سیسکو ISE چیست؟

شبکه های enterprise امروزی به سرعت در حال تغییرند، به خصوص زمانی که بحث قابلیت جابجایی موقعیت جغرافیایی کارمندان در آن مطرح است. مدت زمانی است که دیگر، کارمندان به دسکتاپ های خود وابسته نیستند بلکه به جای آن برای دسترسی به منابع سازمان از طریق دستگاه های متنوعی چون تبلت ها، تلفن های هوشمند و لپ تاپ های شخصی به شبکه متصل می شوند. توانایی دسترسی به منابع از هر نقطه، بهره وری را به شدت افزایش  می دهد، اما در کنار آن، احتمال نفوذهای داده ای و تهدیدهای امنیتی نیز افزایش می یابد. چرا که ممکن است وضعیت امنیتِ دستگاه هایی که به شبکه دسترسی دارند را نتوانید کنترل کنید. ردیابی همه دستگاه هایی که به شبکه دسترسی دارند در نوع خود وظیفه بسیار سنگینی است. و هنگامی که نیاز به دسترسی های بیشتر افزایش می یابد، مدیریت آنها، ناپایدارتر خواهد شد.

سیسکو (ISE (Identity Service Engine یک سیستم کنترل دسترسی به شبکه بر اساسِ احراز هویت و اجرای policy است. ادمین شبکه با استفاده از سیسکو ISE به طور مرکزی سیاست های دسترسی را برای endpoint های بی سیم و با سیم می تواند کنترل کند که تحت نام Profiling شناخته می شود. این کنترل بر اساس اطلاعات جمع آوری شده از طریق پیام هایی که توسط پروتکل RADIUS (پروتکلی که بر روی پورت 1821 عمل می کند و مدیریتِ متمرکزِ حساب ها، صدور مجوز و تایید هویت کاربران را برای دسترسی به شبکه فراهم می کند) ، بین دستگاه و نود ISE رد و بدل می شود، صورت می گیرد. پایگاه داده Profiling به صورت منظم به روز می شود تا با آخرین دستگاه ها در ارتباط باشد، به طوری که هیچ کاستی در قابلیت رویت دستگاه وجود نداشته باشد.

اساسا، سیسکو ISE هویت را به یک دستگاه بر اساس کاربر، عملکرد یا ویژگی های دیگر ضمیمه می کند تا پیش از اینکه دستگاه مجاز به دسترسی به شبکه باشد، اجرای Policy و تطابق امنیتی را برایش تدارک ببیند. بر اساس نتایج حاصل از متغیرهای مختلف، یک endpoint زمانی به دسترسی به شبکه مجاز است که مجموعه معینی از قوانین دسترسی، به interface که به آن متصل است، اعمال شده باشد. در غیر این صورت یا بکلی اجازه برقراری اتصال، داده نمی شود یا اینکه دسترسی به صورتِ دسترسی مهمان و بر اساس خط مشیِ معین هر شرکت برقرار می شود.

ISE یک دستگاه خودکارِ اجرای Policy است که سرپرستیِ وظایف روزمره معمول همچون معرفی دستگاه BYOD، معرفی مهمان، تغییرات switchport VLAN برای کاربران نهایی، مدیریت لیست دسترسی و موارد بسیار دیگری را بر عهده می گیرد. بنابراین ادمین شبکه بر روی وظایف مهم دیگری می تواند تمرکز نماید.

مبانی ISE

پلت فرم سیسکو ISE عموما یک استقرارِ توزیع شده از نودها است که از سه جز مختلف ایجاد می شود: نود مدیریت PAN) Policy) ، نود نظارت و عیب یابی (MnT)، و نود سرویس های PSN) Policy) . هر سه نقش در کارکردِ سیسکو ISE مورد نیاز هستند.

نود مدیریت PAN) Policy)

PAN رابطی است که مدیر شبکه به منظور کانفیگ سیاست ها وارد آن می شود. این نود، مرکز کنترل استقرار است. PAN به مدیر شبکه اجازه می دهد که در کلِ توپولوژیِ سیسکو ISE تغییراتی را انجام دهد و این تغییرات از نود ادمین به سمت نودهای سرویس های PSN) Policy) خارج می شود.

نود سرویس های PSN) Policy)

نود PSN جایی است که تصمیمات Policy اتخاذ می شود. این ها نودهایی هستند که دستگاه های شبکه همه پیام های شبکه را به آن ارسال می کنند؛ پیام های RADIUS نمونه ای از آنچه هستند که به PSN فرستاده می شود. پیام ها پردازش می شوند و سپس PSN مجوز یا عدم مجوز دسترسی به شبکه را صادر می کند.

نود مانیتور و عیب یابی (MnT)

نود MnT جایی است که ورود به سیستم (login) انجام و گزارش ها تولید می شود. همه log ها به این نود ارسال می شوند و MnT همه آنها را مرتب می کند بنابراین می تواند آنها را در فرمتی خوانا گرد آورد. همچنین از آن برای تولید گزارش های مختلف استفاده می شود.

سیسکو ISE چگونه کار می کند؟

حالا که می دانیم هر نود چه کاری انجام می دهد، بیایید نگاهی بیاندازیم به چگونگی هماهنگ شدن همه چیز به عنوان یک سیستم کامل. نمودار زیر نشان دهنده منطقِ سیسکو ISE است، چرا که نودها ممکن است میان دستگاه های مختلفی توزیع شده باشد.

شکل 1) مدل ارتباط ISE

شکل بالا از جزوه ی  Cisco Trustsec How-To Guide: ISE Deployment Types and Guidelines آورده شده است. اگر شما استقرار سیسکو ISE را در شبکه در نظر دارید، بهتر است که پیش از پیاده سازی آن،  ISE Design Guides را مطالعه نمایید.

