خلاصه گزارش راهنمای بازار گارتنر در سال 2020
در زمینه شناسایی و پاسخدهی به تهدیدات شبکه
Market Guide for Network Detection and Response (2020)
Latech-Gartner-Market Guide for Network Detection and Response-Network Traffic Analysis-NDR-SIEM-NetFlow-SOAR-EDR-Awake Security Platform-Blue Hexagon-Cisco Stealthwatch-Corelight Sensors-Darktrace Enterprise Immune System-ExtraHop Reveal-Fidelis Cybersecurity Elevate-FireEye SmartVision-Gigamon ThreatINSIGHT
ترجمه: شهاب غیاثوند
لاتک-فناوری لاجورد تکوین-فروش-گارتنر-شناسایی و پاسخدهی به تهدیدات شبکه-سیسکو استیلث واچ-کورلایت-فایرآی-گیگامون-هیلستون-لست لاین-فیدلیس-فروش-راهکار امنیتی
Latech-Gartner-Lastline Defender-Plixer Scrutinizer-Vectra Cognito Detect-Bricata-Flowmon Anomaly Detection System-GREYCORTEX MENDEL-Hillstone Networks-IronNet IronDefense
مقدمه
شرکتهای ارائه دهنده راهکار شناسایی و پاسخگویی به تهدیدات شبکه (که سابقاً از آن به عنوان تحلیل ترافیک شبکه یاد میشد) ابزارها و قابلیتهای اتوماتیک و دستی بیشتری به راهکار خود اضافه کرده اند. در این مستند ما به بررسی کلی بازار و برخی از فروشنگان اصلی این راهکار می پردازیم.
Latech-Gartner-Market Guide for Network Detection and Response-Network Traffic Analysis-NDR-SIEM-NetFlow-SOAR-EDR-Awake Security Platform-Blue Hexagon
یافته های کلیدی
• استفاده از یادگیری ماشین و تکنیکهای تحلیل داده به منظور یافتن ترافیکهای مشکوک شبکه، به سازمانهای بزرگ کمک می کند تهدیداتی که سایر ابزارهای امنیتی در شناسایی آن ناتوانند را شناسایی نمایند.
• شناسایی و پاسخگویی به تهدیدات شبکه همچنان بازاری شلوغ و دارای موانع کم است، زیرا بسیاری از فروشندگان میتوانند از تکنیکهای تحلیلی رایج برای کنترل ترافیک از پورت SPAN استفاده کنند. بر این اساس طیف گسترده ای از مشتریان از ارائه دهندگان مختلف این راهکار، ابراز رضایت کردند.
• قابلیتهای پاسخدهی این راهکار به دو دسته کلی تقسیم میشود: دستی و اتوماتیک. در همین راستا وندورهای NDR، قابلیتهای دستی (شکار تهدیدات و پاسخگویی به رخداد) خود را پیوسته بهبود داده و با استفاده از قابلیتهای شرکت های همکار خود، در حال بهینه سازی فرآیند اتوماتیک پاسخدهی هستند.
Latech-Cisco Stealthwatch-Corelight Sensors-Darktrace Enterprise Immune System-ExtraHop Reveal-Fidelis Cybersecurity Elevate-FireEye SmartVision-Gigamon ThreatINSIGHT
توصیه ها
برای بهبود امنیت و مدیریت ریسک زیرساخت امنیت و شناسایی ترافیکهای مشکوک شبکه، رهبران و پیشگامان حوزه مدیریت امنیت و ریسک میبایست:
• ابزارهای NDR مبتنی بر رفتار را برای بلوغ راهکارهای تشخیص مبتنی بر signature پیاده سازی نمایند.
• راهکار NDR را در قالب یک ویژگی مورد ارزیابی قرار دهند؛ علی الخصوص NDR از وندوری که مشتری از محصولات SIEM ، فایروال یا دیگر محصولات امنیتی آن، استفاده می نماید.
• بهتر است در ابتدای کار و حین ارزیابی، مشخص شود که مشتری بدنبال پاسخدهی دستی است یا خودکار. همچنین برخورداری سازمان از یک استراتژیِ پاسخدهی کاملاً مشخص، در انتخاب لیستی از فروشندگان NDR ارزشمند است.
