پیادهسازی یک مکانیزم امنیتی گسترشپذیر و کارآمد در یک شبکه، مستلزم بهکارگیری یک طراحی مناسب و منطبق بر نتایج بهدستآمده از تحلیل ریسکها و خطمشیهای حاکمیتی است.
پیادهسازی یک مکانیزم امنیتی گسترشپذیر و کارآمد در یک شبکه، مستلزم بهکارگیری یک طراحی مناسب و منطبق بر نتایج بهدستآمده از تحلیل ریسکها و خطمشیهای حاکمیتی است. مکانیزمهای امنیتی شبکه اولین سد دفاعی برای محافظت از منابع سیستمی در برابر تهدیدات خارجی همچون کدها و اسکریپتهای مخرب و هکرها است. مکانیزمهای امنیتی مهم برای دفاع در برابر تهدیدات سایبری دیوارهای آتش، سامانههای شناسایی و پیشگیری از نفوذ، شبکههای خصوصی مجازی و سامانههای بررسی محتوای فایلها (ضدویروسها، ضدبدافزاری، ضد هرزنامهها و مسدودکنندگان آدرسهای اینترنتی هستند.) ترکیب راهحلهای سختافزاری و نرمافزاری مانع از آن میشود تا هکرها بتوانند بهسادگی به سیستمعامل، بانکهای اطلاعاتی و نسخههای پشتیبان از اطلاعات دسترسی پیدا کرده و اطلاعات را ویرایش، سرقت یا پاک کنند.
برایآنکه بتوان یک سیستم امنیتی گسترشپذیر و ایمن را برای یک شبکه متوسط یا بزرگ طراحی کرد، لازم است ریسکهای سازمان بهدرستی شناسایی شده و خطمشیهای امنیتی متناسب با اهداف سازمان تدوین شوند.
خطمشیها و اصول امنیتی
بهطورکلی، خطمشیها و اصول امنیتی که اجازه میدهند از سامانههای فناوری اطلاعات و شبکه یک سازمان محافظت کرد شامل موارد زیر میشوند:
دفاع یکپارچه و همهجانبه
همانگونه که در شکل زیر مشاهده میکنید برای محافظت از منابع فناوری اطلاعات به لایههای امنیتی مختلفی نیاز دارید. در دکترین امنیتی دفاع همهجانبه شامل رعایت موارد زیر میشود:
محافظت مبتنی بر لایه: در یک خطمشی امنیتی درست، لایههای امنیتی مکمل یکدیگر هستند. به عبارت دقیقتر، اگر یکلایه موفق نشود یک تهدید را شناسایی کند، لایه دیگر قادر به انجام این کار است.
دفاع در چند مکان مختلف: مکانیزمهای دفاعی و امنیتی باید در مکانهای مختلفی از شبکه قرار بگیرند تا نواقص یکدیگر را پوشش دهند.
پیادهسازی مکانیزمهای امنیتی متفاوت از یکدیگر: زمانی که قرار است دولایه با کارکردی یکسان در یک شبکه پیادهسازی شوند، به طور مثال دو دیوارپوش، بهتر است از محصولات دو شرکت مختلف استفاده شود. دقت کنید روش فوق پیچیدگی برنامه امنیتی را زیاد کرده و هزینه مدیریت و نگهداری را افزایش میدهد. به همین دلیل این قاعده باید بادقت هرچهتمامتر اجرایی شود
طبقهبندی اطلاعات
منابع سیستمی فناوری اطلاعات سطوح مختلفی از حساسیت، آستانه تحمل و ریسکپذیری در برابر تهدیدات دارند. در نتیجه میزان حساسیت آنها در برابر تهدیدات یکسان نیست و این مسئله باید در زمان تدوین خطمشی امنیتی لحاظ شود. برای پاسخگویی به این مسئله اصل پنهانسازی اطلاعات بهعنوان یکی از مولفههای کلیدی امنیت گسترش پیدا میکند تا تجهیزات فناوری اطلاعات تنها دادههایی که موردنیاز دستگاهها و کارمندان است در دسترس قرار گیرند. در این زمینه میتوان به سرورهای ارائهدهنده سرویس برای اینترنت اشاره کرد که تنها در سامانه نام دامنه عمومی ثبت میشوند.
