معماری امنیت تطبیقی برای مقابله با حملات پیشرفته

امنیت تطبیقی

۱۲ قابلیت بحرانی در فرآیند امنیت تطبیقی

به منظور افزایش امنیت و داشتن یک معماری امنیتی تطبیقی جامع، لازم است این ۱۲ قابلیت برای مقابله با تهدیدات و مسدود سازی آنها، شناسایی و پاسخگویی به آنها به کار گرفته شوند. هر یک از این قابلیت ها دارای اهمیتی برابر با سایر قابلیت ها است و نمی توان ترتیب اهمیت خاصی برای آنها در نظر گرفت.

 

سیستم های مستحکم و ایزوله

 

۱ – سیستم های مستحکم و ایزوله: اساس هر معماری حفاظت و امنیت اطلاعات باید با کاهش سطح حمله بوسیله استفاده ترکیبی از فناوری ها همراه باشد. این فناوری ها، توانایی دسترسی هکرها به سیستم ها، یافتن آسیب پذیری های هدف و اجرای بدافزارها را محدود می کند. روش های سنتی مانند ” لغو دسترسی پیش فرض” (که با نام “لیست سفید” نیز معروف است) یک رویکرد و قابلیت قدرتمند است که در این دسته کمرنگتر شده است نمونه هایی از آن را می توان در فایروال شبکه (فقط ارتباط روی پورت/پروتکل) یا سطح کنترل برنامه های سیستم (فقط مجوز اجرای برنامه) دید. رمزنگاری داده می تواند به عنوان یک شکل از لیست سفید یا مستحکم کردن سیستم ها در سطح اطلاعات در نظر گرفته شود. رویکردهای مدیریت وصله و آسیب پذیری که برای شناسایی و مسدود کردن آسیب پذیری است نیز در این دسته قرار می گیرد. تکنیک های “جعبه شن ” و ایزوله کردن نقاط پایانی آشکار که به طور پیشرو و فعال توانایی یک شبکه/سیستم/برنامه /فرآیند برای تعامل با دیگر شبکه ها، سیستم ها، برنامه ها یا فرآیندها را محدود می کند، نمونه ای از این دسته است.

 

۲ – انحراف نفوذگران: یک روش و تکنیک ساده که در این دسته قرار می گیرد داشتن یک مزیت نامتقارن در مقابل هکرها است. در این روش، هکرها را با فعالیت هایی از جمله دشوار کردن زمان کشف موقعیت سیستم های سازمانی و آسیب پذیر، پنهان سازی یا مبهم سازی واسط های سیستم ها و اطلاعات از طریق ترفندهای خاص مانند ایجاد سیستم های جعلی، آسیب پذیری های جعلی و اطلاعات غیرواقعی، سرگرم کرده و زمان آنها را تلف می کند. برای مثال فناوری Mykonos  که در شبکه های Juniper آسیب پذیری هایی را در لایه برنامه کاربردی بوجود می آورد که جعلی و فریب بوده و وجود ندارد، درنتیجه یک مدل فعال از کوزه عسل را بوجود می آورد. Unisys Stealth سیستم های شبکه را پنهان می کند و راه حل CSG Invotas یک نوع از تکنیک های انحرافی را پیاده سازی می کند. در حالی که امنیت از طریق ابهام کافی نیست اما درنظر گرفتن این قابلیت در استراتژی دفاع در عمق و لایه ای کارساز است.

این روش ها علاوه بر اتلاف زمان هکرها، می تواند به سرعت و با دقت بالایی هرگونه تلاش برای دسترسی به سیستم ها، آسیب پذیری ها و  اطلاعات جعلی را به عنوان هکر آشکار کند (این درحالی است که کاربران مجاز به این موارد دسترسی ندارند) و از هرگونه تخریب توسط آنها جلوگیری نماید. فروشندگان محصولات امنیتی جدید مانند Shape Security در لایه واسط کاربری اقدام به امن سازی و استحکام برنامه برای مقابله با حملات خودکار نموده اند.

