در این مقاله در مورد امنیت تطبیقپذیر و مزایای آن در سازمانها و شرکتها صحبت میکنیم. تطبیقپذیری در امنیت، معماری امنیت تطبیقپذیر، سازمانهایی که به این نوع امنیت نیاز دارند و… سرفصلهایی است که در ادامه میخوانید. با فالنیک همراه باشید.
- امنیت تطبیقپذیر چیست؟
- معماری امنیت تطبیقپذیر چگونه کار میکند؟
- چه سازمانهایی به معماری امنیتی تطبیقی نیاز دارند؟
- اتخاذ یک معماری امنیتی تطبیقی
متاسفانه برخی سازمانها و کارشناسان امنیتی دیدگاهی اشتباه در ارتباط با مکانیزم احراز هویت یک یا چندعاملی دارند. آنها تصور میکنند هویت را میتوان یک مرتبه تایید کرد و برای تمام دسترسیهای بعدی از آن استفاده کرد. در دنیای امنیت اطلاعات، حتی قویترین مکانیزمهای احراز هویت چندعاملی نمیتوانند تا این اندازه ایمن عمل کنند. گذرواژههای یکبار مصرف(OTP) اثربخشترین شیوه در این حوزه هستند، البته در صورتی که هکرها موفق نشوند در بازه زمانی تعیین شده که معمولا یک دقیقه است فعالیت مخربی انجام دهند. برای رفع ضعفهای ذاتی الگوهای فوق، رویکردهای تطبیقپذیر (Adaptive Approaches) به دنیای امنیت و شیوههای احراز هویت افزوده شدند. در این رویکردها، مجوزها بر مبنای شرایط و منابعی که کاربر میخواهد به آنها دسترسی داشته باشد، تخصیص داده میشود. در مکانیزم امنیت تطبیقپذیر، ممکن است برای احراز هویت به اطلاعات بیشتری نیاز شود یا کاربر مجاز باشد تنها به منابع خاصی دسترسی داشته باشد.
امنیت تطبیقی، الگویی است که با تجزیه و تحلیل رفتارها و اتفاقات و تطابق آنها با خطمشیهای امنیتی میزان خطرناک بودن آنها را مشخص میکند و به کارشناسان امنیتی دید روشنی برای مقابله با تهدیدات سایبری میدهد. با یک معماری امنیتی تطبیقی، یک سازمان میتواند بهطور مداوم ریسکها را ارزیابی کند و بهطور خودکار اقدامات متناسبی انجام دهد تا هم مخاطرات به یک تهدید جدی تبدیل نشوند و هم عملیات تجاری با وقفه روبرو نشوند.
امروزه سازمانها با تهدیدات امنیتی دائمی از سوی منابع خارجی و داخلی مواجه هستند. از اینرو، باید هوشیار و آماده باشند و مجموعهای قوی از سیاستهای امنیتی را که قابل پیادهسازی در بخشهای مختلف سازمان هستند پیادهسازی کنند.
با توجه به تکامل مداوم تهدیدات امنیتی، دیگر برای سازمانها صرفاً استفاده از مکانیسمهای مسدودکننده یا روشهای پس از رویداد برای جلوگیری و پاسخ به حملات کافی نیست. آنها باید از پلتفرمهای امنیتی پیشرفتهتری استفاده کنند که قادر به تطبیق با آخرین تهدیدات و استفاده از مکانیسمهای حفاظت و پاسخ پویا باشند.
امنیت تطبیقپذیر چیست؟
امنیت تطبیقپذیر (Adaptive Security)، یک مدل امنیتی سریع و لحظهای است که بهطور دائمی رفتارها و رخدادهای انجام شده در یک سامانه یا شبکه را ارزیابی میکند تا از زیرساختها در برابر تهدیدات سایبری محافظت کند. امنیت تطبیقپذیر سعی میکند تهدیدها را قبل از آنکه به یک چالش امنیتی جدی تبدیل شوند شناسایی کند. هدف اولیه امنیت تطبیقی پیادهسازی یک حلقه بازخورد به تهدیدات سایبری است که مبتنی بر نظارت، تشخیص تهدید و پیشگیری است. در چارچوب کلی، امنیت تطبیقپذیر بر مبنای یک حلقه چهار مرحلهای پیشگیری، تشخیص، پاسخگویی و پیشبینی پیادهسازی میشود. شکل زیر این الگوی معماری را نشان میدهد.
