مروری بر راهکارهای امن سازی شبکه

ازآنجایی که وقوع حملات در تمامی شبکه ها امری محتمل و بدیهی است، لذا نکته کلیدی و مورد بحث را باید در زمان وقوع حملات جستجو کرد، نه احتمال رخدادن آنها. از اینرو محافظت از شبکه و منابع اطلاعاتی سازمان در قبل، حین و بعد از حمله بسیار حیاتی بوده و سیسکو راهکارهای کاملی را در مسیر پشتیبانی از داده های اطلاعاتی در هر کدام از مراحل و سطوح عنوان شده ارائه کرده است. در زیر به کلیاتی از این راهکارها میپردازیم:
1- کاربران از داخل و بیرون محدوده ی شبکه میتوانند به اینترنت متصل شوند و بنابراین قبل از رخ دادن حمله، راهکار مورد نظر در قبال واکنش به این حملات باید تحدیدات را شناسایی کرده، مکانیزم مقابله را به اجرا دراورد و نهایتا اقدام به مقاوم سازی شبکه نماید.
2- تکنولوژی OpenDNS میتواند Advanced Threat Protection را با شناسایی تحدیدات و اعمال سیاست های امنیتی به منظور محافظت از درگاه سیستم DNS ارائه دهد. این راهکار با Inspect کردن ترافیک کاربر و رصد نمودن مقصد ارسال بسته های وی، ترافیکی ارسالی به مقاصد آلوده را بلاک کرده و توان محافظت از کاربران را در هر نقطه ای خواهد داشت. OpenDNS قابلیت Protect کردن از هر پورت و پروتکلی را داشته تا تلفات حمله را پیش از وقوع آن، برای کاربرانی که از داخل یا بیرون به شبکه متصل می شوند، کاهش دهد.
3- فایروال اغلب در لبه شبکه قرار گرفته و تعیین میکند چه ترافیکی وارد شبکه شده و یا از آن خارج شود. این تجهیز حیاتی همچنین Port Hopping Application ها را کنترل کرده، شدت تلفات حمله را کاهش داده و با در نظر داشتن سیاستهای امنیتی، سطح اولیه امنیت و اعمال کنترلها را در شبکه میسر می کند. همچنین، محافظت از دیتاسنترها به عنوان مهمترین بخش از شبکه که محل ذخیره سازی اطلاعات سازمان یا کسب و کار هستند، نیاز به استقرار فایروالهای اختصاصی دارد. بدین وسیله کنترل سیاستهای امنیت شبکه، قبل از وقوع حمله عملی میگردد.
4- راهکار Cisco ISE، کاربران پیرامون و خارج از شبکه را دربر گرفته و شناسایی میکند که چه کسی، از طریق چه نوع تجهیزی، از کجا و چه زمانی به شبکه سازمان متصل می شود. ISE و TrustSec در فاز قبل از حمله، در تعامل با همدیگر کار کرده تا کنترل و دسترسی صحیحی را برای کاربران و تجهیزاتی که در هر وضعیتی (حتی از طریق VPN) به شبکه Connect میشوند، لحاظ نمایند. در نتیجه ی این تعامل، مجموعه ای از داده های مرتبط با پارامترهای مختلف مختص به دسترسی کاربران جمع آوری شده تا فرایند اعمال سیاست ها به صورت دقیقتر و مناسبتری دنبال شود.

