مدل امنیتی مبتنی بر زنجیره حمله

زنجیر کامل حمله: قبل، حین و بعد از حمله
زمان، زمان استفاده از مدلهای جدید امنیتی است
در حال حاضر دامنه حملات هیچ شباهتی به ۱۰ سال پیش ندارد. حملاتی که قبلا باعث ایجاد خسارات قابل جبران میشدند جای خود را به حملات سایبری پیچیده و دارای حامی مالی دادهاند که میتوانند خسارت شدیدتری به منابع سازمانها و زیرساختهای ملی وارد کنند. امروزه نه تنها شناسایی این حملات دشوارتر شده بلکه آنها میتوانند برای مدت زمان طولانی در شبکهها باقی بمانند و از منابع شبکه برای حملات بعدی خود استفاده کنند.
راهکارهای دفاعی سنتی که منحصرا بر روی شناسایی و جلوگیری نقطهای و لحظهای متکی هستند دیگر برای شناسایی حملات پیشرفته، کاربردی نمیباشند. بنابراین زمان آن رسیده است تا از یک مدل امنیتی جدید که کل زنجیره حمله یعنی قبل، حین و بعد حمله را پوشش میدهد برای شناسایی حملات استفاده کنیم.

تبدیل شدن هک به یک صنعت پولساز
۲۵ سال پیش بود که اولین ویروس کامپیوتری ظهور پیدا کرد. شاید در ابتدا این موضوع بدین شکل درک نشده بود که این ظهور آغازی برای صنعت هک میباشد. تقریبا حدود ۱۰ سالی ویروسها به عنوان متد اصلی برای انجام حمله دوام آوردند و بعدها سیستمهای دفاعی خود را برای مقابله با آنها مطابقت دادند. ولی این مهاجمان هستند که به دلیل انگیزههایی مانند پول، شهرت و همچنین دانش بدست آمده از کشف و تبلیغ آسیبپذیریها، همچنان به نوآوریهای خود در این حوزه ادامه میدهند. در واقع آنچه منجر به تمایز در چرخهی تهدیدات شده، اصطلاحاً “یک مسابقه تسلیحاتی” است. در واقع در یک جنگ تسلیحاتی مهاجمان بایستی تقریبا هر ۵ سال یک بار تهدیدات جدیدی را با استفاده از میکرو ویروسها، کرمها و روت کیتها ایجاد کنند. در مقابل کارشناسان امنیت بایستی برای حفاظت از شبکه خود دست به نوآوری زده و به فناوریهای جدید روی بیاورند.
تغییرات فناوری
اینکه ما تغییر در چرخههای مربوط به حملات در گذر زمان را به تغییرات عمده فناوری مرتبط بدانیم کاملا درست است. زیرا این تغییرات فناوری است که اکثرا باعث ایجاد بردارهای جدید حملات میشود. برای مثال ویروسها در شکل ابتدایی خود فقط سیستم عاملها را مورد هدف قرار میدادند و از طریق sneaker net منتشر میشدند. میکرو ویروسها نیز از اشتراک فایلها توسط کاربران بهره میبردند. کرمها نیز برای انتقال از دستگاهی به دستگاه دیگر معمولا از شبکه سازمانها و فعالیتهای اینترنتی کاربران برای انتشار خود استفاده میکنند. همچنین نرم افزارهای جاسوسی و روت کیتها هم بیشتر با پیدایش برنامهها، دستگاهها و جوامع آنلاین ظهور پیدا کردند. ولی در حال حاضر آنچه به وضوح روشن است این است که ما با بدافزارها، حملات و تهدیدات هدفمندتر و پیشرفتهتری (APT) نسبت به گذشته روبرو هستیم. بنابراین میتوان گفت آنچه این دوران را از گذشته متمایز میکند، انگیزهها و ابزارهایی است که پشت این حملات وجود دارد.