لاتک-فناوری لاجورد تکوین-فروش-گارتنر-شناسایی و پاسخدهی به تهدیدات شبکه-سیسکو استیلث واچ-کورلایت-فایرآی-گیگامون-هیلستون-لست لاین-فیدلیس-فروش-راهکار امنیتی
تعریف بازار
راهکارهای NDR برای تشخیص ترافیک مشکوک در شبکه های سازمانی، در درجه اول از تکنیک های مبتنی بر signature (به عنوان مثال، یادگیری ماشین یا سایر روش های تحلیلی) استفاده می کنند. این ابزارها به طور مداوم ترافیک خام و یا سوابق جریان (به عنوان مثال NetFlow) را تجزیه و تحلیل نموده تا مدل هایی ایجاد کنند که رفتار طبیعی شبکه را منعکس می کند. پس از تشخیص الگوی ترافیک مشکوک، ابزارهای NDR نسبت به هشداردهی اقدام می نمایند. علاوه بر نظارت بر ترافیک شمال/جنوب که از perimeter سازمان عبور می کند، NDR قادر به تحلیل ترافیک شرق/غرب با استفاده از سنسورهایی است که در نقاط استراتژیکی از شبکه سازمان استقرار یافته اند.
پاسخدهی نیز از اهمیت بالایی در راهکارهای NDR ، برخوردار است. پاسخ های خودکار (مثلاً ارسال دستورات به یک فایروال به گونه ای که باعث بلاک کردن ترافیک مشکوک شود) یا پاسخ های دستی (مثلاً ارائه ابزارهای شکار تهدید و واکنش به رخدادها)، عناصر رایج ابزارهای NDR هستند. در سال 2019 ، گارتنر نام این بازار را “تجزیه و تحلیل ترافیک شبکه” گذاشت. گارتنر، امسال نام آن را به “شناسایی و پاسخگویی شبکه” تغییر داده است، چرا که این اصطلاح عملکرد این راهکار را با دقت بیشتری نشان می دهد.
Latech-Gartner-Lastline Defender-Plixer Scrutinizer-Vectra Cognito Detect-Bricata-Flowmon Anomaly Detection System-GREYCORTEX MENDEL-Hillstone Networks-IronNet IronDefense
وضعیت بازار
فروشنده های بسیاری ادعا می کنند که ترافیک شبکه (یا سوابق جریان داده ها) را تجزیه و تحلیل نموده و فعالیت مشکوک در شبکه را تشخیص می دهند. اما گارتنر، معیارهای زیر را برای ارزیابی آنها مدنظر قرار داده است:
معیارهای ورود وندور به لیست ارزیابی گارتنر:
• تجزیه و تحلیل ترافیک بسته خام شبکه یا جریان های ترافیک به صورت بلادرنگ یا نزدیک به زمان واقعی.
• ترافیک شمال/جنوب (همانطور که از perimeter عبور می کند) و همچنین ترافیک شرق/غرب (همانطور که به صورت جانبی در سراسر شبکه حرکت می کند) را کنترل و تحلیل کند.
• قادر به مدلسازی ترافیک عادی شبکه بوده و ترافیک مشکوکی را که خارج از محدوده طبیعی است، نمایان سازد.
• تکنیک های رفتاری (تشخیص بدون امضا) مانند یادگیری ماشین یا تجزیه و تحلیل پیشرفته که ناهنجاری های شبکه را تشخیص می دهد، ارائه نماید.
• قابلیت پاسخگویی خودکار یا دستی را برای واکنش به تشخیص ترافیک مشکوک شبکه فراهم کند.
