Endpoint Security

در زنجیره امنیت سازمانها، بدون شک نقاط پایانی (Endpoints) ضعیفترین حلقه آن به حساب میآید. وظیفه تامین امنیت این نقاط، شامل هزاران دستگاه کامپیوتر، لپ تاپ، دستگاه های همراه و دستگاه های مربوط به تکنولوژیهای جدید مانند اینترنت اشیاء (IoT) بر عهده بخش امنیت سازمان میباشد. در این مقاله سعی شده است تا چالشهای امنیتی پیش روی نقاط متصل به شبکه سازمان بررسی و اقدامات امنیتی مورد نیاز برای بهبود امنیت آنها معرفی شود.
Endpoint Security
یک نقطه پایانی (Endpoint) دستگاهی است که خارج از فایروال و شبکه سازمان یا هر محیط دیگری به شبکه سازمان متصل شده و داده ارسال و دریافت میکند. عمده دلیل افزایش تعداد نقاط پایانی (Endpoints) در سازمان ها، افزایش تعداد کارکنان، دستگاههای BYOD و دستگاههایی است که خارج از سازمان نیاز به دسترسی به اطلاعات سازمانی دارند. دلیل دیگر تنوع تکنولوژیهای توسعه و استفاده از اینترنت اشیاء (IoT) در بازار میباشد.
به فرایند امن کردن دستگاههای نقاط پایانی در حوزه امنیت Endpoint security گفته میشود. طبق گفته رافائل آرنولد، بنیانگذار Threat Sketch و ارزیاب امنیتی ریسک های سایبری کسب و کارهای کوچک و متوسط، امنیت نقاط پایایی (Endpoint Security) بخش اعظمی از وضعیت امنیت کلی سازمان را تشکیل میدهد. زیرا دستگاه های خارج از یک شبکه محافظت شده داخلی، مسیرهایی برای دور زدن کنترلهای امنیتی استاندارد را برای مهاجمان فراهم میکنند. اگر شبکه داخلی سازمان تا نقطهای گسترش یابند که پشت سیستمهای امنیتی سنتی قرار بگیرد، در این حالت حتی بهترین فایروالها و کنترلهای امنیتی نیز برای امنیت چنین شبکهای کارساز نخواهد بود.
نمونه هایی از نقاط پایانی (Endpoint) در محیط عملیاتی عبارتند از:
- Desktop and laptop computers
- Smartphones
- Tablets
- Routers and WiFi access points
- Point-of-sale devices
- IoT device

چالش های Endpoint Security
طبق گفته نوان پالاوالی مدیر فروش و بازاریابی محصولات و راهکارهای امنیتی سیمانتک، امنیت نقاط پایانی (Endpoint security) با دو مشکل اساسی روبه رو است که امنیت موثر و پایدار در تلاش برا حل آنها میباشد. اولی ظهور تهدیدات جدید و پیشرفته و دومی وجود راه حلهای امنیتی ناپیوسته و نیازمند عاملهای جانبی (Agents).
ظهور تهدیدات جدید و پیشرفته
گسترش فناوی و ظهور تکنولوژیهای جدید، سازمانها را با تهدیدات جدید و پیشرفتهتری مواجه کرده است. تهدیدات مربوط به نقض تمامیت دادهها و باج افزارها از جمله این تهدیدات میباشند. یکی دیگر از این تهدیدات، ابزارهای Exploit هستند که سازمان با آن مواجه میباشند. طبق تحقیقات سیمانتک، در حال حاضر روزانه به طور متوسط یک میلیون بدافزار جدید توسط مهاجمان ایجاد میشود. بسیاری از این بدافزارها علاوه بر تکنیکهای جدید از روشهای شناخته شده از جمله ایمیلها، مرورگرها، برنامههای کاربردی و ایستگاههای کاری به عنوان نقاط وردی برای نفوذ استفاده میکنند. طبق گفته پالاوالی در حال حاضر بیشتر تهدیدات پیشرفته از هر دو تکنیک مبتنی بر فایل و بدون فایل (مانند حملات حافظه و اسکریپتهای PowerShell) استفاده میکنند. در بیشتر موارد اسکریپتهای PowerShell توسط مهاجمان برای اتوماتیک کردن کارها و مدیریت پیکربندی استفاده میشود. به طور پیش فرض اکثراً سیستمهای ویندوزی هدف اینگونه حملات میباشند.
