Endpoint Security

بدون شک ایستگاه های کاری (Endpoints) ضعیف ترین حلقه در زنجیریه امنیت به حساب می آیند. وظیفه تامین امنیت این نقاط شامل هزاران دستگاه کامپیوتر، لپ تاپ، دستگاه های همراه و دستگاه های مربوط به تکنولوژی های جدید مانند اینترنت اشیاء (IoT) بر عهده بخش امنیت سازمان می باشد. در این مقاله بیشتر سعی شده است تا چالش های امنیتی پیش روی دستگاه های متصل به شبکه سازمان مورد بررسی قرار گیرد و اقدامات امنیتی مورد نیاز برای بهبود امنیت نقاط پایانی معرفی شود.

Endpoint Security

یک نقطه پایانی (Endpoint) به عنوان دستگاهی تعریف می شود که خارج از فایروال و شبکه سازمان یا هر محیط دیگری به شبکه سازمان متصل و داده ارسال و دریافت می کند. عمده دلیل افزایش تعداد نقاط پایانی (Endpoints) در سازمان ها، افزایش تعداد کارکنان و دستگاه هایی است که خارج از سازمان نیاز به دسترسی به اطلاعات سازمانی دارند. دلیل دیگر تنوع تکنولوژی های توسعه و استفاده از اینترنت اشیاء (IoT) در بازار می باشد.

در واقع به فرایند امن کردن دستگاه های نقاط پایانی در حوزه امنیت Endpoint security گفته می شود. طبق گفته رافائل آرنولد، بنیانگذار Threat Sketch و ارزیاب امنیتی ریسک های سایبری کسب و کارهای کوچک و متوسط، امنیت نقاط پایایی (Endpoint Security) بخش اعظمی از وضعیت امنیت کلی سازمان را تشکیل می دهد، زیرا دستگاه های خارج از یک شبکه محافظت شده داخلی، مسیرهایی برای دور زدن کنترل های امنیتی استاندارد را برای مهاجمان فراهم می کنند. در صورتی که شبکه داخلی سازمان تا نقطه ای گسترش یابند که پشت سیستم های امنیتی سنتی قرار بگیرند، در این حالت حتی بهترین فایروال ها و کنترل های امنیتی نیز برای امنیت چنین شبکه ای بی فایده خواهد بود.

نمونه هایی از نقاط پایانی (Endpoint) در محیط عملیاتی عبارتند از:

  • Desktop and laptop computers
  • Smartphones
  • Tablets
  • Routers and WiFi access points
  • Point-of-sale devices
  • IoT devices

چالش های Endpoint Security

طبق گفته نوان پالاوالی مدیر فروش و بازاریابی محصولات و راهکارهای امنیتی سیمانتک، امنیت نقاط پایانی (Endpoint security) با دو مشکل اساسی روبه رو است که امنیت موثر و پایدار در تلاش برا حل آنها می باشد: اولی ظهور تهدیدات جدید و پیشرفته و دومی وجود راه حل های امنیتی ناپیوسته و نیازمند عامل های جانبی (Agents).

ظهور تهدیدات جدید و پیشرفته

با گسترش فناوی و ظهور تکنولوژی های جدید، سازمان ها با تهدیدات جدید و پیشرفته تری مواجه می باشند. از جمله این تهدیدات می توان تهدیدات مربوط به نقض تمامیت داده ها و باج افزارها اشاره کرد. علاوه بر این ابزارهای Exploit یکی دیگر از مهمترین عامل های تهدید کننده سازمان ها می باشد. تحقیقات سیمانتک نشان می دهد که در حال حاضر روزانه به طور متوسط یک میلیون بدافزار جدید توسط مهاجمان ایجاد می شود. بسیاری از این بدافزارها علاوه بر تکنیک های جدید از روش های شناخته شده از جمله ایمیل ها، مرورگرها، برنامه های کاربردی و دستگاه های کاری به عنوان نقاط وردی برای نفوذ به ایستگاه های کاری استفاده می کنند. طبق گفته پالاوالی در حال حاضر بیشتر تهدیدات پیشرفته از تکنیک های مبتنی بر فایل و همچنین بدون فایل مانند حملات حافظه و اسکریپت های PowerShell استفاده می کنند. در اکثر موارد مهاجمان از اسکریپت های PowerShell برای انجام اتوماتیک کارها و مدیریت پیکربندی استفاده می کنند. به طور پیش فرض اکثراً رایانه های ویندوزی هدف اینگونه حملات قرار می گیرند. با توجه با اینکه اکثر سازمان ها سیستم گزارش گیری فعالی ندارند، این عامل باعث شده تا اسکریپت های مخرب عمدتا در سازمان ها نامرئی به فعالیت خود ادامه دهند. طبق گزارش شرکت سیمانتک 95 درصد از اسکریپت های PowerShell مخرب بوده و امنیت سازمان را به مخاطره می اندازد.