  1. ارتباط از طریق endpoint آغاز می شود. این endpoint می تواند یک لپ تاپ، گوشی هوشمند، تبلت، دوربین امنیتی و سیستم ویدئو کنفرانس باشد. و یا هر چیزی که نیاز به دسترسی به شبکه دارد.
  2. کلاینت باید از طریق یک دستگاه دسترسی به شبکه – یک سوئیچ، یک کنترل کننده شبکه بی سیم یا یک کانکتور VPN – به شبکه متصل شود. اینجا است که اجرای همه policy ها رخ می دهد.
  3. از طریق درخواست 802.1X تقاضای احراز هویت برای endpoint می شود و این درخواست به نود PSN فرستاده می شود.
  4. به PSN از پیش یک کانفیگِ خاص از طرف نود ادمین داده شده است. PSN اسناد هویتی را پردازش می کند (ممکن است برای این، نیاز به پرس و جو از یک پایگاه داده خارجی داشته باشد؛ برای مثال، LDAP یا Active Directory)، و بر اساس تنظیماتِ کانفیگ، PSN برای صدور مجوز تصمیم گیری می کند.
  5. PSN تصمیم را به دستگاه دسترسی به شبکه ارسال می کند تا بتواند تصمیم را اجرا نماید. دستگاه دسترسی به شبکه، برای برقراری این session اقدامات خاصی را انجام می دهد. در این مرحله، با توجه به Policy اقدامات بسیاری می تواند انجام شود، اما چند ویژگی مشترک عبارتند از: لیست های دسترسی پویا، تغییر مجوز (به عنوان مثال برای سوئیچ کردن VLAN ها) و Security Group Tags (بخشی از راهکار Cisco TrustSec).
  6. اکنون بر اساس آنچه که PSN به عنوان مجموعه ای از قوانین فرستاده است، کلاینت می تواند به منابع خاص دسترسی یابد. از سوی دیگر کلاینت ممکن است به صفحه لاگین مهمان فرستاده شود یا به طور کامل از دسترسی اش به شبکه خودداری شود.
  7. همه این پیام ها به عقب بر می گردند و log مربوط به آنها، به نود MnT فرستاده می شود، جایی که نود ادمین آنها را در فرمتی سازمان یافته می تواند مشاهده کند.

زمانبرترین بخش در استقرارِ ISE ،تعیین سیاست های شما را برای مجوزدهی است.

پشتیبانی از چندین سناریوی استقرار

سیسکو ISE در سراسر زیرساخت های یک سازمان enterprise می تواند مستقر شود. معماری سیسکو ISE از هر دو استقرارِ standalone و distributed (که به عنوان HA یا redundant شناخته می شوند) پشتیبانی می کند جایی که یک ماشین به عنوان primary role و ماشینِ backup به عنوان secondary role فرض می شود.

فواید سیسکو ISE برای شما

سیسکو ISE رویکردی جامع را برای برقراری امنیت در دسترسی به شبکه در اختیارتان می گذارد. شما مزایای بسیاری را با استقرار سیسکو ISE در شبکه در اختیار خواهید داشت:

محیط کاری امن و دسترسی مبتنی بر شرایط بر اساس سیاست گذاری شرکت شما. ISE با دستگاه های شبکه کار می کند تا هویتی همه جانبه را با مشخصه هایی مانند کاربر، زمان، مکان، تهدید، آسیب پذیری و نوع دسترسی ایجاد کند. این هویت را می توان برای اجرای سیاست های دسترسیِ ایمن استفاده نمود. مدیران فناوری اطلاعات می توانند کنترل های دقیقی را اعمال کنند که چه کسی، چه چیزی، در چه زمانی، چه مکانی و چگونه به شبکه دسترسی یابند. ISE از مکانیزم های متعددی برای اجرای policy ها استفاده می کند، از جمله Cisco TrustSec software-defined segmentation. گروه های امنیتیِ سیسکو TrustSec بر اساس قوانین کسب و کار عمل می کنند، و نه آدرس های IP یا سلسله مراتب شبکه. این گروه های امنیتی به کاربران اجازه دسترسی به شبکه را می دهند به طوری که این دسترسی همواره به هنگام جابجایی منابع در سراسر domain ها، حفظ می شود. و در نتیجه مدیریت سوئیچ، روتر و قوانین فایروال ساده تر خواهد شد.

تسهیل قابلیت رویت شبکه از طریق رابط کاربری ساده و انعطاف پذیر. سیسکو ISE یک تاریخچه‌ی کامل از مشخصه های همه‌ی endpoint ها را ذخیره می کند، یعنی endpoint هایی که به شبکه متصل می شوند همچون کاربران (از جمله انواعِ مهمان، کارمند و پیمانکار).

اعمال سیاست های فراگیر که قوانین دسترسیِ انعطاف پذیر و آسانی را تعیین می کند. همه دستگاه ها از طریقِ یک مکان مرکزی کنترل می شوند که قوانین را درسراسر شبکه و زیرساخت های امنیتی توزیع می کند. مدیران فناوری اطلاعات می توانند به طور مرکزی یک policy را تعریف کنند که مهمان را از کاربران و دستگاه های ثبت شده متمایز سازد. صرف نظر از موقعیت آنها، کاربران و endpoint ها بر اساس role و policy مجاز به دسترسی هستند.

تجربه ای قابل اعتماد برای Guest که چندین سطح از دسترسی به شبکه ی شما را فراهم می کند. شما می توانید دسترسی مهمان را از طریق سه نوعِ دسترسی hotspot (دسترسی به شبکه بدون نیاز به تایید صلاحیت)، دسترسی Self-Registered (مهمان ها می توانند اکانت های شخصی معتبری را ایجاد کنند و ممکن است به تایید اسپانسر پیش از دسترسی به شبکه نیاز داشته باشند) یا دسترسی Sponsored (دسترسی به شبکه از طریق اسپانسری واگذار شده که یک اکانت برای مهمان ایجاد کرده است) برقرار سازید. سیسکو ISE ، قابلیت شخصی سازی پورتال های متنوعی را برای guest در اختیار شما قرار می دهد.

لایسنس در ISE

در شکل 2 چهار لایسنس برای سیسکو ISE دیده می شود. شما می توانید بر اساس ویژگی هایی که به آنها نیازمندید، تعداد و ترکیب های مختلفی از لایسنس را انتخاب نمایید.

شکل 2) پکیج های لایسنس در سیسکو ISE

پنج نشانه : چک لیست امنیت شبکه

شبکه های جدید به سرعت در حال رشد هستند. این شبکه ها شاخه های متعدد، کاربران موبایل، رایانش ابری و مراکز داده را به هم متصل می کنند. Mobility، اینترنت اشیا (IOT) ، دسترسی BYOD  1 و خدمات ابری برای رشد کسب و کارها حیاتی هستند. این پیچیدگی برقراری امنیت شبکه را سخت خواهد کرد. سازمان های بسیاری حتی نمی دانند که چه زمانی و از کجا باید شروع کنند تا سیستم دفاعی شبکه خود را تقویت نمایند.

