معماری امنیت تطبیقی برای مقابله با حملات پیشرفته

امنیت تطبیقی

امروزه شرکت ها بیش از پیش به مکانیزم های مسدود سازی و جلوگیری وابسته شده اند که در مقابل حملات پیشرفته کارایی کافی را ندارند. از این رو حفاظت جامع نیاز به فرآیند امنیتی تطبیقی دارد که شامل یکپارچه سازی مولفه های پیش بینی ، جلوگیری ، شناسایی  و پاسخگویی  است.

 

چالش های کلیدی:

وجود مکانیزم های جلوگیری و مسدود سازی برای مقابله با حملات پیشرفته کافی نیست.

بیشتر سازمان ها فقط روی استراتژی جلوگیری و ممانعتی سرمایه گذاری کرده اند.

قابلیت های کشف، جلوگیری، پاسخ و پیش بینی ارائه شده از سوی فروشندگان محصولات امنیتی به دلیل غیر یکپارچه بودن آنها، علاوه بر هزینه بالا اثربخشی پایینی دارند.

امنیت اطلاعات، دید مداوم را که برای کشف حملات پیشرفته نیاز است، ندارد.

از آنجا که سیستم های سازمانی تحت حمله مداوم هستند و به طور دائم در معرض خطر قرار دارند، استفاده از یک روش موقت جهت ” پاسخگویی به رخدادها “،  استراتژی اشتباهی است.

 

 پیشنهادات

معماری امنیت اطلاعات به صورت زیر قابل طرح ریزی است:

اولین گام : تغییر تفکر امنیتی از “پاسخگویی موقت به رخدادها” به ” پاسخگویی مستمر” . در این تفکر فرض شده است سیستم در معرض خطر نیاز به نظارت و بازسازی مستمر دارد.

دومین گام: اتخاذ یک معماری امنیتی تطبیقی ​​برای محافظت از تهدیدات پیشرفته با استفاده از ۱۲ قابلیت مهم ارائه شده از سوی موسسه گارتنر به عنوان یک چارچوب امنیتی برای سازمان ها.

سومین گام: هزینه کمتر برروی قابلیت های جلوگیری و سرمایه گذاری روی قابلیت های کشف، پاسخ و پیش بینی.

چهارمین گام: حمایت از شبکه های زمینه-آگاه و پلتفرم های امنیت نقطه پایانی و برنامه های امنیتی که با قابلیت های  جلوگیری، کشف، پاسخ و پیش بینی یکپارچه گردد.

پنجمین گام: توسعه مرکز عملیات امنیت (SOC) که از نظارت مستمر و فرآیند حفاظت تهدیدات مداوم پشتیبانی نماید.

ششمین گام: معماری جامع برای نظارت مستمر روی تمامی لایه های پشته فناوری اطلاعات از جمله انتقال بسته های شبکه، جریان اطلاعات و داده ها، فعالیت های سیستم عامل، محتوی، رفتارهای کاربر و تراکنش های برنامه ها.

 

 مقدمه

امروزه بیشترین اقدامات و محصولات برای حفظ امنیت سازمان ها بر روی تکنولوژی های جلوگیری و مسدودسازی (مانند آنتی ویروس) و کنترل های مبتنی بر سیاست ها (مانند فایروال) برای مسدود کردن تهدید، متمرکز شده است. اگرچه جلوگیری کامل هم غیرممکن است. حملات پیشرفته به سادگی فایروال های سنتی و مکانیزم های جلوگیری مبتنی بر امضا را دور می زند. همه سازمان ها باید فرض کنند که به طور مداوم در معرض خطر و تهدید قرار دارند. این در حالی است که سازمان ها خودشان را با این تفکر فریب می دهند که جلوگیری ۱۰۰% در مقابل تهدیدات ممکن است لذا برای حفاظت خود بر روی سیستم های مبتنی بر امضا و مبتنی بر مسدودسازی تکیه کرده اند. بنابراین اکثر سازمان ها توانایی محدودی برای کشف و پاسخ به رخنه ها را داشته و هنگامی که سرانجام حمله ای اتفاق می افتد، نتایج آن مخربتر و  با زمان ماندگاری طولانی تر بوقوع می پیوندد.

 

امنیت- مقدمه

 

 در حقیقت با اقدامات رو به جلو و بهبود قابلیت های جلوگیری، کشف، پاسخ و پیش بینی می توان شرایطی را فراهم نمود که تمام حملات ساده یا پیشرفته را پوشش دهد. از این رو قابلیت های اشاره شده نباید به صورت جداگانه در نظر گرفته شوند بلکه باید به صورت هوشمند و با همدیگر به عنوان یک سیستم تطبیقی یکپارچه برای تشکیل یک فرآیند امنیتی کامل برای محافظت از تهدیدات پیشرفته کار کنند.

