ایمن سازی دستگاههای IoT با FortiNAC
FortiNAC به عنوان راهکار کنترل دسترسی شبکه شرکت Fortinet به طور خودکار نقاط پایانی (endpoints) اینترنت اشیا (IoT) را کشف، کنترل و مدیریت میکند. کنترل دسترسی شبکهها (NAC)تقریبا ۱۵ سال است که بازاری در حال ساخت بوده است و شروعها و توقفهای زیادی در طول مسیر داشته است. علیرغم وعده آسانتر کردن بهکارگیری دستگاهها، این فناوری تا حد زیادی با شکست مواجه شده است و فروشندهای پس از فروشنده دیگر در این مسیر قرار میگیرد و آن را به نمونهای سنتی از راهکارهایی تبدیل میکند که به دنبال مشکل هستند. شاید بتوان استفاده از دستگاههای شخصی کارکنان برای محیط کار (BYOD) را یک مشوق برای این راهکار دانست، اما متخصصان امنیتی راههای دیگری را برای بهکارگیری و اضافه کردن ایمن تلفنهای همراه و تبلتهای شخصی کارکنان در شبکه پیدا کردند.
اینترنت اشیا NAC را به یک ابزار امنیتی ضروری تبدیل میکند
به نظر میرسد سفر طولانی و دن کیشوتوار NAC سرانجام به پایان رسیده است. مشکل ایمن سازی دستگاههای اینترنت اشیا (IoT) توجه بیشتری را نسبت به NAC جلب کرده است و این دقیقا مشکلی است که NAC برای حل آن طراحی شده است. اینترنت اشیا چالشهای ویژهای را برای تیمهای امنیتی ایجاد میکند که بزرگترین آنها این است که دستگاههای اینترنت اشیا اغلب تحت کنترل تیمهای فناوری عملیاتی (OT) هستند. این موضوع باعث ایجاد مشکل بزرگی میشود، زیرا سازمان امنیتی اغلب نمیداند چه دستگاههایی به شبکهای که وظیفه ایمنسازی آن را بر عهده دارند، متصل هستند.
در اوایل سال جاری ZK Research یک نظرسنجی انجام داد. در این نظر سنجی این سوال مطرح شده بود: چقدر مطمئن هستید که از همه دستگاههای اینترنت اشیا موجود در شبکه آگاه هستید؟ ۶۴ درصد پاسخ دادند «اصلا» یا «فقط کمی» و تنها ۱۰ درصد «کاملا مطمئن بودند». NAC میتواند به این موضوع رسیدگی کند، به همین دلیل است که توجه به آن به شدت افزایش یافته است.
با این حال، اکثر راهکارهای NAC امروزه دید محدودی را ارائه میدهند، به عنوان مثال فقط شبکه Wi-Fi را تحت نظارت قرار میدهند، یا برای استخراج اطلاعات دستگاه به پایگاههای داده شخص ثالث تکیه میکنند. شناسایی دستگاههای اینترنت اشیا در مقایسه با رایانه شخصی، آیفون (گوشی تلفن همراه) یا چاپگر اغلب دشوار است. همچنین، بیشتر راهکارهای NAC میتوانند به یافتن دستگاه آلوده و قرنطینه آن کمک کنند، اما نمیتوانند مشکل را حل کنند زیرا کنترل شبکه را ندارند.
Fortinet راهکار FortiNAC را معرفی کرد
Fortinet به عنوان یکی از بازیگران حوزه امنیت، راهکار جدید FortiNAC خود را با هدف رفع بسیاری از محدودیتهای محصولات NAC فعلی معرفی کرده است. FortiNAC از طریق خرید Bradford Networks که در اوایل سال ۲۰۱۸ اتفاق افتاد، به سبد محصولات Fortinet اضافه شد و خلائی را در Security Fabric این شرکت که حفاظت یکپارچه و سرتاسری از تهدیدات را ارائه میدهد، پر میکند.
نقطه قوت FortiNAC مشاهده پذیری و نحوه کشف تمام نقاط پایانی است. به جای تکیه بر یک پایگاه داده یا عوامل نقطه پایانی (endpoint agents)، FortiNAC کاملا بدون عامل است و با جذب طیف گستردهای از منابع داده مانند RADIUS، SNMP، DHCP، LDAP و سایرین و همچنین اطلاعات رفتاری، کشف نقاط پایانی را خودکار میکند. این قابلیت به FortiNAC اجازه میدهد بیش از ۱۵۰۰ نوع دستگاه را در مقایسه با راهکارهای دیگر که فقط توانایی شناسایی ۵۰۰ تا ۱۰۰۰ نوع دستگاه را دارند، شناسایی کند.
