحل سبک و با کارآیی بالا:
- بهینهسازی بازه زمانی بهروزرسانی محتوا برای Endpoint ها با محدود سازی پهنای باند شبکه بدون کاستی از کارآیی امنیتی
- بهبود و تقویت عملکرد با استفاده از یک Agent سریع و سبک و آپدیت هایی آنتی ویروسی که به حداقل استفاده از پهنای باند شبکه نیاز دارند.(تا 70% نسبت به آنتی ویروس های سنتی)
- بهبود سرعت تشخیص با تکنیکهای طراحی پیشرفته و جستجوی Real-Time که مدت زمان مورد نیاز اسکن را تسریع میکند. (تا 15% نسبت به آنتی ویروس های سنتی)
معرفی:
امروزه با تحول مداوم دنیای فناوری اطلاعات، مهاجمان از حملات پیچیدهتری برای نفوذ به شبکهها استفاده میکنند و نرم افزارهای Endpoint Protection آخرین خط دفاع در برابر تهدیدات می باشند. بعد از شیوع WannaCry و Petya نگرانی سازمانها نسبت به آسیبهای سایبری و اختلالات زیرساخت شبکه روز به روز بیشتر می شود زیرا حملات باج افزاری به طور قابل ملاحظهای در حال افزایش است.
علاوه بر این، استفاده گستردهتر مهاجمان از حملات بدون فایل و استفاده از ابزارهای متداول فناوری اطلاعات برای حملات مانند مخفیکاریهای همراه با “زندگی در زمین یا Living off the land” احتمال وقوع سرقت و نقض صحت و دسترسی داده ها را افزایش داده است.
پس تیمهای امنیتی برای مقابله با حملات سایبری چه کاری میتوانند انجام دهند؟ مدیریت چندین محصول Endpoint Protection عملا برای تعداد محدودی کارشناس امنیت غیرقابل انجام است و مدیریت امنیت در چندین منطقه جغرافیایی با سیستمعاملها و پلتفرمهای متنوع چالشها بسیار زیادی دارد. امروزه با منابع و بودجههای محدود، تیمهای امنیتی از فناوریهایی که به راحتی قابل مدیریت باشند و با هم ادغام شوند برای بهبود کلی امنیت استفاده میکنند. آنها به یک “محصول Endpoint Protection دیگر” نیاز ندارند.
Figure 1
شرکت Symantec یک راهکار Endpoint Protection کامل برای حفاظت چند لایهای و متوقف کردن تهدیدات بدون توجه به شیوه حمله به سیستم ها را ارائه میدهد
SEP با زیرساخت امنیتی موجود ادغام میشود تا پاسخهای هماهنگ برای رفع تهدیدات سریعا اعمال شوند. عامل SEP یک Single Agent سبک با قابلیت های فوق العاده است که تاثیر منفی بر روی کارایی End-User و Performance سیستم Endpoint ندارد.
Figure 2
شناسایی تهدیدات از همه جهات ممکن برای حمله با بهرهگیری از معماری Single Agent :
پیشگیری از حملات:
SEP بدون توجه به اینکه حملهکنندگان در زنجیره حمله از کجا حمله میکنند به محافظت از Endpoint ها می پردازد، کارآیی امنیتی SEP توسط شرکت های پیشرو در صنعت فناوری اطلاعات مورد تایید قرارگرفته است و این سطح پیشگیری تنها با ترکیب فناوریهای جدید پیشرفته ممکن شده است.
Figure 3
فناوریهای پیشرفته تشخیص بدون نیاز به Definition و امضاء:
- یادگیری ماشین پیشرفته (AML) تهدیدات جدید و در حال تکامل را قبل از اجرا (یا “اجرا”) شناسایی میکند.
- Memory Exploit Mitigation محافظت از برنامههای متداول و مورد استفاده کاربران در برابر بهره برداری از آسیب پذیری ها (Vulnerability Exploits) و قرنطینه کردن نرم افزارهای مشکوک در زمان انجام فعالیت های مخرب
- Behavior Monitoring بر رفتار فایلها نظارت کرده و در صورت مشاهده رفتارهای مشکوک آنها را مسدود می کند
قابلیتهای پیشرفته:
- Global Intelligence Network (GIN): شبکه Symantec بزرگترین شبکه اطلاعات تهدید غیر نظامی جهان با اطلاعاتی از 175 میلیون Endpoint و 57 میلیون حسگر حمله در 157 کشور می باشد و دادههای جمعآوری شده توسط بیش از هزار پژوهشگر با تخصص بالا در زمینه تهدیدات فناوری تجزیه و تحلیل میشوند تا دیدگاه های منحصر به فرد و روش های نوآورانه و پیشرو را برای مقابله با تهدیدات فراهم کنند.
- Reputation Analysis یا تحلیل اعتبار: بررسی ایمنی فایلها و وبسایتها با استفاده از تکنیکهای هوش مصنوعی در Cloud و داده های قدرتمند GIN را فراهم می نماید.