1) شبکه شما در حال رشد است

دستگاهای متصل به هم مزیت های بسیاری دارند اما این مسئله منجر به ایجاد سربار دستگاه خواهد شد که می تواند امنیت شبکه را تهدید کند. شما تجربه ی مواجهه با سربار را زمانی دارید که نمی توانید مشخص کنید که کدام دستگاه ها با شبکه شما سروکار دارند یا نمی توانید سطوح دسترسی آنها  به شبکه و داده های حساس را مدیریت کنید.

مدیریت تعداد زیادی از endpoint ها visibility را پنهان می کند، شناسایی تهدیدها را سخت تر می کند، حوزه حملات را گسترده تر می کند و آسیب پذیری های نهان بیشتری را وارد می کند. مهاجمان از هر وسیله ممکنی برای دستیابی به شبکه شما استفاده می کنند. تعداد روزافزون دستگاه ها دعوتی را برای ورود به شبکه شما به آنها تقدیم می کند.

2) شما گمان می کنید که به شبکه شما نفوذ شده است اما قابل رویت نیست

حملات از لحاظ تناوب و شدت رو به افزایش اند. چگونه از وجود یک تهدید درون شبکه خود آگاه می شوید؟ اگر فکر می کنید که تهدیدی وجود دارد شانس با شماست چرا که گمانی درست است. تهدیدهای پیشرفته می توانند به شبکه شما نفوذ کنند و برای ماه ها یا حتی سال ها در آنجا حضور داشته باشند بدون اینکه شناسایی شوند. در این زمان آزادند تا داده حیاتی شما و بهترین روش برای استخراج آن را بیابند بدون اینکه شما از آن آگاه باشید.

شما نیاز دارید که تمام ترافیک شبکه را از نظر بگذرانید و رفتار مشکوک را شناسایی و اصلاح کنید، پیش از آنکه به نفوذی کامل تبدیل شود. نبود visibility مرزی است بین حادثه نزدیکی که به وقوع نپیوسته است و حمله ای زیانبار.

3) زیرساخت های شما خیلی قدیمی یا خیلی جدید هستند

زیرساخت های کهنه نشانه ای است مبنی بر این که شبکه شما به اندازه ای ایمن نیست که می تواند باشد. عدم کانفیگ های درست، سیاست های قدیمی و نرم افزارها و سیستم عامل های منسوخ شده، تنها بخشی از راه هایی است که ابزار قدیمی شبکه به واسطه آنها می تواند احتمال حمله را به حمله برساند.

از طرفی دیگر، اگر شما اخیرا شبکه خود را بهبود داده باشید یا برنامه ای برای انجام آن داشته باشید، اکنون زمان مناسبی برای اطمینان از کانفیگ شبکه شماست. به گونه ای که به شما اجازه بررسی همه کاربران و دستگاه هایی را دهد که به آن ضربه ای وارد می کنند. بر رفتارشان به طور پیوسته نظارت کنید و با کارآمدی دسترسی های آنها را مدیریت کنید. علاوه بر این، دستگاه های جدیدی که افزوده اید هزاران درب را برای مهاجمان باز می کنند.

4) در محیط های فاقد بخش بندی کنترل شبکه را از دست می دهید

شبکه فاقد بخش بندی به معنای دسترسی بدون محدودیت به شبکه است. مهندسان به سوابق مالی می توانند دست یابند، کارمندان ناراضی می توانند به اطلاعات خصوصی دسترسی پیدا کنند و به پیمان کاران شخص ثالث دسترسی کامل به سیستم می تواند اعطا شود. چنین محیط هایی نگرانی های بسیاری را از دیدگاه حفاظت از حق مالکیت،  و امنیت شبکه ایجاد می کنند.

بخش بندی شبکه lateral movement از تهدیدها را در سراسر شبکه شما محدود می کند و دسترسی به داده های حساس را کنترل می کند. اما رویکردهای بخش بندی سنتی از لحاظ عملیاتی پیچیده اند و زمان بسیاری را برای پیاده سازی و به روز رسانی صرف می کنند. چیزی که شما به آن نیاز دارید این توانایی است که شبکه خود را ارتقا دهید و فواید بخش بندی را بدون دردسرهایش درو کنید. در غیر این صورت یک نفوذ ساده می تواند کل شبکه شما را در معرض دید قرار دهد.

5)  شما نمی توانید تشخیص دهید که سیاست هایتان نقض شده اند یا خیر

آیا مدیر ارشد مالی از طریق گوشی هوشمند خود باید بتواند به داده های مالی دسترسی یابد؟ در ساعت 3:30 صبح؟ از چین؟ در حالی که مدیر مالی شما در تگزاس زندگی می کند؟

شناسایی نقض سیاست به معنای شناسایی تلاش هایی است که برای دسترسی به داده حساس و حوزه های کنترل شده از شبکه انجام می شود. هنگامی که شبکه رشد می کند، مدیریت سیاست ها بیشتر و بیشتر دشوار، پر هزینه و پرمخاطره خواهد شد. دستیابی به هشدارهایی دقیق  برای نقض سیاست ها و فهم اینکه چه موجودیتی با داده حساس در ارتباط است، بدون کنترل دسترسی متمرکز تقریبا ناممکن خواهد بود. یک روال عدم پذیرش دسترسی چه باید باشد هنگامی که گوشی هوشمند مدیر ارشد مالی از چین با سیستم در ارتباط است در حالی که می تواند منجر به نفوذ ناگزیر بعدی شود.

 

آیا می دانید؟                                                       

 

  • سطح حملات رشد خواهد کرد: تا سال 2020، 26 میلیارد دستگاه ها و اتصالات شبکه شده وجود خواهد داشت و 2 میلیارد دستگاه های BYOD تا سال 2020 در محل کارها حضور خواهند داشت.
  • یافتن تهدیدها سخت تر خواهد شد: میانگین زمان صنعتی شناسایی نفوذ 191 روز است.
  • تهدیدها اجتناب ناپذیر و پر هزینه خواهند بود: یک شرکت از هر چهار شرکت نفوذ عمده ای را تجربه خواهند کرد، که به طور میانگین به هزینه ای برابر با 62 میلیون دلار آمریکا خواهند رسید و 60 درصد از کسب و کارهای دیجیتال به دلیل ناتوانی در مدیریت خطرات دیجیتالی به شکست های عمده ای در خدمات تن می دهند.