صنعت هک بلای جان سازمانها
صنعتی شدن هک باعث ایجاد یک اقتصاد غیرقانونی با سرعت رشد بالا، موثر و کارآمد شده است که اکثرا از حمله به زیرساختهای فناوری اطلاعات سود میبرد. در حال حاضر بازار خرید و فروش سازمان یافته Exploitها بسیار سودآور و شکوفا شده است. و وجود بازار آزاد نیز کمک کرده تا این Expliotها به سرعت منجر به سرقت، اخلال و تخریب شوند. از طرفی هکرها نیز متوجه شدهاند که میتوانند به سرعت از این راه پول زیادی کسب کنند، به همین دلیل کار خود را استانداردتر، مکانیزهتر و دارای فرآیند کردهاند. مهاجمان به راحتی میتوانند ماهیت ثابت فنآوریهای امنیتی کلاسیک و استقرار متفاوت آنها را درک و از شکافها و آسیبپذیریهای آنها برای نفوذ استفاده کنند. حتی بسیاری ازهکرها، فرآیندهای مختلف تولید نرم افزار از جمله آزمایش تضمین کیفیت یا تست نفوذ در برابر فنآوریهای امنیتی قبل از انتشار را نیز دنبال میکنند، تا مطمئن شوند که همچنان حفاظتهای امنیتی معمول را میتوانند دور بزنند.
بررسی زنجیره کامل حمله: قبل، حین و بعد حمله
امروزه بیشتر ابزارهای امنیتی بر روی ایجاد شفافیت در شبکه و مسدود کردن بدافزار در نقاط ورودی تمرکز دارند. بعضی از این راهکارها، فایلها را فقط یک بار در زمان ورود به شبکه اسکن میکنند تا در صورت آلوده بودن از ورود آنها جلوگیری شود. ولی براساس اطلاعات موجود از حملات، اکثر آنها در زمان و مکان مشخصی روی نمیدهند. بنابراین در هر لحظه و زمانی امکان حمله وجود دارد و این موضوع سازمانها را نیازمند انجام بررسی مداوم در سراسر شبکه میکند. در حال حاضر مهاجمان از روشهایی مانند port hopping، روشهای encapsulation، حملات روز صفر، روشهای فرار از ابزارهای تشخیص کنترل و فرمان (C&C)، تکنیکهای sleep، ترافیک رمزگذاری شده، تهدیدات ترکیبی و فرار از sandbox استفاده میکنند تا از شناسایی اولیه جلوگیری کنند. اگر آلوده بودن فایلی با استفاده از راهکارهای تشخیص نقطهای شناسایی نشود و این فایل پس از ورود به شبکه سازمان تکامل یافته و مخرب شود، فنآوریهای تشخیص نقطهای لحظهای قادر به شناسایی آن نخواهند بود. روشهای امنیتی نباید فقط بر روی قدرت تشخیص تمرکز کنند بلکه باید توانایی خود را برای کاهش تأثیراث حمله در زمان وقوع آن نیز داشته باشند. سازمانها به طور کلی بایستی مدل امنیتی خود را مورد بازبینی قرار داده و با استفاده از اطلاعات بدست آمده از کل شبکه و زنجیره کامل حملات به شفافیت کامل و کنترل دست پیدا کنند.

قبل از حمله
برای اینکه بتوانیم از سازمان خود در برابر مهاجمانی که از ماهیت و محتوای ارتباطات ما اطلاع دارند محافظت کنیم نیازمند راهکارهایی یکپارچه و ماهیت محور میباشیم. برای توانمندی در برابر هر حملهای، سازمانها نیازمند دید شفافی از شبکه خود، شامل هاستهای مجازی و فیزیکی، سیستم عاملها، برنامههای کاربردی، سرویسها، پروتکلها، کاربران، محتوا و رفتار شبکه میباشند تا نسبت به مهاجمان از برتری اطلاعاتی برخوردار باشند. سازمانها باید ریسکهای موجود در زیرساخت ارتباطی خود را براساس میزان ارزش داراییهای خود برآورد نمایند. اگر ما درک درستی از چیزی که قرار است محافظت کنیم نداشته باشیم، قطعا آمادگی لازم برای انتخاب و استفاده از تکنولوژیهای امنیتی مناسب برای دفاع را نخواهیم داشت. شفافیت و داشتن دید کامل شامل داشتن دید نسبت به کلیه نقاط پایانی، mail gatewayها و درگاههای وب، محیطهای مجازی و دستگاههای تلفن همراه و همچنین مراکز داده میشود. این دید زمانی کابردی و موثر خواهد بود که هشدارهای قابل اجرا ایجاد کند تا مدافعان بتوانند آگاهانه تصمیم بگیرند.
