Endpoint Security

در زنجیره امنیت سازمان‌ها، بدون ‌شک نقاط پایانی (Endpoints) ضعیف‌ترین حلقه‌ آن به حساب می‌آید. وظیفه تامین امنیت این نقاط، شامل هزاران دستگاه کامپیوتر، لپ تاپ، دستگاه های همراه و دستگاه های مربوط به تکنولوژی‌های جدید مانند اینترنت اشیاء (IoT) بر عهده بخش امنیت سازمان می‌باشد. در این مقاله سعی شده است تا چالش‌های امنیتی پیش روی نقاط متصل به شبکه سازمان بررسی و اقدامات امنیتی مورد نیاز برای بهبود امنیت آنها معرفی شود.

Endpoint Security

یک نقطه پایانی (Endpoint) دستگاهی است که خارج از فایروال و شبکه سازمان یا هر محیط دیگری به شبکه سازمان متصل شده و داده ارسال و دریافت می‌کند. عمده دلیل افزایش تعداد نقاط پایانی (Endpoints) در سازمان ها، افزایش تعداد کارکنان، دستگاه‌های BYOD و دستگاه‌هایی است که خارج از سازمان نیاز به دسترسی به اطلاعات سازمانی دارند. دلیل دیگر تنوع تکنولوژی‌های توسعه و استفاده از اینترنت اشیاء (IoT) در بازار می‌باشد.

به فرایند امن کردن دستگاه‌های نقاط پایانی در حوزه امنیت Endpoint security گفته می‌شود. طبق گفته رافائل آرنولد، بنیانگذار Threat Sketch و ارزیاب امنیتی ریسک های سایبری کسب و کارهای کوچک و متوسط، امنیت نقاط پایایی (Endpoint Security) بخش اعظمی از وضعیت امنیت کلی سازمان را تشکیل می‌دهد. زیرا دستگاه های خارج از یک شبکه محافظت شده داخلی، مسیرهایی برای دور زدن کنترل‌های امنیتی استاندارد را برای مهاجمان فراهم می‌کنند. اگر شبکه داخلی سازمان تا نقطه‌ای گسترش یابند که پشت سیستم‌های امنیتی سنتی قرار بگیرد، در این حالت حتی بهترین فایروال‌ها و کنترل‌های امنیتی نیز برای امنیت چنین شبکه‌ای کارساز نحواهد بود.

نمونه هایی از نقاط پایانی (Endpoint) در محیط عملیاتی عبارتند از:

• Desktop and laptop computers
• Smartphones
• Tablets
• Routers and WiFi access points
• Point-of-sale devices
• IoT device

چالش های Endpoint Security

طبق گفته نوان پالاوالی مدیر فروش و بازاریابی محصولات و راهکارهای امنیتی سیمانتک، امنیت نقاط پایانی (Endpoint security) با دو مشکل اساسی روبه رو است که امنیت موثر و پایدار در تلاش برا حل آنها می‌باشد. اولی ظهور تهدیدات جدید و پیشرفته و دومی وجود راه حل‌های امنیتی ناپیوسته و نیازمند عامل‌های جانبی (Agents).

ظهور تهدیدات جدید و پیشرفته

گسترش فناوی و ظهور تکنولوژی‌های جدید، سازمان‌ها را با تهدیدات جدید و پیشرفته‌تری مواجه کرده است. تهدیدات مربوط به نقض تمامیت داده‌ها و باج افزارها از جمله این تهدیدات می‌باشند. یکی دیگر از این تهدیدات، ابزارهای Exploit هستند که سازمان با آن مواجه می‌باشند. طبق تحقیقات سیمانتک، در حال حاضر روزانه به طور متوسط یک میلیون بدافزار جدید توسط مهاجمان ایجاد می‌شود. بسیاری از این بدافزارها علاوه بر تکنیک‌های جدید از روش‌های شناخته شده از جمله ایمیل‌ها، مرورگرها، برنامه‌های کاربردی و ایستگاه‌های کاری به عنوان نقاط وردی برای نفوذ استفاده می‌کنند. طبق گفته پالاوالی در حال حاضر بیشتر تهدیدات پیشرفته از هر دو تکنیک مبتنی بر فایل و بدون فایل (مانند حملات حافظه و اسکریپت‌های PowerShell) استفاده می‌کنند. در بیشتر موارد اسکریپت‌های PowerShell توسط مهاجمان برای اتوماتیک کردن کارها و مدیریت پیکربندی استفاده می‌شود. به طور پیش فرض اکثراً سیستم‌های ویندوزی هدف اینگونه حملات می‌باشند. 

