افتانا - از Wazuh چه می‌دانیم

پس از اعلام محدودیت‌های مرکز راهبردی افتا در خصوص به‌کارگیری بعضی محصولات امنیت سایبری و ازجمله ضدبدافزارها و SIEMها، نام شرکت چینی Wazuh بیش از گذشته به گوش می‌خورد.

پس از اعلام محدودیت‌های مرکز راهبردی افتا در خصوص به‌کارگیری بعضی محصولات امنیت سایبری و ازجمله ضدبدافزارها و SIEMها، نام شرکت چینی Wazuh بیش از گذشته به گوش می‌خورد.

به گزارش افتانا، پس از اعلام محدودیت‌های مرکز راهبردی افتا در خصوص به‌کارگیری بعضی محصولات امنیت سایبری و ازجمله ضدبدافزارها و SIEMها، نام شرکت چینی Wazuh بیش از گذشته به گوش می‌خورد. شرکت وازو (واژو) که از سال 2015 فعالیت خود را آغاز کرده یک پلتفرم متن‌باز است که به‌عنوان HIDS و SIEM شناخته می‌شود.

با نگاهی به امکانات این پلتفرم، می‌توانیم ویژگی‌های آن را چنین فهرست‌بندی کنیم:

متن‌باز و رایگان: یکی از بزرگ‌ترین مزیت‌های Wazuh، متن‌باز بودن آن است. این ویژگی امکان دسترسی به سورس، امکان سفارشی‌سازی و امکان همکاری با سایر استفاده‌کنندگان را فراهم می‌آورد.
انعطاف‌پذیری: وازو را می‌توان با استفاده از پلاگین‌ها و اسکریپت‌های سفارشی، با نیازهای سازمان تطبیق داد.
امکانات: وازو قابلیت‌های متنوعی از جمله جمع‌آوری لاگ، تشخیص نفوذ، تحلیل رفتار، مدیریت آسیب‌پذیری‌ها و تهیه گزارش را ارائه می‌دهد.
جامعه کاربری: این محصول دارای یک جامعه کاربری بزرگ و فعال است که می تواند در حل مشکلات و یادگیری بیشتر کمک کند.
یکپارچگی با سایر ابزارها: وازو قابلیت یکپارچه‌شدن با سایر ابزارهای امنیتی و زیرساخت‌های موجود در شبکه را دارد.
مقرون به‌صرفه: قیمت نصب و راه‌اندازی وازو نسبت به محصولاتی که باید لایسنس آن‌ها خریداری شود، مناسب‌تر است.

اما وازو محدودیت‌هایی هم دارد که کارشناسان را برای به‌کارگیری آن دچار تردید می‌کند که می‌توان به دو مورد از مهم‌ترین آن‌ها اشاره کرد:

پیچیدگی: در مقایسه با دیگر محصولاتی که به‌صورت تجاری ساخته‌شده‌اند، پیکربندی و مدیریت Wazuh ممکن است برای کارشناسان پیچیده‌ باشد.
پشتیبانی: واضح است که سطح پشتیبانی ابزارهای اپن‌سورس در مقایسه با ابزارهای تجاری، بسیار متفاوت و گاهی کاملا وابسته به شرکت ارائه‌کننده است. که این مورد می‌تواند یکی از ضعف‌های عمده وازو باشد.

آیا وازو می‌تواند جایگزین آنتی‌ویروس یا (End-point Detection and Response)‌ EDR در سازمان‌ها باشد؟
پاسخ به این سئوال می‌تواند وابسته به معماری امنیت در سازمان باشد، اما:
آنتی‌ویروس: بر تشخیص و حذف بدافزارهای شناخته شده تمرکز دارد. اغلب از پایگاه داده‌های ویروس برای شناسایی تهدیدات استفاده می‌کند. ممکن است در تشخیص بدافزارهای جدید و پیچیده با مشکل مواجه شود.
EDR: بر تشخیص و پاسخ به حملات سایبری در نقطه پایانی تمرکز دارد. از روش‌های مختلفی مانند تحلیل رفتار، هوش مصنوعی و یادگیری ماشین برای شناسایی تهدیدات استفاده می‌کند. قابلیت‌های گسترده‌تری نسبت به آنتی‌ویروس دارد.
Wazuh: یک سیستم تشخیص نفوذ میزبان (HIDS) و مدیریت اطلاعات و رویدادهای امنیتی (SIEM) است. قابلیت‌هایی در نظارت بر سیستم، تشخیص تهدیدات، تحلیل لاگ‌ها و تولید گزارش دارد. می‌تواند به عنوان یک لایه دفاعی عمیق‌تر عمل کند و اطلاعات مهمی را در اختیار تیم امنیت قرار دهد اما ممکن است در تشخیص بدافزارهای جدید و روزصفر با چالش مواجه شود.

ابزارهایی مانند وازو گاهی می‌توانند مکمل خوبی برای آنتی‌ویروس و EDRها باشند زیرا امکان دارد که به عنوان یک لایه دفاعی اضافی در کنار آنتی‌ویروس و EDR پیکربندی شوند؛ برای تحلیل عمیق‌تر تهدیدات و شناسایی ریشه آن‌ها استفاده شوند؛ گزارش‌های جامعی از وضعیت امنیتی سیستم تولید کنند.

گفتنی است تعدادی از شرکت‌های ایرانی نیز خدمات نصب و راه‌اندازی محصول را انجام می‌دهند که از قضا این روزها فرصت کافی هم برای انجام این‌کار ندارند!