نقاط کور امنیتی در شبکه سازمان

با سیسکو نقاط کور امنیتی در شبکه تان را بشناسید

با سیسکو stealthwatch دید شبکه تان را گسترده تر کنید و تمام نقاط کور امنیتی موجود در شبکه تان را پوشش دهید.

فرض کنید شبکه شما در حال حاضر به خطر افتاده، شما چه کاری می توانید انجام دهید؟

پاسخ در دید شبکه نهفته است. دید شبکه ای رفتار مهاجم و مکان استقرار حمله ی او در شبکه را برای شما نمایش می دهد. و به شما کمک می کند تا یک حادثه امنیتی به یک سرقت کامل اطلاعات تبدیل نشود. ما در سیسکو stealthwatch با تهیه ابزار پیشرفته امنیتی به مدیران شبکه یک دید بسیار خوب و گسترده با تمام جزئیات شبکه را ارائه می دهیم. ما با این ابزارها شبکه های صدها شرکت را بررسی کرده ایم و خطرهای امنیتی بیشماری را شناسایی کرده ایم.

دامنه ی خطرات موجود در شبکه ها از بدافزارهای سفارشی برای سرقت اطلاعات تا سرورهای در معرض خطر برای حمله به شبکه های دولتی گسترده بود. ما با دسته بندی این خطرات ۷ نقطه کور در شبکه را لیست کردیم. این چک لیست نمایی کلی از ۷ نقطه کور رایج در شبکه که هر تیم امنیتی باید آنها را بررسی کند ارائه می دهد. اگر تیم شما این ۷ نقطه کور و فعالیت های مشکوک به آنها را مدنظر قرار ندهد. در واقع شما به مهاجمان مکانی برای پنهان شدن در شبکه تان داده اید.

۱- استفاده از DNS غیرمجاز

سازمان ها از DNS محلی برای اجرای سیاست ها و محافظت از کاربران در برابر سایت های مخرب استفاده می کنند. به این ترتیب کاربران نمیتوانند به هر سایتی وارد شوند و فقط سایت های مورد تایید DNS امکان بارگزاری بر روی سیستم های کاربران را خواهند داشت. اما استفاده از سرورهای DNS غیرمجاز(unsanctioned DNS، Unauthorized DNS) و تأیید نشده می تواند نشانه یک فعالیت مخرب یا نقض قوانین باشد. بنابر گزارش Cisco 2016 Annual Security Report حدود ۹۲ درصد از بدافزارها از DNS در حملاتشان استفاده می کنند.

و جالب است بدانید بیش از ۷۰ درصد سازمان هایی که ما بررسی کردیم مواردی وجود دارد که از سرورهای DNS غیرمجاز و تأیید نشده در شبکه شان استفاده می کنند. معمولاً بدافزارهایی برای تغییر DNS کاربران به DNS های آلوده برروی سیستم کاربران اجرا می شود سپس این بدافزارها آدرس سرور DNS کاربر را از یک آدرس DNS معتبر به یک آدرس DNS آلوده تغییر می دهند از این رو کاربر در معرض ورود به سایت های آلوده به Exploit یا سرقت اطلاعات مالی و سایر اطلاعاتش می باشد.

۲- فعالیت Rouge servers

Rouge servers سرورهایی هستند که مدیر شبکه آنها را کنترل نمی کند بلکه توسط یک مهاجم یا کارمند داخلی پیکربندی شده اند.  این سرورها یک خطر امنیتی جدی و از جمله نقاط کور امنیتی در شبکه هستند و به تهدید ها اجازه ماندگاری بالا و سرقت اطلاعات را می دهند. شرکت سیسکو محصولات امنیتی قدرتمندی از جمله سیسکو Stealthwatch و سیسکو ISE را برای مقابله با این تهدیدات و پوشش کامل تمام نقاط کور شبکه تولید کرده است. همانگونه که می بینید برای تولید این محصولات تحقیقات بسیار زیادی در صدها سازمان کوچک و بزرگ و بررسی حملات مختلف امنیتی آنها انجام شده است.

۳ – خطر بلاک پیغام سرور ( Server Message Block – SMB)

در خیلی از سازمان ها از پروتکل SMB استفاده می شود. و مهاجمان خیلی از مواقع حملات خود را با نقاب پروتکل SMB انجام می دهند. برای مثال بدافزار مخرب و هدفمند Conficker با استفاده از SMB می توانند back door ها را نصب کند، داده ها را خراب و سرورها را خاموش کند و تنظیمات پروکسی ها را تغیییر دهد.

۴ – ترافیک کشورهای مشکوک را در نظر بگیرید

بیشتر کسب و کارها در یک محدوده جغرافیایی محدود و خاص فعالیت می کند. بنابراین وجود ترافیکی بیرون از محدوده کسب و کار می تواند راهی کمکی برای تشخیص خطر باشد. اگر یک شرکت خدماتی در غرب آمریکا ترافیک قابل توجهی از شرق اروپا یا آسیا داشته باشد این ترافیک می تواند یک نشانه از فعالیت های مهاجم باشد.

۵ – نفوذ با دسترسی از راه دور، یکی از مهمترین نقاط کور امنیتی

دسترسی راه دور یک عمل رایج در بیشتر سازمان ها است. اما این ویژگی به مهاجمان امکان افزاریش دسترسی به شبکه تجاری را می دهند. تشخیص رفتارهای مشکوک یا نامناسب در میان کاربران دسترسی راه دور موجب شناسایی موارد دسترسی با اعتبار سرقتی و یا مهاجمان داخلی می شود.

۶ – فعالیت های Telnet

تل نت یک پروتکل نا امن قدیمی است که داده ها را رمز نگاری نشده منتقل می کند و به مهاجمان اجازه می دهد که پسورد و سایر اطلاعات حساس را از طریق آن به دست بیاورند اکثر سازمان ها معتقد اند که از این پروتکل استفاده نمی کنند اما ما در بررسی هایمان متوجه شدیم ۶۷ درصد سازمان ها فعالیت هایی برپایه تل نت در شبکه شان دارند.

۷ – دیگر رفتارهای غیر معمول

تهدید ها پیشرفته و نوآورانه و سریع هستند و همواره مکانیزمی برای جلوگیری از شناسایی شدنشان پیاده می کنند، و از ترفندهای بسیاری برای دور زدن لایه های دفاعی و سرقت به ظاهر قانونی مجوزها استفاده می کنند. نظارت بر ترافیک شبکه برای شناسایی رفتاری که بد شناخته شده اند و به طور قابل توجهی خارج از رفتار عادی هستند می تواند به اپراتورهای امنیتی برای تشخیص فعالیت های پیشرفته مهاجم کمک کند.

برای کسب اطلاعات بیشتر و آشنایی با نحوه برطرف کردن شکاف هایی که در شبکه شما وجود دارد می توانید در لینک مقابل اطلاعات بیشتری در مورد چگونگی رفع شکاف‌های امنیتی شبکه سازمانی کسب کنید.

نویسنده:حسین ولی‌پور

فیسبوک توییتر گوگل + لینکداین تلگرام واتس اپ کلوب

1 دیدگاه در “نقاط کور امنیتی در شبکه سازمان

ما که هنوز از تل نت برای پیکربندی استفاده میکنیم اما از این پس به ssh مهاجرت میکنیم ممنون بابته مطالب خوبتون

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *