
امروزه یکی از اجزای اصلی راهکارهای (CTD (Cyber Threat Defense محصولات جامع امنیتی NDR است که ضمن آنالیز ترافیک شبکه، حملات و نقض سیاستهای امنیتی شبکه تشخیص میدهند. در حال حاضر، اغلب پروتکلهای ارتباطی موجود در شبکه به سمت رمز شدن بیش میرود که این اتفاق معایب و مزایایی برای مدیران شبکه دارد. یکی از مزیتهای آن جلوگیری از سرقت اطلاعات موجود در سطح شبکه میباشد. از طرفی شناسایی اطلاعات و الگوهای مخرب مخفی شده در دادههای رمز را نیز دشوارتر میکند.
ETA یا Encrypted traffic Analysis یکی از ضرورتهای ابزار تحلیل ترافیک جهت شناسایی تهدیدات و اطمینان از امن بودن ارتباطات رمز شده میباشد.
محصول NDR شرکت پیامپرداز با بهره گیری از الگوریتمهای یادگیری ماشین و ابزار SPAN Flow Control تعبیه شده در این سیستم، ترافیک ورودی و خروجی شبکه را به طور کامل و در سطح عمیق پایش میکند.
این ابزار با استفاده از یادگیری ماشین، الگوهای پیچیده ترافیکی و ترافیکهای مشکوک را شناسایی کرده و به کارشناسان شبکه گزارشهای فنی و مدیریتی میدهد. یکی از مهمترین مزیتها و برتریهای این محصول، استفاده از تکنولوژی ETA میباشد که با وجود این توانایی آنالیز و تحلیل ترافیک رمزگذاری شده (Encrypted) ورودی و خروجی شبکه نیز امکانپذیر است.
در صورتی که کلید رمزنگاری ترافیک در اختیار سازمان باشد و سرویسدهنده داخل سازمان ما باشد، میتوان ترافیک ارسالی و دریافتی بر روی سرویسهای داخلی شبکه را با در اختیار داشتن کلید، رمزگشایی نمود. اما برای ترافیکهای رمز شدهای که سرویسدهنده خارج از سازمان قرار دارد و در نتیجه کلید رمزنگاری ارتباط در اختیار سازمان نیست، تنها با تحلیل ترافیک رمز شده می توان، از وجود یک ترافیک مشکوک یا مخرب، آگاه شد. در محصول NDR راوین، با استفاده از تحلیل سرآیند پروتکل امنیتی ارتباطی رمز شده، دادههای مناسب از ترافیک رمز، استخراج و فرآوری گردیده و با استفاده از قابلیتهای یادگیری ماشین و انطباق سنجی، تحلیلهای مختلف بر روی آن دادهها صورت میگیرد.
در هر صورت، ترافیک رمز مبادله شده در سطح شبکهی سازمان نیز مانند ترافیکهای غیر رمز، چه از داخل سازمان به بیرون، چه از خارج به داخل سازمان یا ترافیک داخل به داخل باشد، لازم است تطابق سنجی امنیتی بر روی آن انجام گیرد.
انطباق سنجی سلامت ارتباطات رمز شده
- شناسایی پروتکل اصلی لایهی کاربرد که بر روی پروتکل امن منتقل شده
- شناسایی برنامهی کاربردی خاص که دادهی رمزشده انتقال میدهد
- بررسی امن بودن نسخهی پروتکل مورد استفاده جهت رمزنگاری
- استفاده از الگوریتم رمزنگاری مناسب در ارتباط شبکهای
- استفاده از طول کلید مناسب در رمزنگاری
- استفاده از پروتکل تبادل کلید مناسب
- استفاده از الگوریتم مناسب در احراز هویت
- معتبر بودن گواهیها و عدم انقضای آنها
- شناسایی گواهیهای مشکوک Self-Sign
شناسایی حملات و بدافزارها درون ترافیک رمز شده
- شناسایی تروجانهای فعال بر روی ترافیک رمزشده
- شناسایی شبکههای بات فعال بر روی ترافیک رمزشده
- شناسایی ترافیکهای ناهنجار و غیرمعمول با محتوای رمز شده از ابعاد مختلف
- شناسایی حملات منع سرویس بر روی ترافیک رمز شده
- شناسایی ردپای ابزارهای مخرب با ترکیب اطلاعات الگوریتمهای رمزنگاری، نسخهی آنها، منحنیهای خم بیضوی و توسعه های مختلف آنها از روی ترافیک رمز شده
- یادگیری ویژگیهای رفتاری ارتباطات رمزشده به تفکیک سرویس و پروتکل و دارایی
- اجرای اکسپلویت کدهای مخرب بر روی پروتکلهای امنیتی مانند SSL
- انطباق و شناسایی گواهیهای بدنام و جعلی مورد استفاده در ابزارهای مخرب
- انجام حملهی MITM بر روی ترافیک رمزشده