نکته دیگر اینکه با توجه به عدم استفاده سازمان‌ها از سیستم‌های گزارش‌گیری فعال، اکثرا اسکریپت‌های مخرب در سازمان‌ها به صورت نامرئی به فعالیت خود ادامه می‌دهند. طبق گزارش شرکت سیمانتک در مورد اسکریپت‌های PowerShell، بیش از 95 درصد از آنها مخرب بوده و امنیت سازمان را به مخاطره می‌اندازد.

 هدف توسعه بدافزارهای جدید و ظهور حملات روز صفر (zero-day) و گسترش ransomwareها بر روی دستگاه‌های جدید، تهدید دارایی‌های سازمان از راه دور مورد می‌باشد.

راهکارهای جزیره‌ای امنیت نقاط پایانی

کارشناسان IT و امنیت سازمان مسئول مدیریت و نگهداری از نقاط پایانی متنوعی هستند. اکثرا در سازمان‌ها برای محافظت از نقاط پایانی از راهکارهای امنیتی متفاوتی استفاده می‌شود. در سازمان‌ها راهکارهای مجزا و ناپیوسته امنیت نقاط پایانی هیچگونه تداخلی با سایر زیرساخت‌های امنیتی ندارند. اما پیچیدگی اصلی سازمان‌ها کمبود افراد متخصص برای مدیریت و نظارت بر راهکارهای امنیتی می‌باشد. زیرا برای کار با محصولات امنیتی مختلف و نحوه برخورد با چالش‌های امنیتی به افراد متخصص و آمزش دیده نیاز است. علاوه بر این بسیاری از این راهکارها نیازمند تنظیم دقیق می‌باشند تا طبق نیازهای خاص سازمان عمل کنند.

اصلی‌ترین دلیلی که سازمان‌ها باید در زیرساخت امنیتی خود توجه بیشتری به راهکارهای امنیتی نظارت بر نقاط پایایی داشته باشند، این است که سازمان‌ها به راحتی می‌توانند با استفاده از این راهکارها و تجزیه و تحلیل فعالیت‌های ارتباطاتی نقاط پایانی، به سرعت ناهنجاری‌هایی موجود را شناسایی کنند و از تهدیدات بالقوه جلوگیری نمایند.

افراد

رفتار افراد مهم‌ترین چالش در تامین امنیت برای نقاط پایایی است. زیرا امکان مانیتورینگ رفتار افراد با استفاده از راه حل‌های نرم افزاری یا کنترل‌های حفاظتی مربوط به داده‌ها امکان‌پذیر نیست. ما در جهانی زندگی می کنیم که به سرعت در حال حرکت و تغییر است و رهبران سازمان‌ها انتظار دارند سازمان‌شان بهره‌وری بالایی داشته باشند. این به معنی داشتن کارمندان چند وظیفه‌ای است که برای انجام فعالیت‌های خود معمولا از دو یا سه دستگاه به صورت هم زمان استفاده می‌کنند. این موضوع با وجود افزایش بهروه وری کارمندان، از طرفی باعث شده است تا آنها بیش از حد پریشان و عجول باشند و قبل از کلیک بر روی لینکی یا قبول درخواست بروز رسانی، به آن فکر کنند. بنابراین کوچک ترین لغزش می‌توانند کل شبکه را در معرض خطر قرار دهد.

عدم درک مناسب افراد از مسائل امنیتی

یکی دیگر از مشکلات امنیت نقاط پایانی عدم درک مناسب افراد سازمان از مسایل امنیتی است. شاید دلیل اصلی این موضوع عدم فراهم کردن فرصت‌های منظم آموزشی برای آگاهی بیشتر کارمندان از مسایل امنیتی یا عدم ارسال بولتن‌هایی برای افزایش آگاهی آنها از مسایل امنیتی باشد. تا زمانی که کارمندان در مورد مسایل امنیتی آموزش ندیده باشند و از شیوه‌های جدید حملات و تهدیدات آگاه نباشند، نمی‌توان انتظار داشت که آنها طبق یک الگوی امنیتی مناسب و مشخص در مواجهه با تهدیدات امنیتی عمل کنند. فلسفه چگونگی دفاع در مقابل تهدیدات داخلی و خارجی ترکیبی از آگاهی بیشتر و استفاده از نرم افزارهای امنیت نقاط پایانی (Endpoint security softwares) می‌باشد.

