امنیت
آلیاسیس آرتباط
بدون دیدگاه

راهکارهای امنیت شبکه

راهکارهای امنیت شبکه

شرکت‌هاي حفاظت از اطلاعات عموماً به نسبت جايگاه و نوع عملکرد شرکت و يا حفاظت از سايت و اپليکيشن‌هاي در اختيار، مواردي را براي امنيت سايبري قائل مي‌شوند. گاهي عدم شهرت يا عدم برخورداري از برندي شناخته‌شده براي يک شرکت، نوعي مصونيت نسبي قلمداد مي‌شود و مديران ارشد IT شرکت‌ها با اين خيال که امکان آسيب ديدن اطلاعات آنها به واسطه اين فاکتور وجود ندارد، به مسائل امنيتي و حفاظت از اطلاعات شرکت توجه ويژه‌اي ندارند؛ حال آنکه آمارها نشان مي‌دهد ۴۳درصد از حملات سايبري در سال ۲۰۱۸ شرکت‌ها و کسب‌وکارهاي کوچک را مورد هدف قرار داده‌اند. این شرکت ها لازم است با راهکارهای امنیت شبکه بیشتر آشنا شوند.

يکي ديگر از آمارهاي قابل تأمل و شايد غيرقابل باور در حوزه حملات سايبري، ميانگين ۷۵درصدي مواجهه  شرکت‌هاي حوزه سلامت و خدمات بهداشتي با بدافزارهاست؛ به نحوي که برخي برندهاي مطرح در حوزه امنيت شبکه ، تأمين امنيت دستگاه‌هاي پزشکي و آزمايشگاهي را در کانون توجه و برنامه‌هاي توسعه‌اي خود قرار داده‌اند. از سوي ديگر برآورد مي‌شود که حدود ۵۸درصد از کارمندان هنگام ترک کار يا اخراج از يک شرکت، تمامي فايل‌هاي قابل دسترس مربوط به سخت افزار شبکه و نرم افزار شبکه را از شرکت خارج مي‌کنند؛ فايل‌هايي که مي‌تواند شامل دانش فني و يا ساير اطلاعات باارزش و محرمانه باشد.

همچنين کارشناسان امنيتي تأکيد دارند که بيش از ۹۰درصد آسيب‌پذيري‌ سازمان‌ها و شرکت‌ها در حوزه سايبري، مربوط به خطاي انساني است. در اين ميان اما عدم درک صحيح مديران شرکت‌ها از خطرات موجود و راهکارهاي صحيح مقابله با آنها، از جمله مواردي است که به ضعف‌هاي امنيتي در شرکت‌ها و ضررهاي مادي و معنوي منتج از آن دامن مي‌زند به طوري که  ۳۸درصد شرکت‌ها، از آمادگي خود براي مقابله با حملات پيچيده سايبري اطمينان کامل دارند.

نقاط نفوذ رایج

يکي از ريشه‌اي‌ترين عوامل نفوذپذيري شرکت‌ها، استفاده از سيستم‌عامل‌ها و نرم‌افزارهاي قديمي و فاقد پچ‌هاي به‌روز‌رساني است. يکي از پيش‌پاافتاده‌ترين و به ظاهر کم‌اهميت‌ترين نرم‌افزارها adobe flash player   است. افزونه‌اي که به کامپيوتر و مرورگرهاي ما قابليت نمايش تصاوير متحرک را مي‌دهد، تصاويري مانند تبليغات اينترنتي و يا حتي تماشاي فيلم در برخي سايت‌هاي اشتراک ويدئو. در برخي آمارها اين نرم-افزار با حدود ۳۱۴ نفوذپذيري ثبت‌شده، در صدر آمار نفوذپذيري‌هاي نرم‌افزاري قرار دارد.