حال به سراغ راهکارهای محافظت از شبکه، در حین رخ دادن حمله (During an Attack) میپردازیم:
1- در این فاز شناسایی و بلاک کردن آنی حملات موضوعی بسیار حیاتی است. بعد از اینکه فایروال حجم ترافیک شبکه و Application هایی را که مجاز به ورود به شبکه هستند را محدود کرد، Next-Generation IPS (NGIPS) ترافیک را Inspect کرده و حملات شناخته شده را یافته و بلاک میکند. این برهه دقیقا زمانی است که داشتن بهترین راهکار مختص به شناسایی تحدیدات که از سوی Cisco FirePower NGIPS (به عنوان لیدر حوزه ی Threat Detection) ارائه میشود، کارساز خواهد بود.
2- در خارج از Perimeter Network، با اساسی ترین محتوای ترافیکی برای نفوظ Threat ها روبرو هستیم یعنی ترافیکهای وب و ایمیل. راهکارهای WEB Security (با استفاده از Cisco WSA) و Email Security ( با استفاده از Cisco ESA) میتوانند دسترسی کاربران به محتویات مخرب ترافیکهای وب و ایمیل را بلاک کرده و مانع از به دام افتادن آنها در طعمه ی سایتها و لینکهای الوده شوند.

حال با مکانیزمهای Protection بعد از وقوع حمله آشنا میشویم:
1- در این برهه از زمان، Threat از قبل داخل محیط شبکه نفوظ کرده و ازینرو نیاز به Remediate کردن Malicious Activity ها داریم. Advanced Malware Protection یا AMP، نه تنها به عنوان یک راهکار محافظت از Endpoint ها در دسترس است، بلکه قابلیت ادغام با سایر تکنولوژیهای امنیتی اعم از WEB Security، Email Security را نیز دارا می باشد. AMP اصطلاحا یک مکانیزم امنیتی گذشته نگر (Retrospective Security) را ارائه می دهد. به گونه ای که اگر فایل الوده شود، بعد از بازه زمانی خاصی امکان شناسایی آن و همچنین Remediate کردنش را دارد. به عبارت دیگر AMP فعالیتهای فایل و تبادل ارتباطات مختص به آن را در طی زمان ردیابی کرده و بعد از تشخیص وسعت آلودگی و ریشه یابی علت آلودگی، در جهت بازسازی فایل اقدام می کند.
2- راهکار AMP Threat Grid اطلاعات مربوط به Dynamic Malware Analysis و Threat Intelligence را به AMP ارائه میدهد تا ازین طریق اطلاعات بیشتری برای Remediation در اختیار تیم پاسخگوی رخدادهای امنیتی (Incident Response Team) قرار گیرد.

3- تکنولوژی Cognitive threat analytics (CTA) ترافیکهای Log شده و رفتار آنها را آنالیز میکند و بدینوسیله میتواند رخنه هایی را که Zero-Day Attack ها با وجود تمامی کنترلها در آن نفوظ کرده اند را شناسایی کند. این امکان میتواند در ترکیب با AMP Threat Grid و Query کردن دیتابیس مختص به آن و سپس Correlate کردن شاخصه های مختلف با این دیتابیس در جهت شناسایی Malware ای که آلودگی را منتشر کرده، فراهم شود.
4- همچنین، Cisco lancope stealthwatch اطلاعات ترافیک شبکه را گرداوری کرده و جریان ترافیک را رصد و بررسی می کند تا نهایتا امکان Remediation ترافیکهای آلوده را مهیا کند. به عبارت دقیقتر، این سیستم داده های NetFlow را (که در حجم بالا از جریان ترافیک ردوبدل شده در زیرساخت شبکه حاصل شده است) جمع آوری و Normalize کرده و سپس با آنالیز کردن آن، در صدد شناسایی الگوهای مضر و آلوده ترافیک شبکه بر میاید.
5- انجمن تحقیقاتی Talos گروهی از محققان را در بر میگیرد که روی شناسایی اخرین Threat ها کار میکنند. محققان Talos امکان Share کردن اطلاعات و داده هایی که درباره ی تهدیدات شناسایی شده وجود دارد را روی محصولات مختلف سیسکو میسر کرده و با اپدیت کردن منظم این اطلاعات، هوشمندی لازم را در قبال تهدیدات به این تجهیزات منتقل میکنند.

, ,

Related Posts

برای نوشتن دیدگاه باید وارد بشوید.
فهرست