طرز تفکر افراد

طرز تفکر افراد در مورد امنیت، یکی دیگر از مسائل امنیت نقاط پایانی می‌باشد. اکثرا در سازمان‌ها افراد فکر می‌کنند که مشکلات امنیتی در حوزه مسولیتی سایر افراد قرار دارد و آنها هیج مسولیتی در قبال آن ندارند. به همین دلیل آنها هیچ احساس نیازی برای استفاده از ابزارهای امنیتی نمی‌کنند. این مشکل به ویژه در سازمان‌هایی که کارمندان آنها از دستگاه های شخصی خود (BYOD) برای کار سازمان استفاده می کنند، بیشتر دیده می‌شود. 

نداشتن خط مشی مناسب

در سازمان، بدون داشتن خط مشی (Policy) مناسب و دقیق برای مدیریت دستگاه‌های دارای مجوز  اتصال به شبکه، کارشناسان امنیتی سازمان قادر به پیگیری و مدیریت محل و نوع دسترسی‌ها و مسائلی دیگر مانند به روز بودن نرم افزارهای امنیتی نقاط پایانی نخواهند بود. بنابراین مهم‌ترین چالش پیش روی سازمان‌ها اطمینان از امنیت دستگاه های متصل به شبکه سازمان و بروز رسانی منظم نرم افزارهای امنیتی آنها می‌باشد. مشکلات امنیتی مربوط به تجهیزات BYOD باعث شده تا ابزارهایی برای حل مشکلات این حوزه ارایه شود. با استفاده از این ابزارها می توان بسیاری از مشکلات و خطاهای انسانی مربوط به حوزه امنیت نقاط پایانی (Endpoint security) را مشخص و حل نمود. ابزار Netwok Access Control ارایه شده توسط Frost & Sullivan به عنوان راه حلی مستقل برای کنترل دسترسی شبکه‌ای تجهیزات BYOD و ابزاری جهت ایجاد و مدیریت سیاست های کنترلی، احراز هویت و ارزیابی نقاط پایانی، اجرا و اصلاح سیاست‌ها و روشی موثر برای مدیریت هزاران دستگاه با استفاده از شبکه می‌باشد. همچنین راهکارهایی مانند راهکار ISE شرکت سیسکو نیز راهکار مناسبی برای کنترل دستگاه‌های BYOD و نقاط پایانی می‌باشد.

بر اساس گزارشات گارتنر در مورد ترندهای رفتاری کاربران و سایر موجودیت‌های شبکه‌ای، تجزیه و تحلیل رفتاری نقاط پایانی (UEBA) به عنوان راه حل جدیدی در این حوزه مطرح است. در این راه حل الگوهای رفتاری موجودیت‌های مختلف از جمله رفتار کاربران و رفتار شبکه و همچنین رفتار سایر دستگاه‌های متصل به شبکه تجزیه و تحلیل شده و  از این طریق الگوها و فعالیت‌های غیر نرمال مشخص می‌شوند.

حفاظت از نقاط پایانی در مقابل تهدیدات بالقوه

به گفته ریچارد هندرسون استراتژیست امنیت جهانی در شرکت Absolute (شرکت مدیریت امنیت اطلاعات و امنیت نقاط پایانی در کانادا)، نخستین و مهمترین قسمت از حل مسایل امنیت نقاط پایانی تعیین ماهیت و نوع نقاط پایانی سازمان می‌باشد. سازمان‌هایی که به دنبال امنیت پایدار هستند، همیشه در تلاشند تا به یک وضعیت جامعی از شفافیت و دید کامل نسبت زیرساخت‌های خود برسند. پس بدون داشتن شفافیت و دید کامل نسبت به زیرساخت‌ها، رسیدن به امنیت کامل غیرممکن است. زیرا بدون داشتن دید و مدیریت بر روی نقاط پایانی، علاوه بر اینکه نمی‌توان کنترل‌های امنیتی اثربخشی بر روی آنها داشت بلکه نقاط آسیب پذیر نیز به سرعت قابل شناسایی نخواهند بود. بنابراین بعد از حل مسئله شفافیت نقاط پایانی، قدم بعدی به حداقل رساندن تهدیدات امنیتی است. برای داشتن برنامه نظارتی مناسب بر روی نقاط پایانی برنامه‌ریزی برای حوزه‌های زیر امری ضروری است.

• مدیریت آسیب پذیری‌ها
• Patch کردن آسیب پذیری‌ها
• مشخص کردن اطلاعات حساس که بایستی تحت حفاظت نرم افزار DLP باشند. همچنین مشخص کردن احتمال نشت اطلاعات حساس در صورت ذخیره‌سازی آنها بر روی فضای ابری یا برنامه‌های تحت وب.