- Emulator یا شبیهساز: یک Sandbox نرمافزاری مستقل و بسیار سبک برای شناسایی رفتار نرمافزارها بر روی هر Endpoint وجود دارد که رفتار فایل های اجرایی مشکوک را با جزئیات بالا اما بسیار سریع بررسی کرده و در صورت لزوم از اجرای آنها جلوگیری می کند.
- Intelligent Threat Cloud’s: با قابلیت اسکن سریع توسط تکنیکهای پیشرفته مانند pipelining، trust propagation و پرسوجوهای گروهی، لازم نیست تا تمام Signature Pattern های بد افزارها در Endpoint ها بارگذاری شود بنابراین، فقط اطلاعات تهدیدات جدید در Definition ها موجود است. این مسئله مهم حجم فایلهای به روزرسانی آنتی ویروس را تا 70٪ کاهش داده و در نتیجه مصرف پهنای باند به صورت قابل تاملی کمتر می شود. (در صورت نیاز مشتری به Dark-Agent ها که اتصالی به شبکه اینترنت ندارند موضوع به این شکل نیست و تمامی Signature ها بارگذاری می شوند)
- Roaming Client Visibility: این قابلیت امکان ارسال Event های Critical و اساسی را برای Client هایی که در لحظه وقوع Incident به SEPM متصل نیستند فراهم می کند
قابلیت ادغام و ترکیب با دیگر محصولات امنیتی:
- Endpoint Detection and Response (EDR): امکان ادغام و یکپارچگی با EDR جهت بررسی رویدادهای امنیتی و استفاده از هوش مصنوعی، یادگیری ماشین دقیق، تحلیل رفتاری و اطلاعات تهدید وقوع False Positive ها را به حداقل رسانده و سطوح بالای بهرهوری برای تیمهای امنیتی را تضمین میکند.
- Content Analysis Integration: اتصال SEP به این محصول امکان استفاده از Sandboxing پویا و موتورهای اضافی برای تجزیه و تحلیل بیشتر فایلهای مشکوک را فراهم می آورد.
- Multi-factor Authentication Integration: پشتیبانی از کارت های هوشمند VIP و PIV/CAC کمپانی Symantec برای اتصال به کنسول SEP Manager
- Web Security Service Integration: امکان Redirect ترافیک Web کاربران به WSS ها با استفاده از PAC File
- Secure Web Gateway Integration: قابلیت کد نویسی و استفاده از Rest API’s امکان یکپارچگی SEP با سایر محصلات موجود مانند Secure Web Gateway ها را مهیا کرده و امکان توقف گسترش آلودگی، با Response توسط SEP را فراهم می کند.
قابلیت های پایه ای سیستم:
- Antivirus and Antimalware: اسکن و ریشهکن کردن بدافزارهایی که از هر درگاهی به سیستم ها میرسند.
- Firewall and Intrusion Prevention: با اطلاع کامل از Vulnerability های موجود در نرم افزارها و همچنین Pattern های رفتاری بد افزارها در شبکه قبل از اینکه بدافزار در سیستم عامل گسترش پیدا کند، ترافیک آنها را مسدود میکند. همچنین به راحتی از حملات شبکه جلوگیری می نماید.
- Application and Device Control: کنترل دسترسی و رفتار فایلها، رجیستری و دستگاههایی نظیر Removable-USB CD-ROM و به طور کلی کلیه سخت افزارها و درگاه ها و نیز ایجاد لیست سفید و لیست سیاه برای اجرای نرم افزارها را فراهم می نماید
- Power Eraser: یک ابزار تهاجمی با قابلیت فعال سازی از طریق کنسول SEP Manager، برای رسیدگی به تهدیدات پایدار پیشرفته و رفع بدافزارهای سرسخت می باشد.
- Host Integrity: این قابلیت امکان بررسی و انطباق Endpoint ها با سیاستها، پیکربندی ها، نصب بودن Patch ها و شناسایی تغییرات غیرمجاز را برای مدیران شبکه و امنیت فراهم کرده و می تواند با ارزیابی خسارت های وارده به صورت مدیریت شده، یک سیستم را از شبکه ایزوله و جدا سازی کند.
- System Lockdown: اجازه اجرای برنامههای موجود در لیست سفید (شناختهشده به عنوان خوب) یا مسدود کردن اجرای برنامههای موجود در لیست سیاه (شناختهشده به عنوان بد) را میدهد.
علاوه بر این موارد، SEP به تیمهای امنیتی IT اجازه میدهد تا سطح شناسایی و مسدودسازی را برای بهینهسازی حفاظت و کسب دید مناسب نسبت به فایلهای مشکوک برای هر شبکه ای، تنظیم کنند. این ویژگی قابل تنظیم با نام حفاظت متمرکز نیز شناخته میشود. همچنین SEP این امکان را نیز دارد تا Manager SEP محلی با یک کنسول ابری مجزا یکپارچه شده و فرآیند کاری آسانی برای مدیریت Endpoint ها وجود داشته باشد.