معماری امنیت تطبیقپذیر چگونه کار میکند؟
همانگونه که اشاره شد، معماری مذکور از چهار مرحله کلیدی تشکیل شده که در ادامه عملکرد هر یک از آنها را بررسی میکنیم.
۱.پیشگیری (Detection)
پیشگیری، اولین گام برای محافظت از زیرساختها در برابر تهدیدات سایبری است. معماری امنیت تطبیقپذیر به سازمانها اجازه میدهد از محصولات و خطمشیهای امنیتی برای پیشگیری از بروز حملههای سایبری استفاده کنند. البته در این مرحله راهحلهای امنیتی تهدیدات را مسدود نمیکنند، بلکه نرمافزارها، سرویسها یا فایلها را بررسی میکنند و هرگونه فعالیت مشکوک را شناسایی کرده و گزارشی در اختیار کارشناسان امنیتی قرار میدهند. در ادامه کارشناسان تصمیم میگیرند که باید چه اقداماتی را برای ایمنسازی زیرساختها انجام دهند. این اقدامات میتوانند در قالب پیادهسازی دیوارهای آتش، موتورهای تشخیص مبتنی بر امضا و فناوریهای حفاظتی مجهز به یادگیری ماشین انجام شوند. اگر این مرحله به درستی پیادهسازی شود، نزدیک به ۹۹ درصد چالشهای امنیتی را مسدود میکند. با اینحال، یک درصد باقیمانده میتواند آسیبهای جدی به زیرساختها وارد کند.
۲.تشخیص (Detection)
در این مرحله، راهحلهای امنیتی با هدف تشخیص تهدیدات امنیتی و ارسال گزارش فعالیتها و عملیات مشکوک به کارشناسان امنیتی بدون مسدود کردن تهدیدات پیادهسازی میشوند. دقت کنید در این مرحله اقدامی برای مسدودسازی تهدیدات انجام نمیشود، زیرا هدف، تشخیص و در صورت امکان شناسایی عامل بروز تهدید است. کارشناسان امنیتی پس از دریافت گزارشها اقدامات لازم برای واکنش به حملهها را بررسی میکنند. در این مرحله، از سامانههای تحلیل و ارزیابی پویای رفتار کدها استفاده میشود و راهحلهای امنیتی، پیرامون شناسایی تهدیدات سایبری هستند و آنها را مسدود نمیکنند. پیادهسازی درست این مرحله زمان شناسایی فعالیتهای مشکوک را کم میکند و مانع از آن میشود که مخاطرات جدی تبدیل به حملههای واقعی شوند.
۳.واکنش (Responsive)
واکنش، مهمترین بخش در معماری امنیتی تطبیقپذیر است. در این مرحله تمهیدات امنیتی و شیوه واکنش به تهدیدات امنیتی که در لایههای قبل شناسایی شدهاند، اجرا میشوند. در مرحله Responsive، معماری امنیت تطبیقپذیر بر مبنای خطمشیهای تعیین شده، به تهدیدات شناسایی شده پاسخ میدهد. در این مرحله، ممکن است خطمشیها اصلاح و قواعد امنیتی جدید تعریف شوند. این مرحله اتفاقات را بررسی میکند، در صورت لزوم تغییراتی در خطمشی تعیین شده اعمال میکند و تجزیه و تحلیل مبتنی بر تجربیات گذشته (یادگیری ماشین) را انجام میدهد.
۴.پیشبینی (Prediction)
لایه پیشبینی هشدارهای ضروری در ارتباط با اتفاقات خارجی را به تیمهای فناوری و کارشناسان امنیتی اطلاع میدهد. همچنین، این لایه با نظارت بر فعالیتهای انجام شده در شبکه، سعی میکند موارد مشکوکی را که ممکن است به بردارهای حمله تبدیل شوند، پیشبینی میکند و اطلاعات لازم در ارتباط با تقویت لایههای تشخیص و پیشگیری را ارائه میکند.