حین حمله
حملات پیشرفته اکثرا در یک لحظه مشخص رخ نمیدهند، بلکه آنها فعالیتهای مستمری هستند که برای محافظت در برابر آنها نیازمند امنیت پایدار و مستمر میباشیم. براساس معماری تکنولوژیهای امنیتی سنتی، آنها فقط قابلیت شناسایی یک حمله در یک لحظه را دارند. بنابراین راهکارهایی با این ویژگی در برابر حملات پیشرفته جوابگو نمیباشد. بنابراین برای مقابله با حملات پیشرفته سازمانها نیازمند امنیتی مبتنی بر آگاهی است. امنیتی که بتواند دادهها را از سراسر شبکه جمع آوری و همبسته کند تا محتوا و آگاهی لازم برای شناسایی حملات فعال را فراهم نماید. این رویکرد، امنیت را از یک عملیات در یک مقطع زمانی به یک تجزیه و تحلیل مداوم و تصمیم ساز تبدیل میکند. در این رویکرد اگر فایلی از نقاط وردی شبکه عبور کند که تصور شود ایمن است و بعداً رفتارهای مخرب از خود نشان دهد، با استفاده از دید شفافی که این راهکار از کل شبکه فراهم میکند، سازمان میتواند اقدام مناسبی در مورد آن انجام دهد.
بعد از حمله
برای رسیدگی کامل به زنجیره حمله، سازمانها به مدل امنیتی گذشته نگر نیاز دارند. امنیت گذشته نگر یک چالش big data و توانایی است که تعداد کمی قادر به ارائه آن هستند. با داشتن زیرساختی که به طور مداوم دادهها را جمع آوری و تجزیه و تحلیل و اطلاعات امنیتی ایجاد کند، تیمهای امنیتی میتوانند به صورت کاملا اتوماتیک، نشانههای سازش (Indicators of Compromise) را شناسایی کنند. این راهکار کمک میکند تا بدافزاریهایی که به اندازه کافی پیشرفته هستند و میتوانند در مواجه با راهکارهای شناسایی، رفتار خود را تغییر دهند به راحتی شناسایی شوند. پس با استفاده از این روش آلودگیهایی که ممکن است هفتهها یا ماهها قابل شناسایی نباشند، به راحتی شناسایی، محدود، مهار و اصلاح میشوند. این مدل امنیتی تهدید محور به سازمانها این اجازه را میدهد تا در زنجیره کامل حمله تمام بردارهای حمله را در هر زمانی، تمام وقت و به صورت بلادرنگ مورد بررسی قرار دهند.
استفاده از مدل امنیتی جدید
برای فعال کردن مدل امنیتی جدید، سیسکو معتقد است که فناوریهای مدرن امنیتی باید بر حول محور سه ضرورت استراتژیک تمرکز داشته باشند. یعنی مدل امنیتی مورد استفاده باید مبتنی بر قابلیت شفافیت، تهدید محور و مبتنی بر سیستم عامل باشند.
شفافیت محور
مدیران امنیت برای مقابله با حملات و تهدیدات احتمالی باید بتوانند دید کاملی نسبت به آنچه در شبکه اتفاق میافتد داشته باشند. برای ایجاد این قابلیت، سازمانها نیازمند استفاده از ترکیبی از دو دید عرضی و عمقی میباشند. دید عرضی، توانایی دیدن و جمعآوری دادهها از تمام بردارهای احتمالی حمله در سراسر شبکه، نقاط پایانی، دروازههای ایمیل و درگاههای وب، دستگاههای تلفن همراه، محیطهای مجازی و ابر برای به دست آوردن دانش در مورد محیطها و تهدیدات میباشد. دید عمقی نیز توانایی همبستگی این اطلاعات، استفاده از هوش برای درک محتوا و تصمیمگیری بهتر و اقدام به صورت دستی یا خودکار را فراهم میکند.

