پس از اعلام محدودیتهای مرکز راهبردی افتا در خصوص بهکارگیری بعضی محصولات امنیت سایبری و ازجمله ضدبدافزارها و SIEMها، نام شرکت چینی Wazuh بیش از گذشته به گوش میخورد.
پس از اعلام محدودیتهای مرکز راهبردی افتا در خصوص بهکارگیری بعضی محصولات امنیت سایبری و ازجمله ضدبدافزارها و SIEMها، نام شرکت چینی Wazuh بیش از گذشته به گوش میخورد.
به گزارش افتانا، پس از اعلام محدودیتهای مرکز راهبردی افتا در خصوص بهکارگیری بعضی محصولات امنیت سایبری و ازجمله ضدبدافزارها و SIEMها، نام شرکت چینی Wazuh بیش از گذشته به گوش میخورد. شرکت وازو (واژو) که از سال 2015 فعالیت خود را آغاز کرده یک پلتفرم متنباز است که بهعنوان HIDS و SIEM شناخته میشود.
با نگاهی به امکانات این پلتفرم، میتوانیم ویژگیهای آن را چنین فهرستبندی کنیم:
متنباز و رایگان: یکی از بزرگترین مزیتهای Wazuh، متنباز بودن آن است. این ویژگی امکان دسترسی به سورس، امکان سفارشیسازی و امکان همکاری با سایر استفادهکنندگان را فراهم میآورد. انعطافپذیری: وازو را میتوان با استفاده از پلاگینها و اسکریپتهای سفارشی، با نیازهای سازمان تطبیق داد. امکانات: وازو قابلیتهای متنوعی از جمله جمعآوری لاگ، تشخیص نفوذ، تحلیل رفتار، مدیریت آسیبپذیریها و تهیه گزارش را ارائه میدهد. جامعه کاربری: این محصول دارای یک جامعه کاربری بزرگ و فعال است که می تواند در حل مشکلات و یادگیری بیشتر کمک کند. یکپارچگی با سایر ابزارها: وازو قابلیت یکپارچهشدن با سایر ابزارهای امنیتی و زیرساختهای موجود در شبکه را دارد. مقرون بهصرفه: قیمت نصب و راهاندازی وازو نسبت به محصولاتی که باید لایسنس آنها خریداری شود، مناسبتر است.
اما وازو محدودیتهایی هم دارد که کارشناسان را برای بهکارگیری آن دچار تردید میکند که میتوان به دو مورد از مهمترین آنها اشاره کرد:
پیچیدگی: در مقایسه با دیگر محصولاتی که بهصورت تجاری ساختهشدهاند، پیکربندی و مدیریت Wazuh ممکن است برای کارشناسان پیچیده باشد. پشتیبانی: واضح است که سطح پشتیبانی ابزارهای اپنسورس در مقایسه با ابزارهای تجاری، بسیار متفاوت و گاهی کاملا وابسته به شرکت ارائهکننده است. که این مورد میتواند یکی از ضعفهای عمده وازو باشد.
آیا وازو میتواند جایگزین آنتیویروس یا (End-point Detection and Response)EDR در سازمانها باشد؟
پاسخ به این سئوال میتواند وابسته به معماری امنیت در سازمان باشد، اما: آنتیویروس: بر تشخیص و حذف بدافزارهای شناخته شده تمرکز دارد. اغلب از پایگاه دادههای ویروس برای شناسایی تهدیدات استفاده میکند. ممکن است در تشخیص بدافزارهای جدید و پیچیده با مشکل مواجه شود. EDR: بر تشخیص و پاسخ به حملات سایبری در نقطه پایانی تمرکز دارد. از روشهای مختلفی مانند تحلیل رفتار، هوش مصنوعی و یادگیری ماشین برای شناسایی تهدیدات استفاده میکند. قابلیتهای گستردهتری نسبت به آنتیویروس دارد. Wazuh: یک سیستم تشخیص نفوذ میزبان (HIDS) و مدیریت اطلاعات و رویدادهای امنیتی (SIEM) است. قابلیتهایی در نظارت بر سیستم، تشخیص تهدیدات، تحلیل لاگها و تولید گزارش دارد. میتواند به عنوان یک لایه دفاعی عمیقتر عمل کند و اطلاعات مهمی را در اختیار تیم امنیت قرار دهد اما ممکن است در تشخیص بدافزارهای جدید و روزصفر با چالش مواجه شود.
ابزارهایی مانند وازو گاهی میتوانند مکمل خوبی برای آنتیویروس و EDRها باشند زیرا امکان دارد که به عنوان یک لایه دفاعی اضافی در کنار آنتیویروس و EDR پیکربندی شوند؛ برای تحلیل عمیقتر تهدیدات و شناسایی ریشه آنها استفاده شوند؛ گزارشهای جامعی از وضعیت امنیتی سیستم تولید کنند.
گفتنی است تعدادی از شرکتهای ایرانی نیز خدمات نصب و راهاندازی محصول را انجام میدهند که از قضا این روزها فرصت کافی هم برای انجام اینکار ندارند!