در مورد تهدیدات امنیتی باید به این نکته نیز توجه کرد که توسعه بدافزارهای جدید و ظهور حملات روز صفر (zero-day) و گسترش ransomwareها بر روی دستگاه های جدید، همه با این هدف می باشند که دارایی های سازمان ها را از راه دور مورد هدف قرار دهند.

راه حل های ناپیوسته امنیت نقاط پایانی

کارشناسان IT و امنیت سازمان مسئول مدیریت و نگهداری از نقاط پایانی متعددی هستند که معمولا از سیستم های امنیتی متفاوتی برای حفاظت از آنها استفاده می شود. در اکثرا موراد راه حل های مجزا و ناپیوسته مربوط به امنیت نقاط پایانی با سایر زیرساخت های امنیتی سازمان مشکلی ندارند. پیچیدگی این راه حل ها مربوط به کمبود افراد متخصص برای مدیریت و نظارت بر مسایل امنیتی سازمان می باشد. زیرا این افراد ممکن است برای کار با محصولات امنیتی مختلف و نحوه برخورد با چالش های امنیتی نقاط پایانی آموزش ندیده باشند. علاوه بر این بسیاری از این راه حل ها نیازمند تنظیم دقیق بوده تا طبق نیازهای خاص سازمان عمل کنند.

دلیل اصلی که سازمان ها باید در زیرساخت امنیتی خود توجه بیشتری به راه حل های نظارت بر نقاط پایایی داشته باشند این است که با تجزیه و تحلیل فعالیت های ارتباطاتی آنها می توان به سرعت ناهنجاری هایی که ممکن است به تهدیدات بالقوه تبدیل شوند را شناسایی کرد.

افراد، اصلی ترین چالش امنیت نقاط پایانی

رفتار افراد مهم ترین چالش امنیتی نقاط پایایی است که امکان مانیتورینگ آن با راه حل های نرم افزاری یا کنترل های حفاظتی مربوط به داده ها امکان پذیر نیست. ما در جهانی زندگی می کنیم که به سرعت در حال حرکت و تغییر است و رهبران سازمان ها انتظار دارند سازمان شان بهره وری بالایی داشته باشند. این به معنی داشتن کارمندان چند وظیفه ای است که برای انجام فعالیت های خود از دو یا سه دستگاه به صورت هم زمان استفاده می کنند. این موضوع با وجود افزایش بهروه وری کارمندان باعث شده است تا آنها بیش از حد پریشان و عجول باشند و قبل از کلیک بر روی لینکی یا قبول درخواست بروز رسانی به آن فکر کنند. بنابراین کوچک ترین لغزش می توانند کل شبکه را در معرض خطر قرار دهد.

از مشکلات امنیت نقاط پایانی عدم درک مناسب کارمندان از مسایل امنیتی است. شاید دلیل اصلی این موضوع عدم فراهم کردن فرصت های منظم آموزشی توسط سازمان جهت آگاهی بیشتر کارمندانش از مسایل امنیتی یا عدم ارسال بولتن هایی برای افزایش آگاهی انها از مسایل امنیتی باشد. تا زمانی که کارمندان در مورد مسایل امنیتی آموزش ندیده باشند و از شیوه های جدید فیشینگ اگاهی نداشته باشند، نمی توان انتظار داشت که آنها طبق یک الگوی امنیتی مناسب و مشخص در مواجهه با تهدیدات امنیتی عمل نمایند. فلسفه چگونگی دفاع در مقابل تهدیدات داخلی و خارجی ترکیبی از آگاهی بیشتر و استفاده از نرم افزارهای امنیت نقاط پایانی (Endpoint security softwares) می باشد.

