امنیت شبکه از نظر تکنولوژی
سیستمهای امنیتی شبکه در دو سطح کار میکنند؛ در محیط و در منابع داخلی شبکه. کنترلهای امنیتی در محیط تلاش میکنند تا از ورود تهدیدهای سایبری به شبکه جلوگیری کنند. اما گاهی اوقات مهاجمان شبکه موفق به نفوذ میشوند؛ بنابراین تیمهای امنیت IT باید کنترلهایی را در اطراف منابع داخل شبکه مانند لپتاپها یا دادهها نیز اعمال کنند. این استراتژی یعنی لایهبندی کنترلهای چندگانه بین هکرها و آسیبپذیریهای احتمالی را «Defense in depth» مینامند. برای ساخت سیستمهای امنیتی، تیمهای امنیتی ابزارهای زیر را ترکیب میکنند:
فایروالها
فایروال نرمافزار یا سختافزاری است که از ورود یا خروج ترافیک مشکوک یک شبکه جلوگیری میکند و درعینحال به ترافیک قانونی اجازه عبور میدهد. به عبارت دیگر، فایروالها تهدیدهای بالقوه ترافیک شبکه را فیلتر کرده و حملات بدافزار، سوءاستفاده از آسیبپذیری، حملات رباتها و سایر تهدیدها را مسدود میکنند.
فایروالهای سنتی با استفاده از یک دستگاه سختافزاری در محل فیزیکی یک کسبوکار اجرا میشوند. امروزه بسیاری از فایروالها میتوانند بهصورت نرمافزاری یا در فضای ابری اجرا شوند و نیاز به سختافزار فایروال را از بین میبرند. بهعلاوه، فایروالها را میتوان در لبههای یک شبکه مستقر کرد یا بهصورت داخلی برای تقسیم یک شبکه بزرگتر به زیرشبکههای کوچکتر مورد استفاده قرار داد. بهاینترتیب اگر بخشی از شبکه در معرض خطر باشد، هکرها از سایر بخشها جدا خواهند بود.
کنترل دسترسی به شبکه (NAC)
راهحلهای کنترل دسترسی به شبکه (NAC) مانند دروازهبان عملکنند و مشخص میکنند که چه کسانی اجازه ورود به شبکه دارند و چه کارهایی میتوانند انجام دهند. احراز هویت (Authentication) و مجوز (Authorization) دو نکته مهم در این کنترل دسترسی به شبکه است.
Authentication بهمعنای تایید این است که کاربر همان کسی است که ادعا میکند. Authorization نیز بهمعنای اعطای مجوز به کاربران تاییدشده برای دسترسی به منابع شبکه است. راهحلهای NAC اغلب برای اجرای سیاستهای کنترل دسترسی مبتنی بر نقش (RBAC) استفاده میشوند که در آن امتیازهای کاربران بر اساس عملکردهای شغلی آنها است.
IDPS / IDS / IPS
یک سیستم تشخیص و جلوگیری از نفوذ (IDPS) که گاهی اوقات IPS نامیده میشود، میتواند بهطور مستقیم پشت فایروال مستقر شود تا ترافیک ورودی برای تهدیدهای امنیتی را اسکن کند. ابزارهای امنیتی IDPS از سیستمهای تشخیص نفوذ (IDS) تکامل پیدا کردهاند که فقط فعالیتهای مشکوک را برای بررسی علامتگذاری میکنند. این قابلیت به IDPSها اضافه شده است که بهصورت خودکار به نقضهای احتمالی مانند مسدود کردن ترافیک یا تنظیم مجدد اتصال پاسخ دهند. IDPSها بهویژه در تشخیص و مسدود کردن حملات Brute force، DoS و DDoS موثر هستند.
شبکههای خصوصی مجازی (VPN)
یک شبکه خصوصی مجازی (VPN) با رمزگذاری دادههای کاربران و پوشاندن آدرس IP و مکان آنها از هویتشان محافظت میکند. در صورت استفاده از VPN، کاربران بهطور مستقیم به اینترنت متصل نمیشوند، بلکه به یک سرور امن که به اینترنت متصل است، وصل میشوند.
VPNها به کارکنان از راه دور کمک میکنند تا حتی از طریق اتصالات Wifi عمومی ناامن بهطور ایمن به شبکههای شرکت دسترسی پیدا کنند. شبکههای خصوصی مجازی ترافیک کاربر را رمزگذاری میکنند و آن را از هکرهایی که بهدنبال رهگیری ارتباطات آنها هستند، در امان نگه میدارند.