 

۳ – مقابله با رخدادها:  این دسته با رویکردهای شناخته شده و با دوام برای مقابله با هکرها جهت دستیابی غیرمجاز به سیستم ها نگاشت شده اند. این دسته شامل پویش ضدبدافزارهای سنتی مبتنی بر امضا و همچنین سیستم های جلوگیری از نفوذ مبتنی بر میزبان و شبکه است. امضاها و الگوهای مبتنی بر رفتار ممکن است در لایه های مختلف شبکه، دروازه یا در سطح میزبان بکارگرفته شوند. برای مثال برای محافظت سیستم ها می توان از طریق برقراری ارتباط با مراکز شناخته شده فرماندهی و کنترل و یکپارچه سازی کنترل های شبکه، دروازه یا مبتنی بر میزبان با اطلاعات هوش تهدید است. (همچنین در یک میزبان بوسیله مقابله با تزریق یک فرآیند در فضای حافظه دیگری است.)

 

۴ – شناسایی رخدادها: بعضی از حملات قادرند که از مکانیزم های مقابله و مسدودسازی سنتی عبور نمایند در این حالت یک اقدام کلیدی، شناسایی حملات در کوتاهترین زمان ممکن است تا هکرها کمترین خرابی را تحمیل نمایند یا داده های حساس را استخراج کنند. تکنیک های مختلفی ممکن است در اینجا استفاده شود اما بیشتر بر روی تحلیل داده های جمع آوری شده بوسیله مانیتورینگ مستر که در هسته معماری امنیت تطبیقی است، تاکید دارد. این روش به صورت شناسایی ناهنجاری ها از الگوهای هنجار در شبکه یا رفتار نقاط پایانی، یا با استفاده از ارتباطات خارجی با موجودیت های زیان آور شناخته شده، با شناسایی ترتیبی ار رویدادها و امضاهای رفتاری به عنوان شاخص های بالقوه خطرآفرین انجام می شود.

مانیتورینگ فراگیر و مستمر در قلب معماری امنیت تطبیقی یک عامل حیاتی در تجزیه و تحلیل است و تحلیلگر از طریق بررسی آنچه که در حال حاضر مشاهده شده در مقابل آنچه در گذشته رایج بوده است، یک ناهنجاری را کشف می کند. در یک جریان رو به جلو، توسعه مرکز عملیات امنیت مستمر و تحلیل گران عملیات امنیت مجرب، مولفه های حیاتی در یک سازمان هستند.

 

۵ – تصدیق و اولویت بندی ریسک: پس از اینکه رخداد بالقوه ای شناسایی شد، نیاز است که براساس شاخص های سازش، همبستگی بین تمام اجزا فرآیند امنیتی و موجودیت های مختلف آن اتفاق افتاده و وقوع یک رخداد تصدیق شود. برای مثال مقایسه آنچه یک سیستم تشخیص تهدیدات مبتنی بر شبکه در یک محیط جعبه شنی می بیند با آنچه که از تغییرات رجیتسری، رفتار، فرآیندها و… در نقاط پایانی مشاهده می شود. این توانایی برای به اشتراک گذاری هوش سراسری شبکه ها و نقاط پایانی، یکی از دلایل اصلی ادغام اخیر دو شرکت FireEye و Mandiant است.  براین اساس ابتدا باید زمینه های داخلی و خارجی مانند کاربر، نقش ها، حساسیت اطلاعات مورد کاربرد و ارزش دارایی کسب و کار از طریق ریسک های سازمان اولویت بندی شده و به صورت بصری ارائه شده تا تحلیلگر عملیات امنیت بتواند ابتدا بروی ریسک هایی با اولویت بالاتر تمرکز نماید.