اصل حداقل امتیاز
کارمندان و تکنسینهای سیستمی که با سامانههای فناوری اطلاعات در تعامل هستند باید حداقل امتیازات لازم برای دسترسی به اطلاعات و سامانهها را داشته باشند تا عملکرد شبکه در وضعیت مطلوب قرار گیرد. قاعده فوق در ارتباط با دادهها و سرویسهایی که قرار است در دسترس کاربران خارجی یا شرکای شرکت قرار گیرد نیز صادق است. یکی از موارد مهمی که در اصل حداقل امتیاز باید به آن دقت کرد این است که امتیازات تخصیصدادهشده به کاربران و مدیران فناوری اطلاعات باید متناسب با نقش و وظایف اجرایی آنها باشد.
ضعیفترین عنصر موجود در زنجیره امنیت
سطح ایمنی سامانههای فناوری اطلاعات در برابر تهدیدات به ضعیفترین عنصر موجود در این حلقه بستگی دارد. کارشناسان امنیتی میدانند که همواره باید به اصل SPOF سرنام Single Point of Failure توجه خاصی داشته باشند. اصل فوق در ارتباط با دسترسپذیری سرویسهای شبکه است. مطابق با این اصل تمامی لینکها، تجهیزات شبکه و امنیت، سرورهای موجود در شبکه که نقش پلی برای برقراری ارتباط میان کاربران و منابع مهم را ایفا میکنند باید در پیکربندیهای مربوط به افزونگی موردتوجه قرار گیرند. در زمان پیادهسازی مکانیزم امنیتی شبکه لازم است تا قواعد مهمی همچون تفکیک وظایف و گردش شغلی موردتوجه قرار گیرد. این اصول باهدف محدودکردن توانایی کارمندان در نادیدهگرفتن دستورالعملها یا نقض خطمشیهای امنیتی به کار گرفته میشوند. تفکیک وظایف بیانگر این موضوع است که وظایف و عملکردهای مهم در هر بخش باید توسط دو یا چند کارمند محدود انجام شود. گردش شغلی نیز اعلام میدارد کارمندان نباید در یک سازمان برای مدتزمان مدیدی در یک پست باقی بمانند و لازم است به طور متناوب جایگاه شغلی آنها تغییر کند.
تقسیمبندی حوزههای امنیتی
دیوارهای آتش اصلیترین مکانیزم دفاعی در برابر تهدیدات هستند که جریان ترافیک شبکه را زیر نظر گفته و محدودیتهایی در ارتباط با ارسال یا دریافت دادهها ایجاد میکنند. دیوارهای آتش زمانی که همراه با سمانههای تشخیص نفوذ و فهرستهای کنترل دسترسی در سوئیچها و روترها استفاده شوند یکلایه امنیتی قدرتمند به وجود میآورند. اگر دیوارهای آتش به شکل درستی استقرار پیدا کرده و پیکربندی شوند، شبکههای بزرگ به زیرشبکههای کوچکتر تقسیم شوند و تقسیمبندی حوزههای امنیتی متناسب با قواعد استاندارد انجام شود، زیرساختهای ارتباطی شبکه توسط یک معماری امنیتی قدرتمند محافظت خواهند شد. در دکترین طراحی امنیت شبکه، اصل تقسیمبندی قواعد زیر را شامل میشود:
منابع سامانههای فناوری اطلاعات با سطوح مختلف حساسیت باید در حوزههای امنیتی مختلفی قرار گیرند.
تجهیزات و سامانههای ارائهدهنده خدمات به شبکههای خارجی همچون اینترنت باید در حوزههای مختلفی همچون De-Militarized Zone قرار گیرند تا اگر حملهای انجام شود، سامانهها و تجهیزات داخلی شبکه آسیب نبینند.
منابع کلید و مهم فناوری اطلاعات باید در حوزههای امنیتی ویژهای قرار گیرند.
تجهیزات و سامانههایی که قابلیت اطمینان پایینی دارند همچون سرورهای دسترسی از راه دور و نقاط دسترسی بیسیم در شبکه باید در حوزههای امنیتی خاصی استقرار یابند.