به طور معمول هکرها براي نفوذ به يک سيستم تلاش مي‌کنند از نفوذپذيري‌هاي موجود در نرم‌افزارهاي نصب‌شده در آن استفاده کنند. به بيان ديگر خلاءهاي موجود در نرم‌افزاري مانند adobe flash player  يا adobe acrobat reader  و يا حتي مجموعه office به هکر کمک مي‌کند تا نقشه‌اي را براي نفوذ به سيستم طراحي کند در حالي که به‌روزرساني اين نرم‌افزارها و يا عدم نصب نرم‌افزارهاي غيرضروري در سيستم، امکانات هکر را براي مانور بر روي سيستم قرباني به شدت محدود مي‌کند. برنامه‌هاي قديمي و به‌روزرساني‌نشده و يا سيستم‌عامل‌هاي قديمي همانند ايجاد يک دريچه، پنجره و يا حتي دروازه بزرگ شيشه‌اي در يک قلعه به حساب مي‌آيند؛ فضاي آساني براي نفوذ عليرغم وجود ديوارهاي بلند و مستحکم .

نکته حائز اهميت ديگر، لزوم درک اين نکته است که شهرت و خوشنامي يک برند نيز به هيچ عنوان متضمن امنيت در فضاي سايبري نخواهد بود. جالب اينجاست که سيستم‌عامل موبايل گوشي‌هاي اپل ios  عليرغم تمامي محدوديت ارتباطي ايجادشده در آن، در رتبه نخست نفوذپذيرترين سيستم عامل‌هاي همراه قرار مي‌گيرد. حال آنکه سيستم‌عامل android عليرغم سادگي و انطباق‌پذيري و ارتباط‌گيري آسان آن با ساير دستگاه‌ها، در رتبه چهارم اين فهرست جاي مي‌گيرد؛ با نسبت نفوذپذيري ۱ به ۳ نسبت به ios . همچنين نرم‌افزار Apple itunes  نيز با حدود ۱۰۰ نفوذپذيري اثبات‌شده، در رتبه چهارم نرم‌افزهاي نفوذپذير قرار دارد و رتبه هفتم اين فهرست نيز به اپليکيشن Apple TV اختصاص دارد.

۵ مورد از راهکارهای امنیت شبکه

Firewall

رکن اول در راهکارهای شبکه برای تامین امنیت Firewall است؛ اصطلاحي که چندان بيگانه نيست، ديوارهاي حائل يا ديوارهاي آتشي که به صورت نرم‌افزاري و سخت‌افزاري در شبکه‌ها يا سيستم‌ها نصب مي‌شود. البته نوع سخت‌افزاري آن در واقع بستر مجزايي است براي نصب يک نرم‌افزار تخصصي. يعني به جاي نصب يک نرم‌افزار بر روي يک سرور يا کامپيوتر، آن را بر روي سخت‌افزار مجزايي نصب مي‌کنيم تا فشار پردازشي را از روي سرورهاي اصلي خود برداريم. اين سخت‌افزارها در انواع پيشرفته خود داراي ويژگي‌هايي برگرفته از فناوري‌هاي هوش مصنوعي و يادگيري ماشين نيز هستند.

AntiVirus

رکن دوم، نرم‌افزارهاي Antivirus است که داراي دسته‌بندي‌ها و قابليت‌هاي مختلفي هستند که نياز چنداني به شرح و بسط آنها نيست.  وقتي پاي يک شبکه سازماني به ميان مي‌آيد، رصد و پايش شبکه يا مانيتورينگ آن از نظر امنيتي سه رکن ديگر نيز خواهد داشت.

IPS/IDS از جمله ملزوماتي هستند که مي‌توانند در دو نقطه مجزا از شبکه قرار گيرند. IDS مکانيزمي است که بر اساس مجموعه‌اي از قواعد تعريف‌شده، اطلاعات در حال تبادل شبکه را بررسي مي‌کند و در صورت مواجهه با موارد مشکوک يا خطرساز، پيام هشداري براي مدير شبکه ارسال مي‌کند. اما IPS  نوع فعال و يا کنش‌گرايي از IDS است، يعني در صورت مواجهه با موارد مذکور علاوه بر ارسال پيام هشدار، وارد عمل مي‌شود و نسبت به قطع ارتباطات مشکوک و يا حتي قطع کلي سيستم و ساير موارد احتياطي اقدام مي‌کند.