 

۶ – محدود نگه داشتن رخدادها: پس از شناسایی، تصدیق و اولویت بندی یک رخداد، این دسته برای محدود نگه داشتن تهدید بوسیله ایزوله کردن سیستم به خطر افتاده یا محدود کردن حساب کاربری از دسترسی به سیستم ها، اقدام می نماید. بعضی از توانایی های محدود نگه داشتن شامل محدود سازی در نقطه پایانی،  قفل کردن حساب کاربری، ایزوله سازی در سطح شبکه، حذف یک فرآیند سیستم، جلوگیری بلافاصله دیگران از اجرای کدمخرب مشابه یا محتوای مخاطره آمیز مشابه است.

 

۷ – بررسی/تحلیل رخداد: پس از محدود نگه داشتن سیستم های یا حساب های کاربری به خطر افتاده، باید دلایل ریشه ای و محدوده کامل آسیب پذیری و آنچه دقیقا رخ داده است با استفاده از تحلیل گذشته نگر و جمع آوری داده از مانیتورینگ مستمر مشخص شود از جمله:

  • چگونه هکر پایگاهی را برای حملات خود بدست آورده است؟
  • آیا یک آسیب پذیری ناشناخته یا وصله نشده موجب حمله شده است؟
  • چه فایل یا برنامه اجرایی موجب حمله شده است؟
  • چه تعداد سیستم تحت تاثیر این حمله قرار گرفته است؟
  • در این حمله چه برنامه هایی به طور خاص نادیده گرفته شده اند؟

در بعضی موارد سازمان ها می خواهند از انگیزه و مبدا حملات نیز اطلاعاتی بدست آورند. برای مثال آیا این حمله از سوی یک دولت سازماندهی شده بود؟ اگر بوده، چه دولتی؟ برای پاسخ به این سوالات نیاز است که تاریخچه ای از اطلاعات مانیتورینگ در اختیار تحلیلگر امنیتی باشد. جریان شبکه برای یک بررسی جامع به تنهایی کافی نیست. بیشتر مراکز عملیات امنیت (SOC) از نگهداری logها و بسته های کامل جریان شبکه و معادل آن در سمت نقطه پایانی همراه با ابزارهای تحلیلی پیشرفته مرتبط با آن برای پاسخ به اینگونه سوالات استفاده می کنند. به علاوه، امضاها/قواعد/الگوهای ارائه شده از سوی آزمایشگاه فروشندگان محصولات امنیتی و توانمندی های محققین، باید در کنار داده های گذشته مورد استفاده قرار گیرند تا مشخص شود هم اکنون سازمان مورد هدف یک اقدام خرابکارنه قرار گرفته و آیا در گذشته نیز این حمله صورت گرفته و کشف نشده است.

 

۸ – تغییر مدل/طراحی: برای جلوگیری از حملات جدید یا سرایت کدمخرب مجدد به سیستم ها، بهتر است که سیاست ها و کنترل های مورد نیاز تغییر کند ( برای مثال بستن آسیب پذیری ها، بستن پورت های شبکه، به روز رسانی امضا ها، به روز رسانی تنظیمات سیستم ها، اصلاح سطوح دسترسی کاربران، تغییر در برنامه آموزشی کاربران، استفاده از گزینه های مقاومتر امنیت اطلاعات مانند رمزنگاری). طرح های جدید با روش “دفاع سفارشی” باید قابلیت تولید خودکار امضاها/قواعد/الگوهای جدید برای مقابله با حملات پیشرفته کشف شده جدید را داشته باشد. این تغییرات باید به گونه ای مدلسازی شوند که فعالانه اقدام به تست و کنترل مثبت های غلط و منفی های غلط در کنار داده های گذشته جمع آوری شده از مانیتورینگ مستمر نماید.