 

 

منبع : سیسکو

پنج رهنمود برای انتخاب یک فایروال Next-Generation

آیا فایروال شما می تواند بدون حرف و حدیثی حفاظتی پیشرفته در برابر تهدید را به همراه مدیریتی ساده شده در اختیارتان قرار دهد؟ برای انتخابی بهتر در جستجوی پاسخ به نیازهای خود باشید.

 

برای مشاهده تصویر با کیفیت بیشتر آن را در برگه ای جدید باز کنید

فایروال Threat-Focused NGFW – قسمت دوم

این مقاله بخش دوم از سری مقاله های مربوط به threat-focused NGFW است. بخش اول آن را در اینجا مشاهده کنید.

 به درون threat-focused NGFW قدم گذارید

فایروال threat-focused NGFW سیسکو چه چیزی را به گونه ای متفاوت انجام می دهد؟ در اینجا به مقایسه مشهورترین سیستم های NGFW موجود در بازار (NGFW معمولی) با سیستم Threat-Focused NGFW) FirPower NGFW) می پردازیم.

یکی از NGFW های معمولی را در نظر بگیرید، این سیستم ها برای مدیرانی طراحی شده است که تمرکزشان بر روی شبکه است، مدیرانی که به visibility بیشتری در سیاست های خود نیاز دارند و سطوح مجوزدهی عمیق تری را می خواهند. سیاست های معمول، در محاصره ی خطر همیشگی تهدیدات هستند بنابراین مدیریت سیاست ها که در واقع تاثیر مهمی بر حفاظت دارد بسیار دشوار خواهد بود. فاکتور محدودکننده ی موجود در NGFW استاندارد عبارت است از اینکه این NGFW معمولی تنها  می تواند به دقت، مجوز یا عدم مجوزها را بر چیزهایی که درک خواهد کرد، اعمال کند. نمونه کلاسیک آن فایروالی است که اثر IDS/IPS را در مسیر بسته به کار می برد تا چیزی را که درک کرده است، شناسایی کند و کنشی انجام دهد (رویدادی خروجی که دیده شده و اطلاعاتی اولیه درباره کسی و چیزی که این عمل را انجام داده است).

در مقابل، یک فایروال Threat-Focused NGFW سیسکو به گونه ای دیگر به اطراف می نگرد، اساس آن، مجموعه ای از ابزارهای شناسایی است که هم تکنولوژی های signature-based 1 و هم signature-less را به کار می برند تا داوری هایی را بر روی جریان های داده، فایل ها و بیت های دیگری از اطلاعات انجام دهند. این چه مقدار به هوشمندی تعبیه شده در ابزارهای داوری بستگی دارد؟ ، علاوه بر شناسایی و طبقه بندی رویدادهای point-in-time همانطور که بسیاری از فروشندگان آن را انجام می دهند، شناسایی در پس event horizon نیز یکی از مهمترین تفاوت های Firepower NGFW سیسکو است.

شکل 1) این تصویر نمایانگر مفهوم افق رویداد است در جهت متوقف نمودن بدافزارها

شکل 2) تحلیل Point-int-time که توسط هر NGFW  که شما خریداری می کنید، استفاده می شود.

اگر برای داده ای وضعیت “پاک (بی خطر)” صادر شده باشد، یک NGFW معمولی برای بررسی یا تعقیب آن داده، تلاش بیشتری نمی کند زیرا پیش از این وضعیت “پاک” صادر شده است و از آنجایی که تداوم در تحت نظر داشتن همه چیز، توان زیادی مصرف می کند، اکثرفروشندگان NGFW تمایلی به تخصیص کارایی بهتر Packet-in/Packett-out ندارند. به یاد دارید، همان طور که پیشتر گفتیم NGFW ها برای فروختن به مدیران شبکه ساخته شده اند؟ ما انتظار داریم که روترها بسته ها را با حداکثر سرعت ممکن انتقال دهند، همین است که NGFW استاندارد تمرکز معمول در ارزیابی را بر سرعت، سادگی و هزینه می گذارد.

تحلیل مستمر

برای اینکه بتوانید از شبکه خود در برابر تهدیدهای جدید دفاع و محافظت کنید، سرعت فدای این امر خواهد شد.

من نمی خواهم بگویم که شما کارایی خوبی نمی توانید داشته باشید تنها مسئله این است که سرعت packet-in/packet-out برابر نیست به خصوص بیشتر حملات پیشرفته ای که ما امروزه می بینیم سریعا به عنوان بدافزار شناخته نمی شوند و در بیشتر مواقع این بدافزارها برای اولین بار استفاده شده اند. امنیت به معنای شناسایی، درک و توقف تهدیدهاست. شما با استفاده از برقراریِ visibility (قابلیت رویت) می توانید محتوا را درک کنید و برای تشخیص یک تهدید، هوشمندی گردآوری شده ای را اعمال کنید. حرکت کردن در پس event horizon از مفهوم شناخته شده ای به نام “تحلیل مستمر” استفاده می کند تا نظارت بر فعالیت فایل هایی که از ارزیابی اولیه گذشته اند و به آنها یک وضعیت ناشناخته یا پاک نسبت داده شده است، ادامه یابد. یک سیستم متمرکز بر تهدید (Threat-focused) به هنگام رویارویی با بدافزارهای جدید به خصوص zero-day (بدافزاری یک بار مصرف که تغییرات کارکردی ناشناخته ای دارد)، با نگاهی به گذشته می تواند عملکردهایی مثل lateral movement ، تکنیک های sleep، پلی مورفیسم (چند شکلی)، رمزگذاری یا حتی پروتکل های ناشناخته را ارزیابی و شناسایی کند. به وسیله این تشخیص جدید، حکمی بر مخرب جدید می تواند صادر شود و با نگاه به گذشته اقدامات بیشتری به طور اتوماتیک می توانند اتفاق بیافتند.

شکل 3) تحلیل مستمر ، در پس افق رویداد که تنها توسط فایروال های متمرکز بر تهدید سیسکو استفاده می شوند.

اگر تهدیدی با گذشته نگری یا بی درنگ شناخته شود، اجرایی خودکار و با اطمینانی بسیار بالا یا “امنیت تطبیق پذیر” برای توقف تهدید استفاده شده است. به منظور رسیدن به این هدف، سیستم باید بتواند هر آنچه که دیده می شود را ثبت کند تا قابلیت مستمری را برای شناسایی تهدیدها در ساعت ها، روزها یا حتی هفته های آتی داشته باشد. visibility، زمینه و ویژگی حامیان تهدید، تهدید و هدف از تهدید باید بخشی از فرآیندی واحد بر روی سیستم ها باشند تا موثر واقع شود ، نه به صورت مجزا. این چیزی است که فایروال های تهدید محور (firepower Threat-centric) برای اجرایش ساخته شده اند.

در ادامه نگاهی می اندازیم به نمونه ای از آنچه که در روند یک جریان تحلیل مستمر درون مرکز مدیریت firepower (فایروال های firepower را مدیریت می کند) رخ می دهد. فایلی که توسط یک کاربر از طریق مرورگرش دانلود شده بود و در آغاز وضعیت “ناشناخته” در point-in-time به آن داده می شود و تشخیص نمی دهد که این فایل شامل یک تهدید day-zero (که پیش از این هیچ گاه دیده نشده است) است. به یاد داشته باشید که اینها در محیطی انجام شده که هیچ نرم افزار client agent اضافی نصب نشده است تا جزییاتی را برای سیستم فراهم کند. در آینده شما ارزش افزودن یک AMP host agent اختیاری در فرآیند را خواهید دید.

شکل 4) نمایش مسیر حرکت در مرکز مدیریت firepower

شکل 5) مسیر حرکت مربوط به فایل اصلی دانلود شده توسط توسط فایرفاکس را نشان می دهد

شکل 6) مسیر حرکت، فایلی که از طریق مرورگر کپی شده را نشان می دهد

شکل 7) در اینجا نیز کپی دیگری از فایل گرفته شده است، این بار توسط اپلیکیشن SMB

شکل 8) دوباره از طریق پروتکل SMB در سیستم چهارم کپی می شود

شکل 9) با استفاده از هوشمندی گردآوری شده در برابر تهدید (Talos)، هفت ساعت پس از اولین دانلود به عنوان فایلی مخرب شناسایی می شود. (یک تهدید zero-day)

شکل 10) در دستگاه دوم AMP برای endpoint ها به اجرا در می آید و به صورت اتوماتیک بدافزار را قرنطینه می کند. سه دستگاه دیگر AMP را برای endpoint ها اجرا نکردند اما به طور اتوماتیک بخشی از میدان تهدید هستند و همه فعالیت های آنها کاملا ثبت می شود

شکل 11) مرکز مدیریت firepower  به طور خودکار سیاست را تغییر می دهد تا از عبور دوباره این بدافزار در enterprise شما جلوگیری کند، و به طور اتوماتیک میدان تهدید را تعریف کرده، patient-zero را شناسایی کرده و بقیه جزییات مورد نیاز که می تواند توسط شاغلان استفاده شود، را فراهم می کند

از آنجایی که اطلاعات همواره ردیابی می شود، وجود این قابلیت رویت مستمر (continuous visibility) محدوده و میدان تهدید، تحلیل اثر و پاسخگویی رویداد بعلاوه ی همه روابط سلسه مراتبی برای patient-zero و … را به طور خودکار فراهم می کند (همه فعالیت ها و اطلاعاتی که برای شاغلان مفید است). با توجه به زمینه و قابلیت رویت این عملکردها، یک سیستم اتوماسیون امنیتی با قابلیت اطمینان بالا برای فرآیندها در دسترس است (با قابلیت خودتنظیمی سیاست ها و عملیات ها- فراهم کردن کنترل های outbreak، تخصیص ها، و روابط والد-فرزندی به طور خودکار). در حالی که همه NGFW های معمولی کاملا در برابر آنچه اتفاق می افتد، ناآگاه هستند و قادر نیستند که چنین عملیاتی را انجام دهند.

فایروال Threat-Focused NGFW سیسکو – قسمت اول

هوشیاری غیر منتظره

در ابتدا با برخی مفاهیم در غالب یک داستان شروع می کنیم.
من در قسمت بدی از شهر زندگی می کنم و همیشه نگران هستم که ماشینم دزدیده شود یا اینکه آسیب ببیند. بنابراین بیش از هزار دلار برای سیستم امنیتی (دزدگیر) ماشین سرمایه گذاری کردم. یکی از آن سیستم های فوق پیشرفته که به اپلیکیشنی بر روی گوشی هوشمند متصل است، شامل کلید اطفای حریق، ردیاب ماشین، دوربین ها و تشخیص حرکت می شود به اضافه ی همه ویژگی های متداولی که شما انتظار دارید.

اگر کسی بدون کلید من وارد ماشین شود به تلفن من زنگ خواهد زد و حتی تصاویری از درون ماشین می گیرد. در نتیجه هنگامی که ماشینم را در خیابان پارک می کردم، احساس خیلی بهتری داشتم. شرکتی که به من آن سیستم را فروخته بود موجب شد من احساس کنم که ماشینم غیرقابل سرقت است و حتی اگر دزدیده شود، من تصاویری را از دزد ماشین دارم و او را به راحتی می توانم بیایم، این عالی است. احساس می کنم که از من محافظت شده است و اکنون شب را به راحتی می توانم سپری کنم.
یک روز صبح، بیرون رفتم و با منظره شگفت آوری روبرو شدم، ماشین نبود… سنسور ضربه و سیم هایش بریده شده و بر روی زمین، جایی که پیش از این ماشین قرار داشت افتاده بود. یادم می آید پیش از اینکه به انجام کاری فکر کنم، یک دقیقه کامل با دهانی باز آنجا ایستادم. گوشی خود را بررسی کردم هیچ تماسی نبود. به app نگاهی انداختم اما هیچ خبری از تصاویر یا تشخیص حرکت داخلی نبود.

همه چیز نرمال به نظر می رسید. لعنت!! چطور این اتفاق افتاد؟ شرکت فروشنده ی زنگ خطر، به من تضمین داده بود که چنین چیزی غیرممکن است. آنها معروف ترین سیستم در بازار هستند – اقبال همه به این محصولات زیاد است. آن محصولات بهترین ویژگی های جدید را دارا هستند و هیچ همچون آنها امنیت خودرو را تامین نکرده است. و من برترین مدل آنها، تنها سیستم ورود بیومتریک موجود، با انواع آلارم ها و زنگ ها را خریده بودم. شگفت آور بود!! چطور این اتفاق افتاد؟
من برای گزارش واقعه با پلیس تماس گرفتم تا در صورت امکان با استفاده از ردیاب ماشین گمشده ام را پیدا کنم اما فهمیدیم که ردیاب به اتصالی نیاز دارد که موجود نیست. App بی استفاده بود مگر اینکه چیزی آن را فعال می کرد و شرکت فروشنده کمک بیشتری نکرد. آنها گفتند: “به نظر می رسد که کسی واقعا ماشین شما را می خواست”. این داستان طولانی را کوتاه می کنم، ماشین 26 روز بعد سوخته و بی دیواره در مکزیک پیدا شد.