قابلیت Deception یا فریب در SEP:
SEP Deception با استفاده از طعمهها مانند یک Honeypot عمل کرده، تهدیدات پنهان را آشکار میسازد، هدف و همچنین تاکتیکهای مهاجمین را از این طریق آشکار و آنها را متوقف می کند. این قابلیت در راستای تکمیل هرگونه کاستی و سوء استفاده مهاجمان از مشکلات ناشناخته سیستم ها طراحی شده و مکانزیم های کشف تهدید را تا حدود زیادی کامل می کند.
درک دفاع سایبری یکپارچه در مقیاس (Integrated Cyber Defense at Scale):
بیشتر سازمانهای بزرگ در زیرساخت های فناوری اطلاعات خود از سیستم های متعددی استفاده می کنند که روز به روز امکانات بیشتری را فراهم آورند. فلذا امنیت و بسترهای ایمن برای استفاده از این زیرساخت ها روز به روز پیچیده تر می شود.
بسیاری راهکارهای قابل پیاده سازی در حوزه امنیت فقط یک کار بسیار خاص انجام میدهند. بنابراین، سازمانها به یک راهحل حفاظت از Endpoint نیاز دارند که بتواند با دیگر راهحلهای امنیتی IT یکپارچه شده، اطلاعات را به اشتراک گذاشته و در کنار دیگر سیستم های امنیتی بتوانند از شبکه سازمان دفاع کنند.
SEP یک محصول بنیادین است که یکپارچهسازی محصولات امنیت سازمان شما را تسهیل میکند به طوری که تیمهای امنیتی IT میتوانند تهدیدها را در هر جای شبکه خود شناسایی کرده و با پاسخهای هماهنگ به این تهدیدها رسیدگی کنند.
Symantec Endpoint Protection در کنار دیگر راهکارهای امنیتی به عنوان مثال به عنوان یک جزء کلیدی از پلتفرم دفاع سایبری یکپارچه Symantec Integrated Cyber Defense Platform و همین طور Symantec Endpoint Security Complete و یا حتی محصولات دیگر کمپانی ها از طریق API های منتشر شده، می تواند شرایط وکیفیت امنیتی سازمان شما را تقویت کند.
پلتفرم دفاع سایبری یکپارچه Symantecبرای محافظت از کاربران و اطلاعات آنها، امنیت مبتنی بر شبکه های Cloud و محلی را از طریق اطلاعات threat Intelligence بی نظیر خود یکپارچه میکند. در حال حاضر هیچ کمپانی دیگری به جز Symantec نمی تواند راهحل یکپارچهای ارائه کند که بتواند یک Response را در Endpoint بر اساس تشخیص تهدید در Gateway شبکه (مثلاً دروازههای امنیتی وب و ایمیل و فایروال) انجام دهد.
توانمندسازی کسب و کار با یک راهحل سبک و عملکرد قدرتمند:
بهروزرسانیهای Definition ها با حجم بالا و یا به صورت مکرر، پهنای باند را اشغال میکنند، عملکرد نقطه پایانی را کاهش میدهند و بهرهوری را به خطر میاندازند. بهینهسازی بهروزرسانیهای محتوا و ارائه تشخیص بهتر تهدیدها، یک قابلیت بسیار بزرگ است. این قابلیت بار کاری تیم IT را برای برنامهریزی بهروزرسانیهای امنیتی مکرر کاهش میدهند و کاربران نیز با مشکل بهروزسانیهای امنیتی که بر بهرهوری تأثیر میگذارند، مواجه نیستند.
SEP به طور مداوم در آزمایشهای عملکردی شرکت های Third-Party از جمله آزمایشهای Benchmark عملکرد امنیتی Endpoint ها شرکت Passmark Software برای سیستم عامل ویندوز و MAC در بالاترین رتبه ها قرار میگیرد.
در مقایسه با دیگر محصولات این حوزه، SEP با تجمیع چندین قابلیت در یک Agent سبک، پیچیدگی امنیت بر روی Endpoint ها را کاهش داده و قطعاً تلاش برای برابری با تواناییهای امنیتی Symantec Endpoint Protectionنیاز به چندین محصول ، چندین راهحل و قطعاً چندین Agent دارد.
شرکت آیکو با توجه به شرایط و محدودیت های روز کشور بهترین و مناسب ترین راهکارها را در خصوص امنیت Endpoint ها به سازمان ها و شرکت ها را ارائه می دهد. اگر شما نیز به دنبال راهکارهایی امنیتی هستید، خوشحال می شویم که با ما تماس بگیرید. تیم ما آماده است تا نیازهای امنیتی شما را تحلیل کرده و راهکارهایی مناسب و انعطافپذیر ارائه دهد تا به شما کمک کند تا از تمامی فواید امنیت شبکه بهرهمند شوید.
با ما همراه باشید و امنیت را به یک ابزار قوی در دستان خود تبدیل کنید