نکته دیگر اینکه با توجه به عدم استفاده سازمانها از سیستمهای گزارشگیری فعال، اکثرا اسکریپتهای مخرب در سازمانها به صورت نامرئی به فعالیت خود ادامه میدهند. طبق گزارش شرکت سیمانتک در مورد اسکریپتهای PowerShell، بیش از 95 درصد از آنها مخرب بوده و امنیت سازمان را به مخاطره میاندازد.
هدف توسعه بدافزارهای جدید و ظهور حملات روز صفر (zero-day) و گسترش ransomwareها بر روی دستگاههای جدید، تهدید داراییهای سازمان از راه دور مورد میباشد.
راهکارهای جزیرهای امنیت نقاط پایانی
کارشناسان IT و امنیت سازمان مسئول مدیریت و نگهداری از نقاط پایانی متنوعی هستند. اکثرا در سازمانها برای محافظت از نقاط پایانی از راهکارهای امنیتی متفاوتی استفاده میشود. در سازمانها راهکارهای مجزا و ناپیوسته امنیت نقاط پایانی هیچگونه تداخلی با سایر زیرساختهای امنیتی ندارند. اما پیچیدگی اصلی سازمانها کمبود افراد متخصص برای مدیریت و نظارت بر راهکارهای امنیتی میباشد. زیرا برای کار با محصولات امنیتی مختلف و نحوه برخورد با چالشهای امنیتی به افراد متخصص و آمزش دیده نیاز است. علاوه بر این بسیاری از این راهکارها نیازمند تنظیم دقیق میباشند تا طبق نیازهای خاص سازمان عمل کنند.
اصلیترین دلیلی که سازمانها باید در زیرساخت امنیتی خود توجه بیشتری به راهکارهای امنیتی نظارت بر نقاط پایایی داشته باشند، این است که سازمانها به راحتی میتوانند با استفاده از این راهکارها و تجزیه و تحلیل فعالیتهای ارتباطاتی نقاط پایانی، به سرعت ناهنجاریهایی موجود را شناسایی کنند و از تهدیدات بالقوه جلوگیری نمایند.
افراد
رفتار افراد مهمترین چالش در تامین امنیت برای نقاط پایایی است. زیرا امکان مانیتورینگ رفتار افراد با استفاده از راه حلهای نرم افزاری یا کنترلهای حفاظتی مربوط به دادهها امکانپذیر نیست. ما در جهانی زندگی می کنیم که به سرعت در حال حرکت و تغییر است و رهبران سازمانها انتظار دارند سازمانشان بهرهوری بالایی داشته باشند. این به معنی داشتن کارمندان چند وظیفهای است که برای انجام فعالیتهای خود معمولا از دو یا سه دستگاه به صورت هم زمان استفاده میکنند. این موضوع با وجود افزایش بهروه وری کارمندان، از طرفی باعث شده است تا آنها بیش از حد پریشان و عجول باشند و قبل از کلیک بر روی لینکی یا قبول درخواست بروز رسانی، به آن فکر کنند. بنابراین کوچک ترین لغزش میتوانند کل شبکه را در معرض خطر قرار دهد.
عدم درک مناسب افراد از مسائل امنیتی
یکی دیگر از مشکلات امنیت نقاط پایانی عدم درک مناسب افراد سازمان از مسایل امنیتی است. شاید دلیل اصلی این موضوع عدم فراهم کردن فرصتهای منظم آموزشی برای آگاهی بیشتر کارمندان از مسایل امنیتی یا عدم ارسال بولتنهایی برای افزایش آگاهی آنها از مسایل امنیتی باشد. تا زمانی که کارمندان در مورد مسایل امنیتی آموزش ندیده باشند و از شیوههای جدید حملات و تهدیدات آگاه نباشند، نمیتوان انتظار داشت که آنها طبق یک الگوی امنیتی مناسب و مشخص در مواجهه با تهدیدات امنیتی عمل کنند. فلسفه چگونگی دفاع در مقابل تهدیدات داخلی و خارجی ترکیبی از آگاهی بیشتر و استفاده از نرم افزارهای امنیت نقاط پایانی (Endpoint security softwares) میباشد.
طرز تفکر افراد
طرز تفکر افراد در مورد امنیت، یکی دیگر از مسائل امنیت نقاط پایانی میباشد. اکثرا در سازمانها افراد فکر میکنند که مشکلات امنیتی در حوزه مسولیتی سایر افراد قرار دارد و آنها هیج مسولیتی در قبال آن ندارند. به همین دلیل آنها هیچ احساس نیازی برای استفاده از ابزارهای امنیتی نمیکنند. این مشکل به ویژه در سازمانهایی که کارمندان آنها از دستگاه های شخصی خود (BYOD) برای کار سازمان استفاده می کنند، بیشتر دیده میشود.