تهدید محور
امروزه شبکهها به جایی که کارمندان و دادهها وجود دارند و هرجایی که میتوان به دادهها دسترسی داشت گسترش یافته است. علیرغم تمام تلاشها، همگام شدن با بردارهای حملات که دائماً در حال تکامل هستند، به چالشی بزرگ برای متخصصان امنیتی و فرصتی برای مهاجمان تبدیل شده است. با وجود اینکه سیاستها و کنترلهای امنیتی برای کاهش دامنه حملات کارساز میباشند، اما این تهدیدات هستند که همچنان راهی برای ورود پیدا میکنند. بنابراین تکنولوژیهای امنیتی باید همچنان بر روی شناسایی، درک و جلوگیری از تهدیدات تمرکز داشته باشدد. تهدید محور بودن یک مدل امنیتی به معنای فکر کردن مانند یک مهاجم، استفاده از شفافیت و محتوا برای درک و انطباق با تغییرات در محیط و سپس استفاده از راهکارهای حفاظتی و امنیتی برای اقدام و جلوگیری از تهدیدات است. بدلیل وجود بدافزار پیشرفته و حملات روز صفر، این یک راهکار ضروریست که برای بهبود کارایی خود نیازمند تجزیه و تحلیل مداوم و اطلاعات امنیتی بلادرنگ دارد.
مبتنی بر بسترهای نرم افزاری
در حال حاضر مسئله امنیت فقط یک مشکل شبکهای نیست. این مدل امنیتی در واقع یک سیستم یکپارچه از سیستم عاملهای چابک و باز میباشد که کلیه تجهیزات شبکه، دستگاهها و سرویسها و زیرساختهای ابری را پوشش میدهد. این سیستم عاملها باید قابل توسعه باشند، برای مقیاس بزرگ ساخته شده باشند و برای اعمال سیاستهای یکپارچه و کنترل هایمداوم دارای قابلیت مدیریت مرکزی باشند. به بیان ساده، آنها باید به اندازه حملاتی که ما با آنها مبارزه میکنیم فراگیر باشند. این موضوع به منزله تغییر از استقرار تجهیزات امنیتی ساده به سمت یکپارچه سازی یک بستر واقعی از خدمات و برنامههای کاربردی مقیاسپذیر با قابلیت نصب آسان است. یک رویکرد مبتنی بر پلتفرم نه تنها باعث افزایش اثربخشی امنیت از بین شکافهای امنیتی ایجاد شده در آنها میشود، بلکه باعث تسریع در زمان تشخیص و ساده سازی اجرای آن نیز میشود.
پوشش کامل زنجیره حمله
برای غلبه بر چالشهای امنیتی و دستیابی به حفاظتی بهتر، سازمانها به راهحلهایی نیاز دارند که کل زنجیره حمله را در بر بگیرد و براساس اصول بالا یعنی مبتنی بر شفافیت، تهدید محور و مبتنی بر سیستم عامل، طراحی شده باشند. سیسکو یک مجموعه جامع از راهحلهای امنیت سایبری تهدید محور را ارائه میدهد که میتوانیم با استفاده از آنها کل دامنه حملات را پوشش دهیم.

این راهحلهای خاص و مبتنی بر سیستم عامل، در واقع جامعترین گزینهها برای شناسایی و اصلاح بردارهای حمله را ارائه میدهند. آنها علاوه بر ارائه حفاظت لازم در همه مراحل حمله، میتوانند در یک راهحل جامع و به صورت یک سیستم امنیتی کلی ادغام شوند.
- قبل از حمله: این مرحله شامل هر دونسل از فایروالها، راهکارهای کنترل دسترسی و سرویسهای احرازهویت برای کشف تهدیدات و اعمال سیاستهای سختگیرانه میباشد که برای جلوگیری از حملات در لبه شبکه سازمانها استفاده میشوند.
- حین حمله: سیستمهای جلوگیری از نفوذ نسل جدید و راهحلهای امنیت ایمیل و درگاههای وب، توانایی ما را برای شناسایی، مسدود کردن و دفاع در برابر حملات بالقوه و بالفعل افزایش میدهد.
- پس از حمله: سازمانها میتوانند از راهکارهایی مانند Cisco Advanced Malware Protection و تجزیه و تحلیل رفتار شبکه استفاده کرده و به سرعت دامنه حملات را مشخص و به طور موثری آنها را مهار و اصلاح و از این طریق آسیبها را به حداقل برسانند.
دیدگاهتان را بنویسید