بعضی از سازمانها بهجای VPN از دسترسی شبکه Zero trust یا همان ZTNA استفاده میکنند. ZTNA بهجای استفاده از سرور پروکسی، از سیاستهای کنترل دسترسی zero-trust برای اتصال امن کاربران از راه دور استفاده میکند. هنگامی که کاربران از راه دور از طریق ZTNA به شبکه وارد میشوند، آنها به کل شبکه دسترسی ندارند. در عوض، آنها فقط به داراییهای خاصی که مجاز به استفاده از آنها هستند، دسترسی پیدا میکنند و هر بار برای دسترسی به یک منبع جدید باید دوباره تایید شوند. در ادامه بهطور دقیقتر به بررسی Zero-trust خواهیم پرداخت.
امنیت اپلیکیشن (Application security)
امنیت اپلیکیشن به مراحلی گفته میشود که تیمهای امنیتی برای محافظت از اپلیکیشنها و APIها در برابر مهاجمان شبکه انجام میدهند. ازآنجاییکه بسیاری از کمپانیهای امروزی از اپلیکیشنها برای انجام توابع (Functions) کلیدی کسبوکار یا پردازش دادههای حساس استفاده میکنند، اپلیکیشنها یک هدف رایج برای مجرمان سایبری هستند. بسیاری از اپلیکیشنهای کسبوکاری روی ابر عمومی میزبانی میشوند؛ ازهمینرو هکرها میتوانند از آسیبپذیریهای آنها برای نفوذ به شبکههای خصوصی شرکت سوءاستفاده کنند.
اقدامات امنیت اپلیکیشن از اپلیکیشنها در برابر عوامل مخرب محافظت میکند. ابزارهای رایج امنیت اپلیکیشن شامل فایروالهای وب اپلیکیشن (WAF)، خودمحافظتی اپلیکیشن در زمان اجرا (RASP)، تست امنیت اپلیکیشن استاتیک (SAST) و تست امنیت اپلیکیشن پویا (DAST) میشود.
امنیت ایمیل (Email security)
درگاههای ایمیل اولین عامل تهدید برای نقض امنیت هستند. مهاجمان از اطلاعات شخصی و تاکتیکهای مهندسی اجتماعی برای ایجاد کمپینهای فیشینگ پیچیده برای فریب دادن گیرندهها و ارسال آنها به سایتهایی که بدافزار دارند، استفاده میکنند.
ابزارهای امنیتی ایمیل میتوانند به خنثی کردن حملات فیشینگ و سایر تلاشها برای به خطر انداختن حسابهای ایمیل کاربران کمک کنند. بیشتر سرویسهای ایمیل ابزارهای امنیتی داخلی مانند فیلترهای اسپم و رمزگذاری پیام دارند. یک اپلیکیشن امنیت ایمیل حملههای ورودی را مسدود کرده و پیامهای خروجی را کنترل میکند تا جلوی از دست رفتن دادههای حساس را بگیرد.
Sandbox
یک Sandbox به IDS/IPS شباهت دارد، با این تفاوت که Sandbox به امضاها وابسته نیست. یک Sandbox میتواند یک محیط سیستم نهایی (End-system) را شبیهسازی کرده و مشخص کند که آیا یک شی بدافزار در حال تلاش برای انجام کاری مانند اسکن پورت است یا خیر.
NTA/NDR
NTA/NDR بهطور مستقیم به ترافیک یا رکوردهای ترافیک مانند NetFlow نگاه میکند و از الگوریتمهای یادگیری ماشین و تکنیکهای آماری برای ارزیابی ناهنجاریها و تشخیص وجود یک تهدید بهره میبرد. NTA/NDR ابتدا تلاش میکند تا یک خط مبنا (Baseline) تعیین کند؛ سپس با وجود یک خط مبنا ناهنجاریهایی مانند ارتباطات متناوب را شناسایی میکند.
پیشگیری از نشت دادهها (Data Loss Prevention – DLP)
در حالی که فایروالها و حفاظت DDoS از ورود حملات خارجی به شبکه جلوگیری میکنند، پیشگیری از نشت دادهها (DLP) مانع از انتقال دادههای داخلی به خارج از شبکه میشود. DLP به ابزارها و استراتژیهای امنیت اطلاعات اشاره دارد که تضمین میکنند دادههای حساس نه به سرقت رفتهاند و نه بهطور تصادفی فاش شدهاند. DLP شامل سیاستهای امنیت دادهها و تکنولوژیهای هدفمند است که جریانهای دادهای را ردیابی کرده، اطلاعات حساس را رمزگذاری میکند و درصورت شناسایی فعالیت مشکوک، هشدار میدهد.
جداسازی مرورگر (Browser isolation)
دسترسی به اینترنت از طریق یک شبکه باعث ایجاد خطر برای شبکه میشود؛ زیرا مرورگر وب شامل اجرای کد از منابع غیرقابل اعتماد خارجی (مانند سرورهای وبسایتهای مختلف) در دستگاههای کاربر است. جداسازی مرورگر این خطر را با اجرای کد از خارج از شبکه داخلی سازمان اغلب روی یک سرور ابری از بین میبرد.