معیارهای خروج از لیست ارزیابی گارتنر:
• ابزارهایی که نیاز به وجود ابزارهای پیش نیاز همچون فایروال و SIEM دارند
• تمرکز بر قابلیت فارنزیک بجای شناسایی از طریق جستجو و تحلیل اطلاعات جمع آوری شده یا فایل کامل PCAP
• کاربری اصلی به عنوان ابزار تحلیل لاگ
• قابلیت پایش فعالیت های کاربران، به طور مثال استفاده به عنوان UEBA
• عدم جامعیت کاربری و تمرکز بر استفاده به عنوان ابزار اصلی تحلیل IOT و OT (چون راهکارهای تخصصی برای این موارد وجود دارد)
لاتک-فناوری لاجورد تکوین-فروش-گارتنر-شناسایی و پاسخدهی به تهدیدات شبکه-سیسکو استیلث واچ-کورلایت-فایرآی-گیگامون-هیلستون-لست لاین-فیدلیس-فروش-راهکار امنیتی
سمت و سوی بازار
تمرکز شرکت ها در این حوزه بر روی افزایش توانایی های تشخیص و پاسخدهی است. در زمینه شناسایی، گارتنر انتظار دارد که همچنان توانایی خود را در شناسایی الگوهای مشکوک در ترافیک رمزگذاری شده، افزایش دهند. اگر چه برخی از وندورها توانایی قطع، رمزگشایی و تحلیل ترافیک TLS را به طور طبیعی در سنسورهای خود اضافه خواهند کرد؛ با این حال، اکثر راهکارها به ویژه آنهایی که دارای سنسورهای خارجی هستند، اقدام به بهبود توانایی تشخیص ترافیک مشکوک بدون نیاز به رمزگشایی از ترافیک TLS و بازرسی payload ، خواهند نمود. برخی از وندورها، از شناسایی SSL/TLS Server Certificates مشکوک برای این منظور استفاده می کنند. برخی دیگر از تکنیک هایی مانند تحلیل طول بسته ها، زمان بین بسته ها، مدت زمان اتصالات و روش های دیگر برای تشخیص ترافیک مشکوک TLS استفاده می کنند. گارتنر انتظار دارد که وندورهای بیشتری، راهکارهای خود را با عملکرد مشابه توسعه دهند.
وندورهای NDR ، در حال بهبود توانایی خود در زمینه پاسخگویی به تهدیدات نیز هستند. برای پاسخ های خودکار، آنها همکاری های مختلفی را با فروشندگان فایروال (ارسال دستورات به فایروال ها برای کاهش ترافیک مشکوک)، تجهیزات کنترل دسترسی شبکه (ارسال دستورات به راهکار کنترل دسترسی شبکه [NAC] برای جدا کردن یک Endpoint)، وندورهای SOAR (پاسخگویی به رویدادها با Playbook)، فروشندگان EDR (برای محافظت از Endpointهای به خطر افتاده) و سایر شرکتهای امنیتی، در دستور کار قرار داده اند. برای پاسخ دستی، وندورها با بهبود ویژگی های گردش کار، عملکرد شکار تهدید و واکنش به حوادث را بهبود می بخشند (به عنوان مثال، یاری پاسخ دهندگان به رخداد در اولویت بندی پاسخ به رویدادهای امنیتی).
Latech-Gartner-Market Guide for Network Detection and Response-Network Traffic Analysis-NDR-SIEM-NetFlow-SOAR-EDR-Awake Security Platform-Blue Hexagon-Cisco Stealthwatch-Corelight Sensors-Darktrace Enterprise Immune System-ExtraHop Reveal-Fidelis Cybersecurity Elevate-FireEye SmartVision-Gigamon ThreatINSIGHT
معرفی وندورهای حوزه شناسایی و پاسخدهی به تهدیدات شبکه
Market Guide for Network Detection and Response (2020)
لاتک-فناوری لاجورد تکوین-فروش-گارتنر-شناسایی و پاسخدهی به تهدیدات شبکه-سیسکو استیلث واچ-کورلایت-فایرآی-گیگامون-هیلستون-لست لاین-فیدلیس-فروش-راهکار امنیتی
Latech-Gartner-Lastline Defender-Plixer Scrutinizer-Vectra Cognito Detect-Bricata-Flowmon Anomaly Detection System-GREYCORTEX MENDEL-Hillstone Networks-IronNet IronDefense
Cisco
کمپانی سیسکو (واقع در ایالت کالیفرنیا)، دو گزینه استقرار برای راهکار Stealthwatch خود ارائه می دهد. Stealthwatch Enterprise ، اطلاعات محیط مشتری را جمع آوری، ذخیره و تجزیه و تحلیل می کند. Stealthwatch Cloud نیز یک پیشنهاد تحت SaaS است. این محصول می تواند شبکه خصوصی مشتری یا یک محیط عمومی را پایش کند (از طریق ادغام با AWS ، Azure یا Google Cloud Platform). این محصول در درجه اول با تحلیل سوابق NetFlow، IPFIX یا sFlow، ترافیک مشکوک را تشخیص می دهد. سپس از چندین روش تحلیلی مانند از جمله یادگیری ماشین تحت نظارت، یادگیری ماشین بدون نظارت و برخی الگوریتم های یادگیری عمیق، برای شناسایی ترافیک مشکوک استفاده می کند. این راهکار قادر به رمزگشایی ترافیک TLS نبوده و بجای آن برای تحلیل ترافیک TLS بدون نیاز به رمزگشایی، از قابلیت Encrypted Traffic Analysis (Cisco ETA) استفاده می کند.