مهم ترین نکته در مورد امنیت این است که رسیدن به امنیتی پایدار زمان بر بوده و هیچ استثنائی هم وجود ندارد. علاوه بر این نمی‌توان همه اقدامات امنیتی را به صورت یکجا و در یک نوبت انجام و با این کار همه نیازمندهای امنیتی را پوشش داد. آنچه در مورد امنیت سازمان از اهمیت بالایی دارد، مشخص کردن نیازمندی‌های امنیتی سازمان به همراه کاربران حیاتی سازمان درسریع ترین زمان ممکن است. این کار با هدف ایجاد امنیت و کنترل‌های مظاعف و مبتنی بر معیارهای مختلف نظیر مشخص کردن سطوح مختلف مدیریتی و میزان امتیازات و دسترسی‌های شبکه‌ای و اتصالات موبایل (BYOD) انجام می‌گیرد. مهم‌ترین نکته در شناسایی و تامین امنیت نقاط پایانی مشخص کردن افراد و دستگاه‌هایی است که بیشترین احتمال حمله و آسیب پذیری را دارند.

مراحل حفاظت از نقاط پایانی (Endpoint Protection)

RJ Gazarek مدیر محصول Thycotic، گام‌های ساده و کاربردی زیر را برای حافظت از شبکه در مقابل تهدیدات نقاط پایانی توصیه می کند.

مدیریت دقیق حساب‌های کاربری با دسترسی‌ای مدیر

 کاربران معمولا برای انجام کارهای روزانه خود نیازی به مجوزهای کاربر مدیر ندارند. در مواردی که برنامه های کاربردی برای نصب و اجرا شدن نیاز به مجوز مدیر داشته باشند، مدیران شبکه می توانند از راهکارهای Application Control موجود استفاده نمایند. با حذف دسترسی‌های مدیریتی در نقاط پایانی می توان میزان آسیب‌هایی که یک مهاجم می‌تواند در صورت موفقیت آمیز بودن حمله‌اش بدست آورد کاهش داد.

بروز رسانی و نصب Patchهای امنیتی سیستم‌های متصل به شبکه.

 آسیب پذیری ها همیشه در معرض کشف شدن توسط مهاجمان قرار دارند و مهاجمان با دقت در حال نظارت و پیگیری این آسیب پذیری ها می باشند. اگر آسیب پذیری خطرناک باشد مهاجمان تلاش می کنند تا کسب و کارهایی که این آسیب پذیری ها را برطرف نکرده اند را شناسایی و مورد حمله قرار دهند. برای جلوگیری از این اتفاقات سیاست ها و روال های سازمان بایستی به گونه ای تعریف شود که سیستم های شبکه را مجبور به بروز رسانی نماید.

پیاده‌سازی متدهای پیشرفته احراز هویت.

بخش اعظمی از نفوذهایی که در سال 2016 اتفاق افتاده، مربوط به حملاتی است که در امتداد حمله قبلی رخ داده است. این اتفاق زمانی رخ می دهد که افراد از اطلاعات کاربری مشابه در چندین سایت و دستگاه استفاده کرده باشد. اگر فرد مهاجم به یکی از حساب های کاربری شخص دسترسی پیدا کند، دیگر برای دسترسی به سایر حساب های کاربری آن فرد زحمت زیادی نخواهد کشید. برای جلوگیری از این اتفاق نیاز است سازمان ها از متدهای پیشرفته احراز هویت (Multi factor authentication) برای سرویس های خود استفاده نماید تا در صورت به سرقت رفتن اطلاعات کاربری افراد مهاجم دسترسی کامل به همه مجوزها تعریف شده نداشته باشد.

آموزش و آگاهی امنیتی

 آگاهی و آموزش مداوم در مورد شیوه های ایجاد و تغییر رمز عبور، آموزش راه کارهای جدید امنیتی و آموزش استفاده از شیوه های الکترونیکی، زمان بر می‌باشد و ممکن است برای سازمان‌ها هزینه بالایی داشته باشد. همچنین سازمان‌ها از آنجایی که ممکن است افراد دائما اشتباه کنند، نمی توانند صرفا بر روی آموزش تمرکز کرد. به همین دلیل افراد می توانند ضعیف‌ترین پیوند در یک برنامه امنیتی قوی باشند.

