مقایسه امنیت Cisco Stealthwatch با بقیه رقیبان
Cisco Stealthwatch یک راهکار جامع امنیتی است که آنالیز ترافیک شبکه (NTA) و تشخیص شبکه (NDR) را برای سازمانها فراهم میآورد. با استفاده از این راهکار میتوانید توانایی تشخیص تهدیدات به صورت پیشرفته، پاسخگویی سریع به تهدیدات و همچنین سگمنت سازی شبکه با استفاده از یادگیری ماشین داشته باشید.
Cisco Stealthwatch قابلیت “آنالیز رفتاری پیشرفته” را ارائه میدهد که با استفاده آن میتوانید بفهمید که چه کسی در شبکه شما حضور دارد و چه کاری انجام میدهد.
این ابزار امکانات متعدد دیگری نیز دارد که در ادامه به بررسی این امکانات و مقایسه آن ها با راهکار های امنیتی شرکتهای Darktrace و Plixer میپردازیم.
مقایسه Cisco Stealthwatch با بقیه رقیبان
| Cisco Stealthwatch | Darktrace | Plixer | |
تشخیص | |||
| آنالیز و تشخیص بدافزار در ترافیک رمزنگاری شده |  |  | |
| تشخیص Data Hoarding | | محدود می تواند ناهنجاری را تشخیص دهد اما نمیتواند دقیقا یک Data Hoarding را تشخیص دهد. | |
| تشخیص Lateral Movement |
تشخیص Worm و نمایش تصویر حرکت بدافزار در شبکه | محدود می تواند ناهنجاری را تشخیص دهد اما توانایی تشخیص دقیق Lateral movement را ندارد. | |
| بررسی ورود به سیستم |
میتواند هر گونه تعاملی را با استفاده Flow Collectors و Flow Sensors لاگ کند. | محدود فقط از سنسور ها استفاده میکند بنابراین احتمال دارد برخی از ترافیکها را از دست دهد. | |
| تشخیص Reconnaissance |
میتواند رخداد های اسکن با سرعت بالا و یا پایین را به سرعت کشف کند. | محدود می تواند Reconnaissance را کشف کند اما نه به دقت Stealthwatch | |
| یادگیری ماشین |
از یادگیری ماشین چند لایهای استفاده میکند تا تشخیص دقیقتری داشته باشد. | | محدود |
| تشخیص Exfiltration |
ایجاد هشدارهایی در خصوص هاستهایی که دادههای زیادی را exfilter میکنند. | محدود تنها از سنسورها برای تشخیص این حملات استفاده میکند. | |
| تشخیص ناهنجاری |
سیستمی بسیار قدرتمند متشکل از ۲۵۰ الگوریتم تشخیص ناهنجاری | محدود تنها از سنسورها برای تشخیص ناهنجاری استفاده میکند. | محدود |
| تشخیص Command-and-Control |
تشخیص انواع رخدادهای امنیتی برای شناسایی جفتهای C&C | محدود تنها از سنسورها برای تشخیص C&C استفاده میکند. | محدود الگوریتم خاصی برای C&C وجود ندارد. |
| تشخیص بدافزار |
توانایی تشخیص آسیب پذیریهای روز صفر | محدود تنها از سنسورها برای تشخیص بدافزار استفاده میکند. | محدود قابلیت اختیاری |
پیاده سازی | |||
| قابلیت ارتقا |
میتوان تا ۶ میلیون جریان بر ثانیه را پشتیبانی کرد، اتصالات را تا ۱۰ گیگابیت بر ثانیه گسترش داد و میتوان اطلاعات را از هزاران سنسور ذخیره کرد. | محدود فقط از سنسور ها برای پایش شبکه استفاده میکند. | محدود پیکربندی زیادی برای گسترش تعداد سنسور ها نیاز است. |
| ذخیره سازی داده |
به صورت میانگین این سیستم میتواند ۳۰ تا ۴۵ روز داده را ذخیره کند. | محدود هیچ دادهای برای تایید قابلیت ذخیره سازی وجود ندارد. | |
| تشخیص حمله روز صفر |
قابلیت تشخیص بدافزارهای قدیمی یا جدید با استفاده از بیش از ۹۰ پارامتر آنالیز رفتاری |