مسئله دیگر نوع تفکر افراد است که فکر می کنند مشکل امنیت مشکل دیگران است. به همین دلیل آنها احساس نیازی برای استفاده از ابزارهای امنیتی نمی کنند. این مشکل به ویژه در سازمان هایی دیده می شود که کارمندان آنها از دستگاه های شخصی خود (BYOD) برای کار سازمان استفاده می کنند. بدون داشتن خط مشی (Policy) مناسب و دقیق برای مدیریت دستگاه های مجاز برای اتصال به شبکه، کارشناسان امنیتی سازمان قادر به پیگیری و مدیریت محل و نوع دسترسی ها و مسایلی مانند بروز بودن نرم افزارهای امنیتی نقاط پایانی نخواهند بود. بنابراین مهم ترین چالش پیش روی سازمان ها اطمینان از امنیت دستگاه های متصل به شبکه سازمان و بروز رسانی منظم نرم افزارهای امنیتی آنها می باشد. مشکلات امنیتی مربوط به تجهیزات BYOD باعث شده است تا ابزارهایی برای حل مشکلات این حوزه ارایه شود. با استفاده از این ابزارها می توان بسیاری از مشکلات و خطاهای انسانی مربوط به حوزه امنیت نقاط پایانی (Endpoint security) را مشخص و حل نمود. ابزار Netwok Access Control ارایه شده توسط Frost & Sullivan به عنوان راه حلی مستقل برای کنترل دسترسی شبکه ای تجهیزات BYOD و ابزاری جهت ایجاد و مدیریت سیاست های کنترلی، احراز هویت و ارزیابی نقاط پایانی، اجرا و اصلاح سیاست ها و روشی موثر برای مدیریت هزاران دستگاه با استفاده از شبکه می باشد.

بر اساس گزارشات گارتنر در مورد ترند های رفتاری کاربران و موجودیت های دیگر (UEBA)، تجزیه و تحلیل رفتاری نقاط پایانی به عنوان راه حل جدیدی است که در آن الگوهای رفتاری حوزه های مختلف نظیر رفتار کاربران و رفتار شبکه و همچنین رفتار سایر دستگاه های متصل به شبکه مورد تجزیه و تحلیل قرارمی گیرد و الگوها و فعالیت های غیر نرمال مشخص می شود.

حفاظت از نقاط پایانی در مقابل تهدیدات بالقوه

به گفته ریچارد هندرسون استراتژیست امنیت جهانی در شرکت Absolute (شرکت مدیریت امنیت اطلاعات و امنیت نقاط پایانی در کانادا)، نخستین و مهمترین قسمت از حل مسایل امنیت نقاط پایانی تعیین ماهیت و نوع نقاط پایانی سازمان می باشد. سازمان هایی که به دنبال امنیت پایدار می باشند همیشه در تلاشند تا به یک وضعیت جامعی از شفافیت و دید کامل نسبت زیرساخت های خود برسند. به همین دلیل بدون داشتن شفافیت و دید کامل رسیدن به امنیت کامل غیرممکن می باشد. بنابراین شما نمی توانید بدون داشتن دید و مدیرت بر روی نقاط پایانی، کنترل های امنیتی اثربخشی بر روی آنها داشته باشید و نقاط آسیب پدیز را به سرعت شناسایی کنید. با حل مسئله شفافیت نقاط پایانی، قدم بعدی به حداقل رساندن تهدیدات امنیتی است. با توجه به این موضوع داشتن برنامه نظارتی مناسب بر روی نقاط پایانی برای حوزه های زیر امری ضروری است:

  • مدیریت آسیب پذیری ها
  • Patch کردن آسیب پذیری ها
  • مشخص کردن اطلاعات حساس که بایستی تحت حفاظت نرم افزار DLP باشند و همچنین مشخص کردن احتمال نشت اطلاعات حساس در صورت ذخیره سازی آنها بر روی فضای ابری یا برنامه های تحت وب.