 

 تحلیل

بر اساس تحقیقات صورت گرفته توسط محققین و متخصصین موسسه گارتنر برای کمک به سازمان ها این معماری از میان سایر راه حل ها برای مقابله با حملات پیشرفته طراحی و انتخاب شده است. این معماری مبتنی بر چهار دسته مولفه با سه قابلیت در هر دسته توسعه داده شده است. به منظور رسیدن به راه حل جامع و تطبیقی برای مقابله با حملات ضرورت دارد که روی هر یک از قابلیت ها در هر دسته تمرکز شود.

 

 مولفه های بحرانی یک معماری امنیتی تطبیقی

۱-    جلوگیری کننده: مجموعه ای از سیاست ها، محصولات و فرآیندها که در جای خود برای مقابله با حمله موفق قرار گرفته است. هدف کلیدی این دسته، افزایش موانع برای حملات بوسیله کاهش سطح حمله و مسدود کردن آنها و روش های دیگر حمله قبل از اثرگذاری بر سازمان است.

۲-    شناسایی کننده: قابلیت هایی که است به منظور کشف حملاتی که از اقدامات جلوگیری کننده عبور کرده اند، استفاده می شود. هدف کلیدی این دسته کاهش زمان ماندگاری تهدیدات و درنتیجه کاهش خرابی های بالقوه است. قابلیت های کشف بسیار بحرانی هستند چراکه سازمان باید امکان وقوع خطر را در هر لحظه در نظر بگیرند.

۳-    گذشته نگر: تخصص ها و مهارت هایی که برای بررسی و اصلاح مسائل کشف شده بوسیله فعالیت های شناسایی کننده(یا خدمات بیرونی) نیاز است. این تخصص ها همچنین برای تحلیل فارنزیک و تحلیل ریشه ای علت نیاز بوده و شاخص و اقدامات پیشگیرانه جدیدی را برای مقابله با رخدادهای آینده پیشنهاد می کند.

۴-    پیش بینی کننده: قابلیت هایی که امنیت سازمانی را با یادگیری از رویدادهای خارجی از طریق نظارت خارجی بر عملکرد هکرهای زیرزمینی فراهم نموده و برای پیش بینی و اولویت بندی بلادرنگ حملات جدید در مقابل وضعیت جاری سیستم ها و اطلاعات حفاظت شده، استفاده می شود. این هوش سپس برای بازخورد به قابلیت های شناسایی کننده و جلوگیری کننده مورد استفاده قرار می گیرد.

معماری امنیتی تطبیقی یک چارچوب سودمند برای سازمان ها است چراکه به سازمان ها کمک می کند تا سرمایه گذاری امنیتی بالقوه و موجود را طبقه بندی کرده و از یک رویکرد متعادل در این سرمایه گذاری اطمینان حاصل کنند. سازمان ها به طور مداوم باید وضعیت موجود خود را از نظر کارآمدی سرمایه گذاری  برروی مولفه ها ارزیابی کنند. همچنین این معماری برای طبقه بندی و ارزیابی فروشندگان محصولات امنیتی مفید است. فروشندگانی که در چند دسته دارای قابلیت هستند، ارزش بیشتری نسبت به فروشندگان تک بعدی دارند.

 

 حفاظت امنیت به عنوان یک فرآیند مستمر

 در دوره ای که خطرات سازمان ها را پیوسته تهدید می کند، نیاز است که سازمان ها تفکر خود را از “پاسخگویی به رخدادها” به ” پاسخگویی مستمر” تبدیل کنند چرا که اطلاعات هرگز به طورکامل محافظت نمی شوند و هکرها قادرند به سیستم ها نفوذ کنند و  باید فرض شود که سیستم ها به طور مداوم در معرض خطرند، بنابراین مانیتورینگ و کنترل مداوم یک الزام برای حفظ و پایداری امنیت است.

در معماری امنیت تطبیقی، مانیتورینگ مستمر یک ضرورت است.

 

 

به اشتراک بگذارید... Tweet about this on TwitterShare on FacebookShare on LinkedInEmail this to someonePrint this page
منبع: Gartner

ما را از نظرات خود آگاه سازید

لطفا در صورت تمایل، نظر خود را در مورد مطلب بالا، بنویسید.