نداشتن خط مشی مناسب
در سازمان، بدون داشتن خط مشی (Policy) مناسب و دقیق برای مدیریت دستگاههای دارای مجوز اتصال به شبکه، کارشناسان امنیتی سازمان قادر به پیگیری و مدیریت محل و نوع دسترسیها و مسائلی دیگر مانند به روز بودن نرم افزارهای امنیتی نقاط پایانی نخواهند بود. بنابراین مهمترین چالش پیش روی سازمانها اطمینان از امنیت دستگاه های متصل به شبکه سازمان و بروز رسانی منظم نرم افزارهای امنیتی آنها میباشد. مشکلات امنیتی مربوط به تجهیزات BYOD باعث شده تا ابزارهایی برای حل مشکلات این حوزه ارایه شود. با استفاده از این ابزارها می توان بسیاری از مشکلات و خطاهای انسانی مربوط به حوزه امنیت نقاط پایانی (Endpoint security) را مشخص و حل نمود. ابزار Netwok Access Control ارایه شده توسط Frost & Sullivan به عنوان راه حلی مستقل برای کنترل دسترسی شبکهای تجهیزات BYOD و ابزاری جهت ایجاد و مدیریت سیاست های کنترلی، احراز هویت و ارزیابی نقاط پایانی، اجرا و اصلاح سیاستها و روشی موثر برای مدیریت هزاران دستگاه با استفاده از شبکه میباشد. همچنین راهکارهایی مانند راهکار ISE شرکت سیسکو نیز راهکار مناسبی برای کنترل دستگاههای BYOD و نقاط پایانی میباشد.
بر اساس گزارشات گارتنر در مورد ترندهای رفتاری کاربران و سایر موجودیتهای شبکهای، تجزیه و تحلیل رفتاری نقاط پایانی (UEBA) به عنوان راه حل جدیدی در این حوزه مطرح است. در این راه حل الگوهای رفتاری موجودیتهای مختلف از جمله رفتار کاربران و رفتار شبکه و همچنین رفتار سایر دستگاههای متصل به شبکه تجزیه و تحلیل شده و از این طریق الگوها و فعالیتهای غیر نرمال مشخص میشوند.
حفاظت از نقاط پایانی در مقابل تهدیدات بالقوه
به گفته ریچارد هندرسون استراتژیست امنیت جهانی در شرکت Absolute (شرکت مدیریت امنیت اطلاعات و امنیت نقاط پایانی در کانادا)، نخستین و مهمترین قسمت از حل مسایل امنیت نقاط پایانی تعیین ماهیت و نوع نقاط پایانی سازمان میباشد. سازمانهایی که به دنبال امنیت پایدار هستند، همیشه در تلاشند تا به یک وضعیت جامعی از شفافیت و دید کامل نسبت زیرساختهای خود برسند. پس بدون داشتن شفافیت و دید کامل نسبت به زیرساختها، رسیدن به امنیت کامل غیرممکن است. زیرا بدون داشتن دید و مدیریت بر روی نقاط پایانی، علاوه بر اینکه نمیتوان کنترلهای امنیتی اثربخشی بر روی آنها داشت بلکه نقاط آسیب پذیر نیز به سرعت قابل شناسایی نخواهند بود. بنابراین بعد از حل مسئله شفافیت نقاط پایانی، قدم بعدی به حداقل رساندن تهدیدات امنیتی است. برای داشتن برنامه نظارتی مناسب بر روی نقاط پایانی برنامهریزی برای حوزههای زیر امری ضروری است.
- مدیریت آسیب پذیریها
- Patch کردن آسیب پذیریها
- مشخص کردن اطلاعات حساس که بایستی تحت حفاظت نرم افزار DLP باشند. همچنین مشخص کردن احتمال نشت اطلاعات حساس در صورت ذخیرهسازی آنها بر روی فضای ابری یا برنامههای تحت وب.