IPS & IDS دو مورد از راهکارهای امنیت شبکه

نرم‌افزارهاي IPS/IDS علاوه بر برخورداري از بانک‌هاي اطلاعاتي و قواعد پيش‌فرض، قابليت تعريف قواعد اختصاصي را نيز دارا هستند. مديران شبکه و کارشناسان امنيت اطلاعات بنا بر مقتضيات مجموعه و تجربيات خود، اين قوانين را براي سيستم تعريف مي‌کنند. شايد در نگاه کلي مکانيزم عمل IPS/IDS شباهت بسياري به Firewall داشته باشد اما براي درک بهتر اين مکانيزم بايد بدانيد که:

اولاً به طور معمول فايروال‌ها بلافاصله بعد از محل ورودي اينترنت به يک سازمان قرار مي‌گيرند و ثانياً پکيج‌هاي اطلاعاتي را بر مبناي IP وport‌هاي ارتباطي بررسي مي‌کنند. براي مثال يک آدرس IP مانند (۲۲۰٫۱۴۳٫۲۱۷٫۱۱۶) به عنوان يک هکر روسي در فهرست سياه قرار مي‌گيرد و فايروال تمام تلاش‌هاي اين هکر روسي که از طريق اينIP انجام شود را دفع و بي‌اثر مي‌کند و از سوي ديگر براي دسترسي به بخش مديريتي سرور نياز به باز بودن port 85 بر روي سيستم وجود دارد. بنابراين فايروال اتصال از طريق پورت ۸۵ را باز مي‌گذارد، اما تلاش يک هکر براي اتصال به پورت ۲۶۰ که به طور مثال مربوط به يک نرم‌افزار دبيرخانه است را مسدود مي‌کند. از اين طريق دسترسي هکرها براي ضربه زدن به اطلاعات موجود در دبيرخانه سازمان بسيار دشوار مي‌شود و تنها شخصي به اين نرم‌افزار دسترسي خواهد داشت که در محل شرکت حضور داشته باشد.

لازم به توضيح است که معمولاً شرکت‌ها با توجه سياست‌هاي خود يکي از مکانيزم‌هاي IDS  يا IPS را انتخاب مي‌کنند. هرچند امکان فعال‌سازي همزمان آنها نيز وجود خواهد داشت. اما همانطور که در ابتدا گفته شد، اين مکانيزم در دو نقطه مجزا در شبکه قرار مي‌گيرد. ابتدا در نقطه‌اي بعد از فايروال و سپس به عنوان سرورهاي ويژه پايش. گاهي اين قابليت در درون فايروال نيز وجود دارد و نيازي به نصب قطعه و نرم‌افزار مجزا نيست.

NAC

مکانيزم بعدي در راهکارهای امنیت شبکه NAC  است. کنترل دسترسي به شبکه يا Network Access Control يکي از مهم‌ترين عوامل پيشگيري و محدودسازي حملات سايبري و سوء‌استفاده‌هاي احتمالي از شبکه و دستگاه‌هاي متصل به آن است. NAC فرآيندي است که بر اساس آن، هر دستگاه براي اتصال به شبکه معرفي و شناسانده مي‌شود. دستگاه‌ها اعم از کامپيوتر، پرينتر، اسکنر، گوشي، دستگاه‌هاي بيمارستاني، اشياء متصل به اينترنت و… گاهي براي اتصال به شبکه، محدوديت‌هايي را نيز مي‌پذيرند. مجموعه‌اي از قوانين و مقررات به تناسب فعاليت يک سازمان، ساختار شبکه و اهميت اطلاعات آن وضع مي‌شود و همگي آنها توسط اين مکانيزم بر روي شبکه و سيستم‌هاي متصل به آن اعمال مي‌شوند.

شايد اين قانون شامل عدم امکان اتصال يک کامپيوتر به اينترنت و يا عدم ايجاد دسترسي به فايل‌هاي گروه مهندسي در يک شرکت باشد. گاهي اين قوانين عدم اجازه يک سيستم به ارسال پرينت و يا عدم امکان اتصال آن به شبکه در ساعات غيراداري است.

NAC از جمله راهکارهايي است که رشد بسيار خوبي را از نظر حجم بازار تجربه کرده است. به طور مثال گردش مالي اين صنعت (توليد نرم‌افزار و سخت‌افزارهاي مربوطه) در سال  ۲۰۱۵ در آمريکاي شمالي حدود ۶۸۱ ميليون دلار بوده و پيش‌بيني مي‌شود در سال ۲۰۲۰ اين عدد به ۲٫۶ ميليارد دلار برسد. از سوي ديگر با توجه به تأثير قابل ملاحظه‌اي که در تأمين امنيت در حوزه اينترنت اشياء دارد، مي‌تواند با رشد بسيار بالاتري از ارقام يادشده روبه‌رو شود.