امنیت به سادگی به دست نمی آید

نتیجه این داستان دو چیز است. یک اینکه چنین چیزی با عنوان امنیت ساده در هر قیمتی وجود ندارد. به محض اینکه شما فکر می کنید که امنیتی به دست آورده اید، به طور غیرقابل باوری اتفاقی رخ می دهد. دوم اینکه هیچ حجمی از پیشگیری یا تشخیص نمی تواند بر انگیزه ها و نبوغ انسان غلبه کند. می دانیم که حمله کنندگان امروزی نوآوری های تکنولوژی کل صنعت را در دستان خود دارند (نبوغ نامحدود است). حمله کنندگان هر سال بیلیون ها دلار با سرقت اطلاعات ما به دست می آورند. چه انگیزه ای بهتر از پول است.
اما چرا این زمان را برای داستانی درمورد ماشین دزدیده شده ی من گذاشتیم؟ ساده است؛ این داستان نکته بسیار مهمی را نشان می دهد. آن سیستم امنیت خودرو uber-cool همانند بسیاری از محصولات امروزی فایروال NGFW، کار بزرگی را برای ایجاد احساس امنیتی محلی انجام می دهد. اگر فکر می کنید که تا به حال نفوذ به اطلاعات شما رخ نداده است، حقیقت این است که شما تاکنون آن را نیافته اید. مطمئن هستم هنگامی که بسته های جدید و پر زرق و برق فایروال را نصب می کنید و همه ی آن وعده ها را در اختیار دارید که کار با آنها به سادگی از طریق checkbox قابل انجام است، احساس بسیار خوبی دارید.
اگر فکر می کنید که یک فایروال NGFW با برخی ویژگی های پیشرفته از جمله شناسایی اپلیکیشن ها و کاربرها، دسته بندی URL ها و انجام برخی موارد پیشگیری از نفوذ، حمله کنندگان را از سرقت اطلاعات شما یا وضعیتی بدتر از آن باز می دارد، در نتیجه این محصولات کاملا برای شما ساخته شده اند. خیلی از مواقع فایروال NGFW های معمولی حتی به شما نخواهند گفت که چه چیزی رخ داده است چون برای این که از همه چیز آگاه باشد ساخته نشده است.
بی خبری سعادت است ؟
نه.
سعادت حافظت واقعی است. فروشندگان فایروال NGFW حیاتشان را بر روی ترس شما بنا می کنند و در همان لحظه به شما می گویند: “کسب امنیت آسان است”، ما از شما در برابر ناشناخته ها محافظت می کنیم و همه کاری که باید انجام دهید، نصب این باکس است، این لایسنس ها را بخرید و بر روی checkbox کلیک کنید. کسب محافظت واقعی آسان نیست. این محافظت هرگز انجام نشده است و نخواهد شد. اگر چنین بود، ما جنگ را در برابر حامیان تهدید برده بودیم، اما چنین نیست.
شما چه مسئول حفاظت از مدارک پزشکی، داده های مالی، اطلاعات طبقه بندی شده یا غیر از اینها باشید، حفاظت مسئولیت نهایی شماست. داده های شخصی من (و شما) بر روی شبکه شما هم هست و همراه با نفوذ در داده های شما دزدیده خواهد شد. گزارشی از اخبار جدید نشان می دهد که مشخصات شخصی من کمتر از 1 دلار آمریکا می ارزد و بیشتر داده های فروخته شده روی dark web دارای تضمین برگشت پول هستند.

آیا شما محافظت شده اید (و آماده اید)؟

چگونه به راهکارهای خود اعتماد دارید؟ چه مکانیزم هایی برای پیشگیری و قابلیت رویت در محل وجود دارد؟ آیا طرحی برای پاسخگویی به رویداد دارید؟ زمانی که نفوذ رخ می دهد، چه مدتی طول می کشد تا سازمان شما فعالیت پاسخگویی به رویداد را آماده و اجرا کند؟ آمارهای امروزه در صنعت کاملا شما را شگفت زده خواهند کرد. به طور عجیبی مضمون “بی خبری سعادت است” فراگیر شده است. شرکت ها شانس خود را بر روی ذخیره سازی و محاسبات می گذارند و تا حد امکان هزینه کمی برای امنیت داده صرف می شود. حمله کنندگان بر روی این عوامل حساب می کنند. در حقیقت چنین چیزی به عنوان “امنیت ارزان” وجود ندارد.
زمانی که چیزی اتفاق می افتد، سعادت واقعی توانایی درک کامل این است که چگونه، چرا، به وسیله چه کسی و دقیقا چه چیزی اتفاق افتاده است. مواردی نظیر شناسایی گستره نفوذ، میدان عمل و توانایی تضمین پیشگیری سریع، حیاتی هستند. اینها کمک می کنند که شب را به راحتی سپری کنید.
آماری وجود دارد که مدعی است بیشتر تهدیدها پیش از اینکه تشخیص داده شوند به طور میانگین 229 روز بر روی شبکه موجود بودند. چه مقداری از اکتشاف، توسعه و فشرده سازی وجود دارد که به چنین زمان زیادی برای تشخیص تهدید بر روی منابع ارزشمند شما نیاز است؟
در اینجا ما به مسئله اصلی رسیدیم. به وضوح اکثر مردم آماده نیستند، برخی حتی انکار می کنند. داشتن فایروال NGFW در لایه edge، برخی ابزارهای خوب برای واقعه نگاری و جرم شناسی، شاید SIEM و یک محصول endpoint که حداقل حفاظت AV را دارد، چیزهای هستند که خیال اکثر مردم را آسوده می کند زیرا کاری که می توانستند را انجام داده اند. بیایید فرض کنیم که این معیاری است و از آن جهت اثر می کند.