مهم ترین نکته در مورد امنیت این است که رسیدن به امنیتی پایدار زمان بر بوده و هیچ استثنائی هم وجود ندارد. علاوه بر این نمی توان همه اقدامات امنیتی را به صورت یکجا و در یک نوبت انجام و با این کار همه نیازمندهای امنیتی را پوشش داد. آنچه در مورد امنیت سازمان مهم است این است که نیازمندی های امنیتی سازمان به همراه کاربران حیاتی سازمان درسریع ترین زمان ممکن با هدف ایجاد امنیت و ایجاد کنترل مظاعف و مبتنی بر معیارهای مختلف نظیر مشخص کردن سطوح مختلف مدیریتی و میزان امتیازات و دسترسی های شبکه ای و اتصالات موبایل (BYOD) مورد توجه قرار گیرند. مهم ترین نکته در شناسایی نقاط پایانی مشخص کردن افراد و دستگاه هایی است که بیشترین احتمال حمله و آسیب پذیری را دارند.

مراحل حفاظت از نقاط پایانی (Endpoint Protection)

RJ Gazarek مدیر محصول Thycotic، گام های ساده زیر را برای حافظت از شبکه در مقابل تهدیدات نقاط پایانی توصیه می کند:

  • حذف و مدیریت دقیق حساب های کاربری با دسترسی های مدیر بر روی نقاط پایانی: کاربران معمولا برای انجام کارهای روزانه خود نیازی به مجوزهای کاربر مدیر ندارند و در مواردی که برنامه های کاربردی برای نصب و اجرا شدن نیاز به مجوز مدیر داشته باشند، سازمان ها می توانند از راهکارهای Application Control موجود استفاده نمایند. با حذف دسترسی های مدیریتی در نقاط پایانی می توان میزان آسیب هایی که یک مهاجم می تواند در صورت موفقیت آمیز بودن حمله اش بدست آورد کاهش داد.
  • بروز رسانی و نصب Patch های امنیتی سیستم های متصل به شبکه: آسیب پذیری ها همیشه در معرض کشف شدن توسط مهاجمان قرار دارند و مهاجمان با دقت در حال نظارت و پیگیری این آسیب پذیری ها می باشند. اگر آسیب پذیری خطرناک باشد مهاجمان تلاش می کنند تا کسب و کارهایی که این آسیب پذیری ها را برطرف نکرده اند را شناسایی و مورد حمله قرار دهند. برای جلوگیری از این اتفاقات سیاست ها و روال های سازمان بایستی به گونه ای تعریف شود که سیستم های شبکه را مجبور به بروز رسانی نماید.
  • پیاده سازی متدهای احراز هویت پیشرفته: بخش اعظمی از نفوذهایی که در سال 2016 اتفاق افتاده، مربوط به حملاتی است که در امتداد حمله قبلی رخ داده است. این اتفاق زمانی رخ می دهد که افراد از اطلاعات کاربری مشابه در چندین سایت و دستگاه استفاده کرده باشد. اگر فرد مهاجم به یکی از حساب های کاربری شخص دسترسی پیدا کند، دیگر برای دسترسی به سایر حساب های کاربری آن فرد زحمت زیادی نخواهد کشید. برای جلوگیری از این اتفاق نیاز است سازمان ها از متدهای پیشرفته احراز هویت (Multi factor authentication) برای سرویس های خود استفاده نماید تا در صورت به سرقت رفتن اطلاعات کاربری افراد مهاجم دسترسی کامل به همه مجوزها تعریف شده نداشته باشد.
  •  آموزش و آگاه سازی امنیتی: آگاهی و آموزش مداوم در مورد شیوه های ایجاد و تغییر رمز عبور، آموزش راه کارهای جدید امنیتی و آموزش استفاده از شیوه های الکترونیکی، زمان بر بوده و برای سازمان ممکن است هزینه بالایی داشته باشد. همچنین سازمان ها از آنجایی که افراد دائما اشتباه می کنند، نمی توانند صرفا بر روی آموزش تمرکز کنند. به همین دلیل افراد می توانند ضعیف ترین پیوند در یک برنامه امنیتی قوی باشند.

رمزنگاری و کنترل دسترسی در نقاط پایانی

رمزنگاری اطلاعات در نقاط پایانی لایه مهمی از امنیت نقاط پایانی به حساب می آید. رمزنگاری اطلاعات در نقاط پایانی از داده های ذخیره شده و در حال انتقال در برابر کپی شدن آنها توسط اشخاص دیگر محافظت می کند. برای مثال در رمزنگاری کامل دیسک کلیه اطلاعات هارد به غیر از قسمت مربوط به بوت سیستم عامل رمزگذاری می شود. این کار نه تنها شامل اطلاعات ذخیره شده بر روی درایوها بلکه شامل فایل های مربوط به سیستم عامل و برنامه های کاربردی نیز می شود. در این روش کلید مربوط به رمزنگاری اطلاعات هارد فقط در مرحله بوت نیاز بوده و پس از وراد کردن آن سیستم عامل فایل های مورد نیاز برای بوت شدن را از حالت رمز خارج کرده و سیستم آماده کار می شود.