علاوه بر این از آنجایی که FortiNAC اطلاعات را از طیف گستردهای از منابع میگیرد، میتواند دستگاههای متصل به Wi-Fi یا شبکه سیمی را شناسایی کند. اکثر دستگاههای اینترنت اشیا از Wi-Fi استفاده میکنند، جایی که بیشتر تمرکز از سوی فروشندگان NAC بوده است، اما نقاط پایانی اینترنت اشیاء سیمی به طور گسترده در بسیاری از قسمتها استفاده میشوند.
بخش قرنطینه خودکار FortiNAC
هنگامی که یک دستگاه شناسایی و بهکار گرفته شد، FortiNAC دائما نقاط پایانی متصل را کنترل میکند و میتواند فرآیند قرنطینه کردن یک دستگاه را در صورت مشاهده تغییرات رفتاری برای مهار تهدید، خودکار کند. Bradford Networks از ابتدا به صورت چند تامین کنندهای طراحی شده است و قادر است پیکربندی ریز بخشبندی را در دستگاههای شخص ثالث شبکه خودکار کند. این ویژگی از گسترش تهدید به صورت جانبی (شرق-غرب) پس از نفوذ به دستگاه جلوگیری میکند.
طیف گستردهای از راهکارهای NAC امروزه در دسترس هستند. چیزی که Fortinet را متمایز میکند تعداد دستگاههایی است که میتواند طبقه بندی کند. در واقع این یک راه حل جامع است که نه تنها نقاط پایانی را شناسایی میکند، بلکه میتواند آنها را کنترل کرده و فورا به یک تهدید پاسخ دهد. فروشندگان Pure-play معمولا به مجموعه گستردهتر فناوریهای دیگر مانند SD-WAN و فایروالهای نسل بعدی دسترسی ندارند و فروشندگان شبکه end-to-end معمولا از فروشندگان شخص ثالث پشتیبانی نمیکنند، در حالی که Fortinet تلاش میکند بهترینهای هر دو حوزه را به مشتریان ارائه دهد.
FortiNAC را میتوان به صورت مستقل یا بخشی از Security Fabric استقرار داد
همه محصولات Fortinet طوری طراحی شدهاند که به عنوان یک محصول مستقل فروخته شوند یا بخشی از Security Fabric آن باشند و FortiNAC هم از این روش پیروی میکند. با گذشت زمان، انتظار داریم که شاهد ادغام بیشتر این راهکار در Fabric باشیم و در ادامه بتواند موارد استفاده پیشرفته و جالبی را ارائه کند. به عنوان مثال، کشف یک نقطه پایانی نقض شده میتواند منجر به تغییر پیکربندی خودکار در فایروال نسل بعدی Fortinet شود تا تهدید را در نطفه خفه کند. مورد استفاده دیگر میتواند استفاده از SD-WAN آن برای گسترش بخش شبکه (segment) به دفاتر بیرون از محیط اصلی سازمان (branch offices) باشد.
Fortinet این راهکار را در سه سطح در دسترس قرار داده است و مشتریان را قادر میسازد با NAC مرحله به مرحله پیش بروند (crawl, walk and then run). سطوح اعطای مجوز به صورت زیر هستند:
- پایه یا Basic: قیمت رسمی این نوع مجوز ۸۷۵ دلار بوده و شامل قابلیت مشاهده در نقاط پایانی، احراز هویت خودکار و قفل شبکه از طریق تقسیمبندی برچسب با فایروال است.
- مجوز Plus دارای قیمت رسمی ۳۵۰۰ دلار است و شامل تمام قابلیتهای Basic، به علاوه کنترلهای پیشرفته NAC و تامین خودکار برای کاربران، دستگاهها و مهمانان میباشد.
- مجوز حرفهای یا Pro با قیمت ۴۵۰۰ دلار، قابلیت مشاهده نقطه پایانی بلادرنگ و کنترلهای دسترسی کامل به شبکه را اضافه میکند و پاسخ به تهدید و تحویل اطلاعات محتوایی را از طریق هشدارهای تریاژ خودکار میکند.
تنها نقطه ضعف FortiNAC این است که مشتریان نیاز به استفاده از certificate authority دارند. البته برای این کار گزینههای زیادی وجود دارد، از جمله سرویس FortiAuthentication. این یک مشکل جزئی است، اما نکتهای است که لازم است مشتریان در نظر داشته باشند.
جمعبندی
عصر اینترنت اشیا فرا رسیده است و شبکهای که همین حالا هم تامین امنیت آن مشکل است، آشفتهتر و پیچیدهتر خواهد شد. روشهای دستی دیگر کار نمیکنند، زیرا دستگاهها توسط کارکنانی غیر از تیم فناوری اطلاعات مستقر میشوند. تیم امنیتی باید راهی برای خودکارسازی کشف، کنترل و مدیریت نقاط پایانی اینترنت اشیا بیابد. FortiNAC راهکاری با قابلیت استقرار آسان ارائه میدهد که پتانسیل جالبی دارد زیرا به شدت در Security Fabric خود ادغام میشود.