محصول Stealthwatch ، اطلاعات مرتبط با تاریخچه ترافیک را فراهم نموده تا تحلیلگر امنیت بتواند به صورت دستی به رخداد پاسخ دهد. همچنین پاسخهای خودکار را از طریق ادغام با Cisco ISE ، امکان پذیر کرده است. هشدارها و رویدادهای Stealthwatch را نیز میتوان با پلتفرم Cisco’s SecureX به اشتراک گذاشت؛ جایی که پاسخ ها را از طریق SecureX ، میتوان به صورت خودکار انجام داد. Stealthwatch به عنوان اشتراک و براساس flow بر ثانیه، تعداد دستگاه شبکه یا مجموع کل flow در ماه، به فروش می رسد.
Latech-Gartner-Market Guide for Network Detection and Response-Network Traffic Analysis-NDR-SIEM-NetFlow-SOAR-EDR-Awake Security Platform-Blue Hexagon-Cisco Stealthwatch-Corelight Sensors-Darktrace Enterprise Immune System-ExtraHop Reveal-Fidelis Cybersecurity Elevate-FireEye SmartVision-Gigamon ThreatINSIGHT
FireEye
FireEye یک کمپانی فعال جهانی در حوزه امنیت است که مرکز اصلی آنها در کالیفرنیا واقع می باشد. FireEye SmartVision ، راهکار NDR آنها است که مخصوص ترافیک سمت سرور می باشد. سنسورهای فیزیکی یا مجازی این محصول، برای رهگیری ترافیک کلاینت به سرور پیاده سازی می شوند. موتورهای شناسایی SmartVision ، از سیستم تشخیص نفوذ و کنترل های مبتنی بر rule هوشمندی تهدیدات، استفاده می کنند. محصولات FireEye ، توسط یک موتور اختصاصی بنام Multi-Vector Execution (MVX) توانمند شده اند که می تواند در محل یا در فضای ابری میزبانی شود. FireEye Network Forensics ، از ضبط و تحلیل ترافیک به صورت کامل پشتیبانی نموده و تکنیک های یادگیری ماشین نیز برای تحلیل ترافیک و فایل، قابل استفاده هستند.
قابلیت های پاسخدهی FireEye SmartVision ، از طریق راهکارهای orchestration و endpoint یا از طریق یکپارچگی های متعدد، در دسترس مشتریان قرار گرفته است. دیگر ابزارهای جستجو و تحقیق، بخشی از مجموعه شکار تهدید FireEye Helix و ارائه خدمات امنیتی مدیریت شده می باشند. راهکار SmartVision را میتوان با لایسنس دائمی یا بصورت اشتراک سالانه (براساس توان مگابیت بر ثانیه یا به ازای هر کاربر) خریداری کرد.
لاتک-فناوری لاجورد تکوین-فروش-گارتنر-شناسایی و پاسخدهی به تهدیدات شبکه-سیسکو استیلث واچ-کورلایت-فایرآی-گیگامون-هیلستون-لست لاین-فیدلیس-فروش-راهکار امنیتی
Latech-Gartner-Lastline Defender-Plixer Scrutinizer-Vectra Cognito Detect-Bricata-Flowmon Anomaly Detection System-GREYCORTEX MENDEL-Hillstone Networks-IronNet IronDefense
Gigamon
کمپانی Gigamon با مرکزیت مستقر در ایالت کالیفرنیا، محصول ThreatINSIGHT را براساس فناوری حاصل از خریداری شرکت ICEBRG (در سال 2018)، توسعه داده است. این محصول، از ترکیبی از تکنیک ها برای شناسایی ترافیک مشکوک، از جمله یادگیری ماشین تحت نظارت، نظارت ناپذیر، یادگیری عمیق و امضاها، استفاده می کند. ThreatINSIGHT در کنار یکپارچگی با قابلیت های رمزگشایی SSL Gigamon (یک مؤلفه اختیاری کارگزار بسته شبکه بنام GigaVUE که پرچمدار محصولات گیگامون است)، قادر به تحلیل ترافیک رمزگشایی شده TLS می باشد. این محصول برای تحلیل از JA3 signature ها استفاده کرده و از تکنیک های یادگیری ماشین برای تشخیص الگوهای غیر عادی ارتباط در جریان ترافیک رمزگذاری شده بهره می برد.