فراتر از سیاستی صرف

چشم انداز مرزهایی که فایروال ها پیش از این در آن برجسته بودند، در طول سال ها به طور چشم گیری تغییر کرده است. خود مرز به علت تغییر مفهوم کار از لحاظ مکانی و موضوعی ناپدید شده است (شما ممکن است در هرمکانی باشید). هر مکانی که در آن و هر وسیله ای که با آن میتوانیم کار کنیم باید به عنوان مسیرهایی برای حمله در نظر گرفته شود.
بنابراین چرا فایروال Threat-Focused NGFW سیسکو با ارزش به نظر می رسد؟ در مقایسه با فایروال threat-focused ، NGFW در حقیقت تنها درصد کمی از چیزی است که واقعا برای محافظت از شما انجام می شود. صنعت، فایروال NGFW را به عنوان بسته ای واحد تعریف می کند که ساختارهای سیاستی پیشرفته ای را مبتنی بر فایروال های از نوع stateful، قابلیت رویت و کنترل اپلیکیشن، کنترل های مبتنی بر کاربر، امنیت محتوای وب یا برخی از URL ها و سیستم پیشگیری از نفوذ، فراهم می کند.
این برای دستگاه کنترل دسترسی مبتنی بر سیاست بسیار ساده به نظر می رسد. فایروال NGFW یا UTM به واسطه اعطای مجوز/ممنوعیت مبتنی بر هر ترکیبی از عناصر گفته شده در بالا، عمقی را برای سیاست گذاری فراهم می کند. مهم نیست که شما چگونه به آن می نگرید، مجوز/ممنوعیت، بدون توجه به عمق سیاست گذاری و هوشمندی، هنوز هم یک تصمیم گیری دوگانه است. تصویب کنید که چه چیزی باید مجاز شمرده شود و چه چیزی باید ممنوع شود؛ قطعا علم در اینجا به سرعت اوج نمی گیرد (نیاز به درگیری شما در آن وجود دارد). اکثر فروشندگان بازرسی ها و تصمیمات سیاست گذاری حاصله خود را به محصولات دیگری همچون sandboxing 1 یا Threat Intelligence 2 پیوند می دهند تا محتوایی اضافی را درباره داده های واقعی دیده شده فراهم کنند، به این منظور که تصمیم گیری دوگانه دقیق تری داشته باشند.
از دیدگاه شاغلان امنیت، سیاست ها قطعا بخشی از راهکار امنیتی است، اما این نقطه تقریبا جایی است که شاغلان کارشان را از سر می گیرند و آغاز می کنند. دستیابی به درک عمیقی از شاخص های عملکردی درون جریان ها و داده ها (حتی در ارتباطات ترکیبی)، فعالیت های ناهنجار endpoint، ناهنجاری های نوسانی پیش از اعلان به عنوان تهدید، کنترل های رویداد، مدیریت آسیب پذیری ها، کنترل های شیوع یا نفوذ و ترمیم، تنها چند چیزی هستند که برای شاغلان به عنوان “داشته های ضروری” در نظر گرفته شده اند. اجازه دهید که واقعه نگاری، گزارش گیری، جرم شناسی و ابزار correlation را فراموش نکنیم که به کارشناس امکان مدیریت همه ی این چیزها را می دهد. اینها به همان اندازه ی سیستم های فراهم کننده داده حیاتی هستند.
از آنجایی که بسیاری از سازمان ها رویکرد “بهترین نوع” را پیاده سازی می کنند، شاغلان به سرعت به کسی می توانند تبدیل شوند که از لحاظ ابزاری قوی اما از لحاظ اطلاعاتی ضعیف هستند و قطعا به تشخیص سریع و نابودی انواع تهدیدهای دیده شده ی امروزی توجه نمی کنند. این دلیلی بالقوه بر وجود میانگین 229 روز زمان تشخیص است. در این هنگام است که فایروال Threat-Focused NGFW سیسکو واقعا می تواند کمک کند.
فاکتور دیگریِ که به نظر می رسد مکررا توسط فایروال NGFW نادیده گرفته می شود این است که واقعا تا چه حدی مقصد حمله شناخته می شود. چگونه کسی بداند که چه چیزی در خطر است مگر اینکه شما مجموعه ای از agent ها را روی هر کلاینت (window، Mac، Linux، iOS، Android و …) اجرا کنید؟ برای مثال، آیا من یک کلاینت AV، یک Anti-Malware agent، یک ردیاب فرآیند و … را روی هر کلاینتی اجرا می کنم؟ در حالی که ممکن است این از دیدگاه visibility مطلوب باشد، فرسودگی agent از جمله نتایج حاصله از آن است و هر OS نمی تواند در سطحی یکسان پوشش داده شود، هر فروشنده محدودیت های خودش را برای پشتیبانی از کلاینت دارد. صرف نظر از پیشینه، واقعیت این است که دستیابی به فهم عمیق از مقصد تنها راهی است که داده تولید شده می تواند از همه ابزارها با سطح بالایی از قابلیت اطمینان استفاده کند. این مسئله به کارکنان اجازه می دهد که بر روی رویدادهایی تمرکز کنند که صحتشان تایید شده است و به آنها توانایی اولویت دهی به تلاش ها و فعالیت هایشان را بر طبق بزرگترین خطرات می دهد. Noise، دشمن آن حفاظتی است که قابلیتی برای تشخیص هوشمندانه خطر و تاثیرش ندارد. Noise رویدادی طبیعی بود و منجربه ابهام می شد که چه رویدادهایی از هزاران رویداد نیاز به بررسی دارند یا مورد سوظن اصلی هستند. بنابراین وجود سیستمی که می تواند به طور صحیحی خطرات را ارزیابی کند،بازدارنگی پویا داشته باشد و مبتنی بر آنچه که در حال وقوع است در سیاست گذاری اصلاحاتی را ایجاد کند، سعادتی کامل است.
در قسمت دوم، تعریفی ازفایروال Threat-Focused NGFW سیسکو ، یک قایروال NGFW یکپارچه شده با دفاع در برابر تهدیدها ارائه خواهد شد.

نویسنده: مایک استورم

بررسی فایروال­ ASA with FirePOWER

در شرایط امروزی امنیت سایبری، شرکت ها نمی ­توانند از عهده واکنش به نفوذی که خطر آسیبی جبران ­ناپذیر را به همراه دارد، برآیند. برای پاسخگویی به افزایش فزاینده خطرات، فایروال های Next Generation اقدامات امنیتی پایه­ ای را برای جلوگیری از حملات بر شبکه ­های سازمان دنبال می­ کنند. سرویس­ های Cisco ASA with FirePOWER فایروال­های threat-focused NGFW را ارائه می ­دهند که مورد پذیرش مارکت هستند و از سیستم دفاع تایید شده ای برای محافظت شبکه­ ها برخوردارند.