 

۹ – اعمال تغییرات/اصلاحات: پس از آنکه مدلسازی و تعیین آن موثر واقع شد، تغییرات باید صورت گیرد. بعضی از واکنش ها می تواند با سیستم های امنیتی نوظهور هماهنگ و خودکار شوند و تغییرات سیاست های امنیتی به نقاط اجرای سیاست های امنیتی مانند فایروال، سیستم جلوگیری از نفوذ، کنترل برنامه کاربردی یا سیستم ضد بدافزار ارسال و اعمال شوند. اگرچه در این مرحله مقدماتی، بسیاری از سازمان ها به جای سیستم های خودکار هماهنگ سازی واکنش امنیتی، کماکان بکارگیری متخصصین عملیات امنیت، امنیت شبکه یا کارکنان پشتیبانی نقطه پایانی که تغییرات را انجام می دهند، را ترجیح می دهند.

 

۱۰ – سیستم های خط مبنا: تغییرات در سیستم ها به طور مداوم اعمال خواهد شد. سیستم های جدید مانند ابزارهای موبایل و خدمات مبتنی بر ابر در حال مطرح شدن هستند. حساب های کاربری می آیند و می روند. آسیب پذیری های جدید افشا می شود. برنامه های کاربردی جدید توسعه می یابند و سازگاری های مداوم برای تهدیدات جدید صورت می گیرد. بنابراین تعریف خط مبناهای جدید و مجدد همراه با کشف ابزارهای کاربر نهایی، سیستم های سمت سرور، خدمات ابری، خدمات هویت شناسی، آسیب پذیری ها، ارتباطات و تراکنش های معمول باید به صورت مداوم انجام گیرد.

 

۱۱ – پیش بینی حملات: این دسته با اهمیت در حال رشد و ظهور است. با توجه به شناسایی مراکز مورد توجه هکرها، بازارگاه های هکرها و تابلوهای اعلانات آنها، علاقه مندی به صنایع مختلف برای هک و براساس نوع و حساسیت اطلاعات که مورد حفاظت هستند، این دسته به طور پیشگیرانه اقدام به پیش بینی آینده حملات و اهداف می کند و در نتیجه سازمان ها می توانند استراتژی های حفاظتی-امنیتی خود را تنظیم و پیاده سازی کنند.  برای مثال براساس اطلاعات (هوش) جمع آوری شده که نشان دهنده یک حمله احتمالی روی یک برنامه یا سیستم عامل است، سازمان می تواند از انواع روش های حفاظتی پیشگیرانه از جمله امن سازی برنامه ها مبتنی بر فایروال و احراز هویت قوی یا مسدود سازی بلادرنگ انواع دسترسی ها استفاده نماید.

 

۱۲ – تجزیه و تحلیل آشکارسازی پیشگیرانه: با استفاده از آخرین اطلاعات (هوش) جمع آوری شده از منابع داخلی و خارجی، باید آشکارسازی و ریسک برای دارایی سازمان به طور مداوم انجام شده و در کنار ریسک های قابل پیش بینی و انتظار ارزیابی شوند و نیاز است تنظیمات جدیدی روی سیاست ها و کنترل ها اعمال گردد. برای مثال وقتی میران مصرف خدمات مبتنی بر ابر جدید آشکار شود، چه ریسک هایی محتمل است؟ چه کنترل های جبرانی مانند رمزنگاری اطلاعات نیاز است؟ چه ریسک هایی برای برنامه کاربردی جدید مانند برنامه های موبایل که ممکن است سازمانی یا غیرسازمانی باشد، برای سازمان مطرح است؟ آیا برای آسیب پذیری های شناخته شده یا ناشناخته پویش صورت می گیرد؟ آیا کنترل های جبرانی مانند فایروال برنامه کاربردی یا محدودسازی نقطه پایانی نیاز است؟

 

 

به اشتراک بگذارید... Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Share on LinkedIn
Linkedin
Email this to someone
email
Print this page
Print
منبع: Gartner

ما را از نظرات خود آگاه سازید

لطفا در صورت تمایل، نظر خود را در مورد مطلب بالا، بنویسید.