چه سازمانهایی به معماری امنیتی تطبیقی نیاز دارند؟
سرعت غیر قابل باور پیشرفت فناوری برای سازمانهای بزرگ دستاوردهای درخشانی به همراه دارد، اما برای کسب و کارهای کوچک دردسرهایی را ایجاد کرده است. مسائل زمانی بغرنجتر میشوند که میبینیم چشمانداز تهدیدات سایبری نیز با همان سرعت در حال تحول است. بهطور سنتی، سازمانها به سیستمهای واکنشگرا و راهحلهایی مثل نرمافزارهای آنتیویروس برای کاهش آسیبهای ناشی از بدافزار و نقض دادهها متکی خواهند بود، در حالی که اینها بخش مهمی از هر استراتژی امنیتی باقی میمانند، یک استراتژی امنیتی تطبیقی برای مقابله با تهدیدات بیشمار غیر قابل اجتناب است. در حالت کلی، معماری امنیتی تطبیقی مورد نیاز هر سازمانی است که اطلاعات مهمی در ارتباط با فعالیتهای تجاری و مشتریان دارد. امروزه کمتر نهاد دولتی قبول میکند که زیرساختهای شما بهدلیل نقضهای دادهای، به هکرها اجازه دادهاند به اطلاعات مشتریان دست پیدا کنند، از اینرو، اتخاذ یک معماری امنیتی تطبیقی کمک میکند به میزان قابل توجهی از شدت این مخاطرات کم کنید. در حالت کلی، شرکتهای فعال در زمینه ارائه راهحلهای ابرمحور، ارائهدهندگان سرویسهای DNS، ارائهدهندگان خدمات اینترنت، شرکتهای فعال در زمینه بیمه و شرکتهای فعال در زنجیره تامین از مخاطبان اصلی این الگوی امنیتی هستند.
اتخاذ یک معماری امنیتی تطبیقی
امنیت تطبیقپذیر فراتر از طراحی یک چارچوب ساده امنیتی برای محافظت از شبکه و تهدیدات پیرامون آن است. بنابراین، این انعطافپذیری را دارد تا متناسب با رویهها و خطمشیهایی که برای آن تعریف شده تغییر کند، تکامل یابد یا هماهنگ شود. نکته مهمی که باید در مورد امنیت تطبیقی به آن دقت کنید، این است که سازمانها میتوانند فارغ از برنامههای تجاری یا ابعاد شبکه سازمانی امنیت تطبیقی را تعریف کنند. معماری مذکور میتواند هماهنگ با رویهها و خطمشیهای تعریف شده برای آن، تغییر و تکامل پیدا کند. نکات زیر از موارد مهمی هستند که توجه به آنها به طراحی دقیق یک مدل امنیتی تطبیقپذیر کمک میکند:
- شناسایی انواع بردارهای حمله و ویژگیهای آنها که سازمانها را تهدید میکنند. کوچکترین رفتار مشکوک باید بهعنوان نشانهای از حمله شناسایی و ضبط شود.
- مولفهها، رفتارها و اقداماتی که باعث ایمنی زیرساخت میشوند باید مشخص شوند.
- فرآیندها و خدماتی که برای نظارت بر تهدیدات باید از آنها استفاده شوند پیکربندی شوند.
- در صورت لزوم سامانههای واکنش به تهدیدات مرتبط با فرآیندها و خدمات در زیرساخت نصب شوند و مرتبط با آنها باشند.
- برای تداوم فعالیتهای تجاری حیاتی است افزونگیها در ارتباط با تجهیزات شبکه، لینکهای ارتباطی، بانکهای اطلاعاتی و نرمافزارها پیادهسازی شوند.
- بر مبنای رویکرد اعتماد صفر، هیچ مولفه حیاتی نباید قابل اعتماد تشخیص داده شود، زیرا ممکن است عملکرد زیرساخت را مختل کند. بهطور مثال، Firmware (سفت افزار) روتری ممکن است به عامل آسیبپذیری آلوده باشد که هنوز شناسایی نشده، اما هکرها آنرا شناسایی کردهاند. در چنین شرایطی، هکرها میتوانند بدون اطلاع فروشنده یا مصرفکننده از آسیبپذیری برای نفوذ به شبکه سازمانی استفاده کنند.
- اقدامات واکنشی به تهدیدات باید بهگونهای تنظیم شوند که عملکرد سامانهها یا خدمات مختل نشود.
- مراحل بازیابی پس از حادثه با جزئیات کامل مشخص و تعریف شوند.
- ابزارهای موردنیاز برای اعتبارسنجی اقدامات واکنشی تعریف و در دسترس باشند.
ارسال دیدگاه