یکی دیگر از ابزارهای کنترلی جهت محافظت از داده های حساس سازمان، استفاده از ابزارهای کنترل برنامه های کاربردی می باشد. وظیفه اصلی این ابزارها جلوگیری از اجرا شدن برنامه های کاربردی توسط کاربران غیر مجاز بر روی نقاط پایانی می باشد. این کار علاوه بر جلوگیری از سوء استفاده کاربران خارجی سازمان از برنامه های کاربردی، قادر به کنترل کاربران برای دانلود و دسترسی به برنامه های کاربردی نیز می باشد. این ابزارها همچنین جلوی تهدیدات بالقوه توسط کارمندان اخراج شده در برنامه های سازمان را خنثی می کنند.

VPN ها یکی دیگر از ابزارهای حفاظت از نقاط پایانی می باشند که سازمان ها بایستی از آنها برای امن کردن ارتباطات نقاط پایانی استفاده نمایند.

محصولات و فروشندگان محصولات امنیت نقاط پایانی (Endpoint Security)

طبق گفته Palavalli اکثر محصولات نقاط پایانی ترفندهایی هستند که به عنوان راه حل و محصول ارایه شده اند و همه آنها به یک تکنولوژی خاصی وابسته اند. راه حل های امنیتی قابل اطمینان معمولا توسعه پذیر بوده و از ترکیب یادگیری ماشین، سیستم جلوگیری از Exploit، هوشمندی در مورد تهدیدات، تجزیه و تحلیل رفتاری، حفاظت چند لایه، سیستم EDR استفاده می کنند. این محصولات معمولا قابل ادغام با سایر ابزارهای امنیتی می باشند.

همه ما به این موضوع آگاهیم که نفوذ در شبکه سازمان امری اجتناب ناپذیر است و به طور مداوم حملاتی منظم علیه نقاط پایانی انجام می شود. این موضوع که سازمان شما چه وسعتی داشته باشد، اهمیتی ندارد. آنچه مهم است این است که راه حل امنیتی نقاط پایانی به سرعت هرگونه نفوذ و تهدیدی را تشخیص و پاسخ دهد.

سایر ملاحظات:

  • آیا نرم افزارهای امنیت نقاط پایایی ابزارهایی قوی برای بازسازی آثار مخرب برای هر نوع بدافزاری را ارایه می دهد؟
  • آیا نرم افزارهای امنیت نقاط پایایی با بقیه زیرساخت های امنیتی مانند ابزارهای امنیت شبکه، سیستم های تیکتینگ بخش IT و سیستم های SIEM سازگاری لازم را دارند؟
  • امنیت نقاط پایایی فقط داشتن یک محصول خاص نیست، بلکه راهکارهای پیاده سازی شده از قابلیت ها و سیاست های موجود می باشد.

در زیر تعدادی از راهکارهای که می توانند به حافظت از دارایی های سازمان در مقابل تهدیدات مربوط به نقاط پایایی کمک کنند، لیست شده است:

  • AlienVault: ارائه دهنده راهکارهای چند منظوره
  • Bitdefender: این محصول با انواع مختلف سیستم عامل ها سازگار می باشد. یکی از ویژگی های این نرم افزار، تشخیص های اشتباه مثبت کم آن است.
  • Symantec Endpoint Protection 14: این نرم افزار علاوه بر ارایه امنیت کامل برای نقاط پایانی مبتنی بر یک عامل نرم افزاری، امکان ادغام شدن با ابزارهایی مانند Symantec Advanced Threat Protection Endpoint و همچنین ابزارهای تشخیص و پاسخگویی به رویدادها را نیز دارد.

سایر ارایه دهندگان راه حل های امنیت نقاط پایانی:

  • Trend Micro
  • Kaspersky
  • Sophos
  • (Intel Security (formerly McAfee
  • Check Point
  • SentinelOne
  • CrowdStrike
  • Cylance
  • Invincea
  • Carbon Black
  • Palo Alto Networks
  • F-Secur