سرویس­ های ASA with FirePOWER قابلیت­های فایروال­ سری ASA 5500-X را با مانیتورینگ مستمر و محافظت توسعه می­ دهد. این محصولات سیستم دفاع یکپارچه ای را برای زنجیره سراسری از حملات – پیش از حمله، در طول آن و پس از آن– به وسیله­ ی ادغام قابلیت­ های امنیتی فایروال ASA سیسکو با تکنولوژی Sourcefire و ویژگی محافظت پیشرفته در برابر بدافزار 1 در یک دستگاه واحد، ارائه می­ دهد.

در فوریه 2016، سیسکو محصول فایروال جدیدی را با هدف تغییر در نحوه ارائه سرویس ­های امنیتی در برابر تهدیدات سایبری عرضه کرد. سیسکو اظهار داشته است، فایروال­ های FirePOWER نخستین محصول در صنعت است که اطلاعاتی کاربردی از app ها را با threat intelligence 2 به هم پیوند می ­زند. سیسکو با تمرکز بر روی دفاع در برابر تهدیدها، به سازمان­ ها برای مدیریت بهتر خطرات و کاهش آنها کمک می کند.

مجموعه ویژگی ها

ویژگی­ های فایروال NGFW سیسکو شامل stateful firewall 3 ، تنظیمات Non-disruptive in-line bump-in-the-wire 4 network address translation 5، واسط جانبی سریال SPI 6، تکنولوژی Virtual Private Network7، دسترس ­پذیری بالا و clustering می شود. فایروال های سیسکو NGFW مسیریابی پویا، محافظت پیشرفته در برابر بدافزار، فیلتر کردن URL و آگاهی امنیتی، indications of compromise 8 و application awareness را فراهم می­ کند.

فایروال­ های ASA دارای سیستم پیشگیری از نفوذ، کنترل با جزییات، قابلیت رویت (visibility) بالا،توانایی در ترکیب اطلاعات بیرون از فایروال و رمزگشایی SSL برای ایجاد توانایی در شناسایی اپلیکیشن های رمزگذاری شده ­ی نامطلوب هستند.

محدوده پوشش ­دهی پلتفرم

سرویس ­های ASA with FirePOWER سیسکو  برای کمپانی­ های کوچک و متوسط طراحی شده است. این محصول می­ تواند در محیط های مجازی، فیزیکی و یا ترکیبی از هر دو توسعه داده شود.

کارایی

فایروال FirePOWER 8350 بالاترین کارایی را در میان تمام رقبایش در NSS Labs به دست می آورد در حالی که  ASA 5585-X SSP60 در آن رده ­بندی رتبه سوم را کسب می­ کند. سیسکو همچنین سری FirePOWER 4100 را برای اپلیکیشن های با کارایی بالا درون سازمان های متوسط و بزرگ عرضه کرده است. آنها یک unit از فضای rack را اشغال می کنند.

مدیریت پذیری (manageability)

فایروال ASA با FirePOWER توسط مرکز مدیریت 9 Cisco FireSIGHT مدیریت می شود. مرکز مدیریت، خدمات امنیتی با visibility فراگیری در شبکه و کنترل بر فعالیت درون شبکه را فراهم می ­کند. این visibility برای کاربرها، دستگاه ها، ارتباطات بین ماشین های مجازی، آسیب پذیری ها، تهدیدها، اپلیکیشن های سمت client، فایل ها و وبسایت ها به کار بسته می­ شود.  Indications of compromise اطلاعات جزیی شبکه را با اطلاعات رویدادها در endpoint مرتبط می­ کند و visibility بیشتری را نسبت به اثرگذاری­ های بدافزار ارائه می ­دهد. مرکز مدیریت همچنین از طریق مسیر حرکت فایل بدافزار، محتوایی را فراهم می ­کند که به تعیین علت ریشه ­ای نفوذ و همینطور تعیین دامنه آن کمک می کند تا زمان اصلاح را بهبود بخشد.

قیمت گذاری و licensing

Application Visibility and Control در فایروال های سیسکو به عنوان بخشی از کانفیگ پایه بدون هیچ هزینه ای در دسترس است. لایسنس های هر یک از ویژگی های NGIPS، Advanced Malware Protection و URL filtering نیز با پرداخت هزینه در دسترس قرار می گیرند.

پشتیبانی

پشتیبانی فایروال­ های NGFW شامل سرویس SMARTnet – نگهداری/پشتیبانی از پلتفرم سخت­ افزار و نرم­ افزار – و SASU – مجوز نگهداری/پشتیبانی برای NGIPS، URL filtering و AMP – می­ شود.

تمایزات

فایروال ASA with FirePOWER، محصول جامعی را ارائه می دهد که شامل آگاهی به محتوا، تشخیص تهدید و حفاظت در برابر آن، ویژگی های فایروال enterprise-class، قابلیت رویت و کنترل اپلیکیشن در سطوحی جزیی­ تر و حفاظت پیشرفته در برابر بدافزارها می­ شود. همراه با محصول NGFW از سیسکو که تمرکز بر تهدیدها را در نظر دارد، سیسکو سرویس Security Segmentation را نیز معرفی کرد. این سرویس به سازمان­ ها در ایجاد کنترل­ های امنیتی کمک می­ کند تا پیشگیری از نفوذ، شناسایی تهدید، امنیت محتوا و جلوگیری از از دست دادن داده در سراسر زیرساخت IT آنها بهبود یابد.

خلاصه

فایروال ASA with FirePOWER، خدمات امنیتی threat-focused NGFW را به فایروال­ های سری ASA 5500-X و ASA 5585-X ارائه می ­دهد. این محصولات از طریق ترکیب قابلیت­ های امنیتی فایروال ASA با ویژگی های “Sourcefire” و “محافظت پیشرفته در برابر بدافزار” در دستگاهی واحد، دفاع در برابر تهدید یکپارچه ­ای را برای زنجیره سراسری از حملات – پیش، در طی آن و پس از حمله – ارائه می­ دهد. آنها محافظت در برابر تهدیدهای پیشرفته و شناخته شده­ ای را فراهم می­ کنند که شامل محافظت در برابر حملات مخرب هدفمند و مکرر می ­شود.

نویسنده: مایک ویلگاس