مهم ترین نکته در مورد امنیت این است که رسیدن به امنیتی پایدار زمان بر بوده و هیچ استثنائی هم وجود ندارد. علاوه بر این نمیتوان همه اقدامات امنیتی را به صورت یکجا و در یک نوبت انجام و با این کار همه نیازمندهای امنیتی را پوشش داد. آنچه در مورد امنیت سازمان از اهمیت بالایی دارد، مشخص کردن نیازمندیهای امنیتی سازمان به همراه کاربران حیاتی سازمان درسریع ترین زمان ممکن است. این کار با هدف ایجاد امنیت و کنترلهای مظاعف و مبتنی بر معیارهای مختلف نظیر مشخص کردن سطوح مختلف مدیریتی و میزان امتیازات و دسترسیهای شبکهای و اتصالات موبایل (BYOD) انجام میگیرد. مهمترین نکته در شناسایی و تامین امنیت نقاط پایانی مشخص کردن افراد و دستگاههایی است که بیشترین احتمال حمله و آسیب پذیری را دارند.
مراحل حفاظت از نقاط پایانی (Endpoint Protection)
RJ Gazarek مدیر محصول Thycotic، گامهای ساده و کاربردی زیر را برای حافظت از شبکه در مقابل تهدیدات نقاط پایانی توصیه می کند.
مدیریت دقیق حسابهای کاربری با دسترسی مدیر
کاربران معمولا برای انجام کارهای روزانه خود نیازی به مجوزهای کاربر مدیر ندارند. در مواردی که برنامه های کاربردی برای نصب و اجرا شدن نیاز به مجوز مدیر داشته باشند، مدیران شبکه می توانند از راهکارهای Application Control موجود استفاده نمایند. با حذف دسترسیهای مدیریتی در نقاط پایانی می توان میزان آسیبهایی که یک مهاجم میتواند در صورت موفقیت آمیز بودن حملهاش بدست آورد کاهش داد.
بروزرسانی و نصب Patchهای امنیتی سیستمهای متصل به شبکه.
آسیب پذیری ها همیشه در معرض کشف شدن توسط مهاجمان قرار دارند و مهاجمان با دقت در حال نظارت و پیگیری این آسیب پذیری ها می باشند. اگر آسیب پذیری خطرناک باشد مهاجمان تلاش می کنند تا کسب و کارهایی که این آسیب پذیری ها را برطرف نکرده اند را شناسایی و مورد حمله قرار دهند. برای جلوگیری از این اتفاقات سیاست ها و روال های سازمان بایستی به گونه ای تعریف شود که سیستم های شبکه را مجبور به بروز رسانی نماید.
پیادهسازی متدهای پیشرفته احراز هویت.
بخش اعظمی از نفوذهایی که در سال 2016 اتفاق افتاده، مربوط به حملاتی است که در امتداد حمله قبلی رخ داده است. این اتفاق زمانی رخ می دهد که افراد از اطلاعات کاربری مشابه در چندین سایت و دستگاه استفاده کرده باشد. اگر فرد مهاجم به یکی از حساب های کاربری شخص دسترسی پیدا کند، دیگر برای دسترسی به سایر حساب های کاربری آن فرد زحمت زیادی نخواهد کشید. برای جلوگیری از این اتفاق نیاز است سازمان ها از متدهای پیشرفته احراز هویت (Multi factor authentication) برای سرویس های خود استفاده نماید تا در صورت به سرقت رفتن اطلاعات کاربری افراد مهاجم دسترسی کامل به همه مجوزها تعریف شده نداشته باشد.
آموزش و آگاهی امنیتی
آگاهی و آموزش مداوم در مورد شیوه های ایجاد و تغییر رمز عبور، آموزش راه کارهای جدید امنیتی و آموزش استفاده از شیوه های الکترونیکی، زمان بر میباشد و ممکن است برای سازمانها هزینه بالایی داشته باشد. همچنین سازمانها از آنجایی که ممکن است افراد دائما اشتباه کنند، نمی توانند صرفا بر روی آموزش تمرکز کرد. به همین دلیل افراد می توانند ضعیفترین پیوند در یک برنامه امنیتی قوی باشند.
رمزنگاری و کنترل دسترسی در نقاط پایانی
رمزنگاری اطلاعات در نقاط پایانی لایه مهمی از امنیت نقاط پایانی به حساب می آید. رمزنگاری اطلاعات در نقاط پایانی از داده های ذخیره شده و در حال انتقال در برابر کپی شدن آنها توسط اشخاص دیگر محافظت می کند. برای مثال در رمزنگاری کامل دیسک کلیه اطلاعات هارد به غیر از قسمت مربوط به بوت سیستم عامل رمزگذاری می شود. این کار نه تنها شامل اطلاعات ذخیره شده بر روی درایوها بلکه شامل فایل های مربوط به سیستم عامل و برنامه های کاربردی نیز می شود. در این روش کلید مربوط به رمزنگاری اطلاعات هارد فقط در مرحله بوت نیاز بوده و پس از وراد کردن آن سیستم عامل فایل های مورد نیاز برای بوت شدن را از حالت رمز خارج کرده و سیستم آماده کار می شود.