ضعف NAC

يکي از نقاط ضعف اين سيستم که ممکن است در زمان نگارش اين مقاله در برخي از نرم‌افزارهاي مربوطه تا حد قابل قبولي برطرف شده باشد، وجود نقاط نفوذپذيري مانند امکان جعل mac address و پيشروي در شبکه از طريق آن است. براي مثال يک هکر مي‌تواند با استفاده از تلفن voip به اطلاعاتي مانند IP ، mac address  و برخي ديگر از اطلاعات شبکه دسترسي پيدا کند و سپس يک کامپيوتر را با IP و mac address  تلفن در شبکه وارد سازد. نکته اينجاست که با توجه به قرارگيري اين دستگاه در رده آسان‌تري از ساير دستگاه‌ها، برخي از نظارت‌ها و قوانين کنترلي بر روي اين IP  اعمال نمي‌شود و همين مسئله مي‌تواند پيشروي هکر را در شبکه آسان‌تر کند.

با اين حال استقرار اين سيستم، درصد بسيار بالايي از سوء‌استفاده‌ها و حملات سايبري را دفع و مديريت سيستم و شبکه را به نحو مطلوبي تسهيل مي‌کند.

اين مکانيزم علاوه بر اشکال نرم‌افزاري و سخت‌افزاري معمول، داراي نمونه‌هاي Cloud Based هم است که علاوه بر کاهش هزينه‌هاي نرم‌افزاري و سخت‌افزاري، مي‌تواند محدوديت‌هاي جغرافيايي را نيز برطرف کند. همچنين نمونه Cloud based آن در انطباق با پروژه‌هاي اينترنت اشياء از قابليت‌هاي نسبتاً بيشتري نيز برخوردار خواهد بود.

SIEM

مکانيزم آخر در راهکارهای امنیت شبکه ، تحليل‌گر اطلاعات امنيتي و رويدادهاي جاري شبکه (SIEM  (Security information and event management است؛ مکانيزمي که در سال ۲۰۲۱ به بازاري ۳٫۴ ميليارد دلاري دست خواهد يافت. اين سيستم نرم‌افزاري در واقع يک شبکه مانيتورينگ منسجم است؛ سيستمي که مي‌تواند اطلاعات امنيتي را از اجزاي مختلف شبکه مانند فايروال و ديگر بخش‌هاي آن دريافت و تجزيه و تحليل کند. اين نرم‌افزار اشکالات امنيتي، فعاليت‌هاي بدافزارها و ويروس‌ها را نيز بررسي و زير نظر مي‌گيرد و گزارش‌هاي دقيقي در اختيار مدير شبکه قرار مي‌دهد.

منبع: آلیاسیس

انتشار مطالب تنها با ذکر منبع مجاز است.

 

شناسه مطلب: ۹۲۳
منبع:
وبلاگ تخصصی آلیاسیس
1.18
17
20
فیسبوک توییتر گوگل + لینکداین تلگرام واتس اپ کلوب
آلیاسیس آرتباط

مطالب مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

هسته اصلی شرکت آلیاسیس ارتباط از سال 1383 تاکنون در زمینه فن آوری اطلاعات و ارتباطات ( ICT) فعالیت می نماید. شرکت آلیاسیس ارتباط با تجربه ای بالغ بر یک دهه حضور در صنعت فناوری اطلاعات و ارتباطات از تامین و توزیع تا ارائه خدمات مهندسی و خدمات پس از فروش به مجموعه کسب و کارهای بزرگ ، متوسط و کوچک در سه حوزه تجهیز تخصصی سخت افزارهای شبکه - ارائه خدمات مشاوره ، طراحی ، پیاده سازی ، پشتیبانی ، آموزش و خدمات پس از فروش در شبکه های محلی و گسترده ، امنیت شبکه ، مراکز داده و ارتباطات یکپارچه - ارائه راهکارهای جامع مبتنی بر شبکه های رایانه ایی ارائه خدمت می نماید.

دسترسی سریع