تنها از سنسورها برای تشخیص حملات روز صفر استفاده میکند. | محدود محدود به ترافیک |
| فشرده سازی داده | | | محدود برخی از اطلاعات حذف میشوند. |
| نمایش دستگاه های انتهایی |
با استفاده از Cisco AnyConnect 4.2 و بالاتر، اطلاعات دستگاههای انتهایی با استفاده از پروتکل nvzFlow گرفته میشود. | | |
| قابلیت نمایش Cloud |
قابلیت مانیتور فضای ابری از طریق راهکار مبتنی بر SaaS Stealthwatch Cloud | محدود از سنسور برای مانیتور فضای ابری خصوصی و از Cloud Connector برای فضای ابری استفاده میکند. | محدود از لاگ های Amazon AWS استفاده میکند که شامل عملیاتهای Permit و Deny است. |
| در دسترس قرار دادن داده و پشتیبانی از API های راه دور | از SOAP و REST API پشتیبانی میکند و با انواع سیستم های امنیتی یکپارچه است. | رابط Splunk در آن وجود دارد که ورودی JSON را از دستگاههای مربوطه میخواند و رخدادهای امنیتی را در Darktrace نشان میدهد. | از REST API پشتیبانی میکند. |
| هشدارها | ارسال ایمیل Syslog، Netcool، سیستم Remedy ticketing و SNMP | خروجی syslog | ایجاد لاگ و هشدار |
تحقیقات | |||
| تحقیقات جامع روی جریانهای عبوری |
میتواند رخدادهای امنیتی طولانی مدت را بررسی کند. و هر گونه اطلاعات را شامل IP دستگاهها و.. را ارائه میدهد و پکتها را آنالیز میکند. | محدود تهدیداتی که پیدا میکند را کلاس بندی میکند و آنها را به نمایش در میآورد. | محدود برخی از ویژگی های Stealthwatch را ندارد |
| مناسب برای مشتریان بزرگ | | محدود | محدود |
| قابلیت کوئری گرفتن از داده ها |
جستجوی پیشرفته را میتوان روی ترافیکهای رمزنگاری شده، TLS/SSL و… انجام داد. | اطلاعاتی در دسترس نیست | محدود |
| نمایش | نمودارهایی اتوماتیک از گسترش wormها و نحوه قرار گیری هاست ها ارائه میدهد. | نمودار های بسیار متنوع | نمودارهای ساده |
| تحقیق درباره رخداد | رابط کاربری به گونهای است که ادمینها میتوانند دلیل اصلی را به راحتی پیدا کنند | قابلیت Threat Visualizer دارد که تهدید و نحوه کنترل آن را نشان میدهد | |
اطلاعات | |||
| تکمیل بودن اطلاعات | با ISE یکپارچه است. بنابراین اطلاعات هاست از قبیل آدرس مک، نوع دستگاه، پورت سوییچ و… را ارئه میدهد. | محدود با اکتیو دایرکتوری یکپارچه میشود. | محدود |
| احراز هویت | با ISE، محصولات Cisco ASA، RADIUS Server و اکتیو دایرکتوری یکپارچه میشود | محدود با اکتیو دایرکتوری یکپارچه میشود. | محدود با اکتیو دایرکتوری یکپارچه میشود. |
| ذخیره URL | | محدود | محدود |
| ذخیره کامل پکت |
| نامشخص | |
هوش تهدید (Threat Intelligence) | |||
| دقت هوش تهدید |
هوش تهدید Stealthwatch از چندین منبع تقریبا به صورتی ساعتی بروز میشود تا درصد خطا را کاهش دهد. | | |
| تشخیص آسیب پذیری |
توانایی تشخیص تهدیداتی از قبیل data-exfiltration، C&Cو… |
توانایی تشخیص تعداد زیادی آسیب پذیری، اما تعداد آنها نامشخص است. | |
| اشتراک گذاری هوش تهدید |
سیسکو اطلاعات تهدید را بین هزاران مشتری و همکار به اشتراک میگذارد. | | |
مقایسه کاربردی خیلی خوبی بود، کاش توی بقیه راهکارهای امنیتی مثل ISE هم این مقایسه رو بذارید
سیسکو همه رو نابود کرده که تو این مقایسه
مطلب بسیار مفیدی بود.متشکرم