در مقایسه با بسیاری از رقبای خود، محصول ThreatINSIGHT دارای یکپارچگی محدودتری با شرکای فناوری برای پاسخگویی خودکار به تهدیدات تشخیص داده شده، می باشد. این محصول باDemisto ، Splunk و Mimecast یکپارچه شده، اما هیچ مشارکتی با فروشندگان فایروال (برای کاهش ترافیک مشکوک) یا فروشندگان NAC (برای جداسازی یک نقطه نهایی به خطر افتاده) ندارد. ویژگی Insight Query Language (IQL) ، به پاسخ دهندگان رخداد امکان می دهد شکار تهدید و پاسخ به رخداد را با جستجو در یک انبار فراداده انجام دهند. محصول ThreatINSIGHT به عنوان سرویس اشتراک در دسترس بوده و قیمت آن متناسب با پهنای باند است. FireEye به عنوان بخشی از این اشتراک، به هر مشتری بدون توجه به اندازه حجم خرید آنها، یک مسئول فنی مجزا تخصیص می دهد.
Latech-Gartner-Market Guide for Network Detection and Response-Network Traffic Analysis-NDR-SIEM-NetFlow-SOAR-EDR-Awake Security Platform-Blue Hexagon-Cisco Stealthwatch-Corelight Sensors-Darktrace Enterprise Immune System-ExtraHop Reveal-Fidelis Cybersecurity Elevate-FireEye SmartVision-Gigamon ThreatINSIGHT
Corelight
کمپانی Corelight با مرکزیت مستقر در ایالت کالیفرنیا، به مشتریان خود (علی الخصوص در آمریکای شمالی و اروپا) در حال خدمات رسانی می باشد. بنیانگذاران این شرکت، ابزار نظارت بر شبکه را تحت عنوان Zeek (Bro سابق) ایجاد کرده و سنسورهای آن را به صورت تجهیزات (فیزیکی و مجازی) بر روی AWS و اخیراً در Azure ، عرضه کرده اند. Corelight از محصول Zeek به عنوان موتور اصلی خود و به عنوان پشتوانه ای برای شناسایی و یکپارچه سازی خوراک سرویس های خارجی هوشمندی تهدیدات استفاده می کند. اساساً Corelight به تحلیل خود از متادیتای ترافیک متکی بوده و همچنین می تواند پرونده ها را برای هدایت آنها به دستگاه های بازرسی پرونده third-party استخراج کند. اگر چه سنسورهای Corelight ، رمزگشایی TLS را انجام نمی دهند اما اخیراً تحلیل ترافیکی رمزگذاری شده را برای SSH (جهت تشخیص تلاش های brute force و ارتباطات تعاملی) و TLS از جمله JA3 fingerprinting و تحلیل Certificate ، اضافه کرده است.
از آنجا که سنسورهای Corelight ، بیشتر خارج از شبکه پیاده سازی می شوند، این محصول توانایی پاسخدهی خود را بر روی یکپارچگی با مجموعه گسترده ای از ابزارهای SIEM و SOAR ، متمرکز کرده است. مشتریانی که به Corelight علاقه مند هستند، تجهیزات سخت افزاری و اشتراک/لایسنس روی آن را بر اساس ظرفیت پهنای باند مورد انتظار سنسورها، خریداری می کنند.
Latech-Gartner-Market Guide for Network Detection and Response-Network Traffic Analysis-NDR-SIEM-NetFlow-SOAR-EDR-Awake Security Platform-Blue Hexagon-Cisco Stealthwatch-Corelight Sensors-Darktrace Enterprise Immune System-ExtraHop Reveal-Fidelis Cybersecurity Elevate-FireEye SmartVision-Gigamon ThreatINSIGHT
راهکارهای قابل ارائه توسط شرکت فناوری لاجورد تکوین (لاتک)
در زمینه شناسایی و پاسخدهی به تهدیدات شبکه
لاتک-فناوری لاجورد تکوین-فروش-گارتنر-شناسایی و پاسخدهی به تهدیدات شبکه-سیسکو استیلث واچ-کورلایت-فایرآی-گیگامون-هیلستون-لست لاین-فیدلیس-فروش-راهکار امنیتی
Cisco Stealthwatch – Darktrace – FireEye – Gigamon – Corelight