یکی دیگر از ابزارهای کنترلی جهت محافظت از داده های حساس سازمان، استفاده از ابزارهای کنترل برنامه های کاربردی می باشد. وظیفه اصلی این ابزارها جلوگیری از اجرا شدن برنامه های کاربردی توسط کاربران غیر مجاز بر روی نقاط پایانی می باشد. این کار علاوه بر جلوگیری از سوء استفاده کاربران خارجی سازمان از برنامه های کاربردی، قادر به کنترل کاربران برای دانلود و دسترسی به برنامه های کاربردی نیز می باشد. این ابزارها همچنین جلوی تهدیدات بالقوه توسط کارمندان اخراج شده در برنامه های سازمان را خنثی می کنند.
VPN ها یکی دیگر از ابزارهای حفاظت از نقاط پایانی می باشند که سازمان ها بایستی از آنها برای امن کردن ارتباطات نقاط پایانی استفاده نمایند.
محصولات و فروشندگان محصولات امنیت نقاط پایانی (Endpoint Security)
طبق گفته Palavalli اکثر محصولات نقاط پایانی ترفندهایی هستند که به عنوان راه حل و محصول ارایه شده اند و همه آنها به یک تکنولوژی خاصی وابسته اند. راه حل های امنیتی قابل اطمینان معمولا توسعه پذیر بوده و از ترکیب یادگیری ماشین، سیستم جلوگیری از Exploit، هوشمندی در مورد تهدیدات، تجزیه و تحلیل رفتاری، حفاظت چند لایه، سیستم EDR استفاده می کنند. این محصولات معمولا قابل ادغام با سایر ابزارهای امنیتی می باشند.
همه ما به این موضوع آگاهیم که نفوذ در شبکه سازمان امری اجتناب ناپذیر است و به طور مداوم حملاتی منظم علیه نقاط پایانی انجام می شود. این موضوع که سازمان شما چه وسعتی داشته باشد، اهمیتی ندارد. آنچه مهم است این است که راه حل امنیتی نقاط پایانی به سرعت هرگونه نفوذ و تهدیدی را تشخیص و پاسخ دهد.
سایر ملاحظات:
- آیا نرم افزارهای امنیت نقاط پایایی ابزارهایی قوی برای بازسازی آثار مخرب برای هر نوع بدافزاری را ارایه می دهد؟
- آیا نرم افزارهای امنیت نقاط پایایی با بقیه زیرساخت های امنیتی مانند ابزارهای امنیت شبکه، سیستم های تیکتینگ بخش IT و سیستم های SIEM سازگاری لازم را دارند؟
- امنیت نقاط پایایی فقط داشتن یک محصول خاص نیست، بلکه راهکارهای پیاده سازی شده از قابلیت ها و سیاست های موجود می باشد.
در زیر تعدادی از راهکارهای که می توانند به حافظت از دارایی های سازمان در مقابل تهدیدات مربوط به نقاط پایایی کمک کنند، لیست شده است:
- AlienVault: ارائه دهنده راهکارهای چند منظوره
- Bitdefender: این محصول با انواع مختلف سیستم عامل ها سازگار می باشد. یکی از ویژگی های این نرم افزار، تشخیص های اشتباه مثبت کم آن است.
- Symantec Endpoint Protection 14: این نرم افزار علاوه بر ارایه امنیت کامل برای نقاط پایانی مبتنی بر یک عامل نرم افزاری، امکان ادغام شدن با ابزارهایی مانند Symantec Advanced Threat Protection Endpoint و همچنین ابزارهای تشخیص و پاسخگویی به رویدادها را نیز دارد.
سایر ارایه دهندگان راه حل های امنیت نقاط پایانی:
- Trend Micro
- Kaspersky
- Sophos
- (Intel Security (formerly McAfee
- Check Point
- SentinelOne
- CrowdStrike
- Cylance
- Invincea
- Carbon Black
- Palo Alto Networks
- F-Secur
دیدگاهتان را بنویسید