منابع سیستمی مختلف فناوری اطلاعات باید در حوزههای امنیتی جداگانه از یکدیگر قرار گیرند تا در صورت بروز حمله آسیبدیدگی به حداقل برسد.
ایستگاههای کاری کارمندان باید در حوزههای امنیتی خاصی مستقر شوند.
سامانههای مدیریت امنیت و شبکه باید در حوزههای امنیتی خاص قرار گیرند.
پیشگیری از نفوذ
تجهیزاتی همچون سامانههای پیشگیری از نفوذ، دیوار آتش تحت برنامه (WAF) و…. مسئولیت شناسایی و مسدودکردن نفوذها و حملاتی را عهدهدار هستند که توسط هکرها و برنامههای مخرب پیادهسازی میشوند. سامانههای فوق باید در مسیر شبکه داخلی و شبکه خارجی و همچنین منابع حساسی که احتمال نفوذ به آنها وجود دارد نصب شوند. باتوجهبه اینکه ممکن است هکرها حملات مبتنی بر نشستهای رمزگذاری شده را پیادهسازی کنند باید این مسئله توسط سامانههای IPS موردتوجه قرار گیرد. در حالت معمول، سامانه IPS نمیتواند نشستهای رمزگذاری شده را بررسی کند، به همین دلیل اگر نشستها قبل از رسیدن به IPS رمزگشایی شوند، این امکان وجود دارد تا مانع شکلگیری برخی از حملات شد. در یک مکانیزم امنیتی خوب شبکههای داخلی به شکل مستقیم به اینترنت دسترسی ندارند، زیرا هکرها ممکن است از طریق یک حمله فیشینگ تروجانی برای یک ایستگاه کاری ارسال کنند و سامانه کاربر را قربانی کنند. در چنین شرایطی اگر شبکه داخلی در پشت یک دیوار آتش پنهان شده باشد، هکر قادر نخواهد بود به شبکه داخلی دسترسی پیدا کند. شکل زیر نحوه پیادهسازی چنین مکانیزمی را نشان میدهد. در شکل زیر سرویسهای اینترنتی برای کاربران تنها از طریق ایمیل سازمانی و سرورهای مبتنی بر HTTP Proxy در دسترس هستند
در تحلیل ریسکها و طراحی امنیت، همواره تأکید بر ارزشمندترین منابع فناوری اطلاعات همچون سامانههای ارائهدهنده خدمات یا پشتیبان است. بااینحال، نباید از ایمنسازی منابع و تجهیزات دیگر غافل شد. برخی از کارشناسان امنیتی از راهکار Island Hopping برای مقابله با حملات سایبری استفاده میکنند. Island Hopping روی این اصل مهم تأکید دارد که کسب مجوز دسترسی غیرمجاز به حوزههای محافظت شده از طریق نقاط ضعیفی انجام میشود که برای سازمان حائز اهمیت نیستند. به همین دلیل از این نقاط بهعنوان نقطه شروعی برای نفوذ و دسترسی به منابع ارزشمندتر و محافظت شده یک سازمان استفاده میشوند. شناسایی و پاسخگویی به حوادث و نقصهای امنیتی باید در کوتاهترین زمان ممکن انجام شود و در زمان تدوین برنامه امنیتی باید به موارد یاد شده اشاره شده باشد. به طور مثال، باید شرایطی همچون یک حمله مبتنی بر آسیبپذیری روز صفر در نظر گرفته شود. حملهای که بر مبنای آن سامانه پیشگیری از نفوذ قادر به شناسایی آن نیست و در نتیجه یک هکر بهراحتی موفق میشود به زیرساخت ارتباطی یک شبکه نفوذ کند. به همین دلیل باید یک چنین شرایطی خاصی در برنامه امنیتی موردبررسی قرار گرفته و تمهیدات لازم در نظر گرفته شده باشد. همچنین فراموش نکنید مسئولان دپارتمان امنیت باید گزارشها و هشدارها را به طور مرتب بررسی کرده، ترافیک و فعالیتهای روزمره در شبکه را زیر نظر گرفته و با اصول مدیریت شبکههای محلی مجازی آشنا باشند.
منبع: shabakeh-mag