رمزنگاری و کنترل دسترسی در نقاط پایانی

رمزنگاری اطلاعات در نقاط پایانی لایه مهمی از امنیت نقاط پایانی به حساب می آید. رمزنگاری اطلاعات در نقاط پایانی از داده های ذخیره شده و در حال انتقال در برابر کپی شدن آنها توسط اشخاص دیگر محافظت می کند. برای مثال در رمزنگاری کامل دیسک کلیه اطلاعات هارد به غیر از قسمت مربوط به بوت سیستم عامل رمزگذاری می شود. این کار نه تنها شامل اطلاعات ذخیره شده بر روی درایوها بلکه شامل فایل های مربوط به سیستم عامل و برنامه های کاربردی نیز می شود. در این روش کلید مربوط به رمزنگاری اطلاعات هارد فقط در مرحله بوت نیاز بوده و پس از وراد کردن آن سیستم عامل فایل های مورد نیاز برای بوت شدن را از حالت رمز خارج کرده و سیستم آماده کار می شود.

یکی دیگر از ابزارهای کنترلی جهت محافظت از داده های حساس سازمان، استفاده از ابزارهای کنترل برنامه های کاربردی می باشد. وظیفه اصلی این ابزارها جلوگیری از اجرا شدن برنامه های کاربردی توسط کاربران غیر مجاز بر روی نقاط پایانی می باشد. این کار علاوه بر جلوگیری از سوء استفاده کاربران خارجی سازمان از برنامه های کاربردی، قادر به کنترل کاربران برای دانلود و دسترسی به برنامه های کاربردی نیز می باشد. این ابزارها همچنین جلوی تهدیدات بالقوه توسط کارمندان اخراج شده در برنامه های سازمان را خنثی می کنند.

VPN ها یکی دیگر از ابزارهای حفاظت از نقاط پایانی می باشند که سازمان ها بایستی از آنها برای امن کردن ارتباطات نقاط پایانی استفاده نمایند.

محصولات و فروشندگان محصولات امنیت نقاط پایانی (Endpoint Security)

طبق گفته Palavalli اکثر محصولات نقاط پایانی ترفندهایی هستند که به عنوان راه حل و محصول ارایه شده اند و همه آنها به یک تکنولوژی خاصی وابسته اند. راه حل های امنیتی قابل اطمینان معمولا توسعه پذیر بوده و از ترکیب یادگیری ماشین، سیستم جلوگیری از Exploit، هوشمندی در مورد تهدیدات، تجزیه و تحلیل رفتاری، حفاظت چند لایه، سیستم EDR استفاده می کنند. این محصولات معمولا قابل ادغام با سایر ابزارهای امنیتی می باشند.

همه ما به این موضوع آگاهیم که نفوذ در شبکه سازمان امری اجتناب ناپذیر است و به طور مداوم حملاتی منظم علیه نقاط پایانی انجام می شود. این موضوع که سازمان شما چه وسعتی داشته باشد، اهمیتی ندارد. آنچه مهم است این است که راه حل امنیتی نقاط پایانی به سرعت هرگونه نفوذ و تهدیدی را تشخیص و پاسخ دهد.

سایر ملاحظات:

• آیا نرم افزارهای امنیت نقاط پایایی ابزارهایی قوی برای بازسازی آثار مخرب برای هر نوع بدافزاری را ارایه می دهد؟
• آیا نرم افزارهای امنیت نقاط پایایی با بقیه زیرساخت های امنیتی مانند ابزارهای امنیت شبکه، سیستم های تیکتینگ بخش IT و سیستم های SIEM سازگاری لازم را دارند؟
• امنیت نقاط پایایی فقط داشتن یک محصول خاص نیست، بلکه راهکارهای پیاده سازی شده از قابلیت ها و سیاست های موجود می باشد.

در زیر تعدادی از راهکارهای که می توانند به حافظت از دارایی های سازمان در مقابل تهدیدات مربوط به نقاط پایایی کمک کنند، لیست شده است:

• AlienVault: ارائه دهنده راهکارهای چند منظوره
• Bitdefender: این محصول با انواع مختلف سیستم عامل ها سازگار می باشد. یکی از ویژگی های این نرم افزار، تشخیص های اشتباه مثبت کم آن است.
• Symantec Endpoint Protection 14: این نرم افزار علاوه بر ارایه امنیت کامل برای نقاط پایانی مبتنی بر یک عامل نرم افزاری، امکان ادغام شدن با ابزارهایی مانند Symantec Advanced Threat Protection Endpoint و همچنین ابزارهای تشخیص و پاسخگویی به رویدادها را نیز دارد.

سایر ارایه دهندگان راه حل های امنیت نقاط پایانی:

• Trend Micro
• Kaspersky
• Sophos
• (Intel Security (formerly McAfee
• Check Point
• SentinelOne
• CrowdStrike
• Cylance
• Invincea
• Carbon Black
• Palo Alto Networks
• F-Secur