نیازمندیهای الزامی برای امنیت در وب

امنیت وب

امروزه بسیاری از کسب و کارها در فضای اینترنت انجام می شود و برنامه های شرکت ها به سوی نرم افزارهای مبتنی بر ابر حرکت کرده است. برنامه های کاربردی مبتنی بر ابر با کاهش هزینه ها، افزایش بهره وری و مشارکت و تعادل در کار و زندگی کارکنان توانسته است فضای مناسبی را برای شرکت ها و سازمان ها فراهم آورد تا از مزایای آن استفاده نمایند. اما چالش هایی نیز گریبانگیر شرکت ها هست که مهمترین آنها امنیت، کنترل و کارایی زیرساخت های وب و حفاظت از اطلاعات در هنگام استفاده کارکنان و اتصال شبکه های سازمانی به اینترنت و وب است. اینکه سازمان ها و شرکت ها تا چه حد و با چه رویکرد و مکانیزمی توانسته اند با این چالش ها روبرو شوند، بسیار مهم است چراکه حیات و اعتبار کسب و کار آنها به آن وابسته است.

باید توجه داشت که راه حل های سنتی در مقابل تهدیدات پیچیده و سازمان یافته امروزی نمی تواند راه حل مناسبی باشد لذا بهره مندی از روش های بهینه و امنیت چندلایه مانند ضدبدافزار، فیلتر URL، کنترل ترافیک ورودی و خروجی و جلوگیری از نشت اطلاعات (DLP) می تواند موثر باشد. این مقاله به بررسی راه حل های امنیتی در هنگام استفاده کارکنان از وب و قرارگیری لایه های مختلف امنیتی در محل مناسب و همچنین سه اصل کلیدی برای افزایش امنیت در وب که شامل امنیت، کنترل و انعطاف پذیری است، می پردازد.

 

راه حل های امنیتی در اینترنت

به منظور ارائه یک رویکرد لایه ای و بهینه برای امنیت در اینترنت از سه اصل کلیدی استفاده می شود که هر یک از این اصول دارای الزاماتی است که به عنوان نمونه برای رسیدن به امنیت باید با یک نگاه جهانی و محلی به آن توجه کرد و تجهیزات و روش های امنیتی متناسب با آن را درنظر گرفت یا برای کنترل و نظارت بر امنیت در وب باید ویژگی های کنترلی با بیشترین جزئیات قابل فهم و مورد نیاز تعریف شود و همچنین با تمهیدات لازم برای حفاظت از فعالیت کاربران در خارج از محیط کار، انعطاف پذیری بیشتری را بوجود آورد. در شکل زیر این اصول و نیازمندی های الزامی آن نشان داده شده است.

 

نیازمندی امنیت وب

 

 

 

نیازمندی ۱: رویکرد جهانی

استقرار فیلترینگ URL به صورت فعال، بلادرنگ و مبتنی بر اعتبار که به منظور شناسایی  و مقابله با تهدیدات جهانی طراحی شده است، یکی از الزامات و راه حل ها محسوب می شود. باید توجه داشت که دقت این تکنیک به تعیین سایت های پرخطر است لذا باید لیست این سایت ها همواره به روز باشد. آنچه که برای این منظور نیاز است وجود یک سامانه اعتبارسنجی است که از طریق اختصاص URL و آدرس IP به سایت های معتبر و مشهور انجام می شود و کار در کنار بانک های اطلاعاتی دسته بندی شده، یک لایه محافظتی قوی تر از URL فیلترینگ را بوجود می آورد.

یک سامانه اعتبارسنجی پیچیده می تواند ریسک متناظر با داده های دریافت شده از وب سایت های خاص را تعیین کند. این اعتبار می تواند با دسته بندی هایی که بر اساس سیاست سازمان صورت گرفته ترکیب شود و تصمیم مناسب مبتنی بر دسته و اطلاعات اعتبارسنجی امنیتی گرفته شود. نیاز است که یک مکانیزم فیلترینگ URL مبتنی بر اعتبار و شهرت، به خاطر سروکار داشتن با وب سایت های مختلف و در هر زبان به صورت جهانی و بین المللی تنظیم شود.

از آنجایی که حملات بدافزارها هدفمند و کوتاه مدت است، مکانیزم اعتبارسنجی باید به طور مستمر به روز رسانی شود. این راه حل امنیت وب باید توانایی انجام درخواست های بلادرنگ را در محیط اینترنت داشته باشد لذا برای داشتن سیستم کارا و هوشمند در مقابله با تهدیدات نمی توان به بانک های اطلاعاتی محلی و کوچک اکتفا کرد.

یک مساله بسیار مهم این است که در اعتبارسنجی باید اعتبار در سطح وب و ایمیل سنجیده شود. از آنجایی که اکثر حملات مخرب مبتنی بر چند پروتکل اتفاق می افتد، مکانیزم اعتبارسنجی باید ایمیل و وب را درنظر بگیرد. به عنوان مثال یک دامنه جدید که محتوایی ندارد را نمی توان در دسته بندی سایت ها قرار داد. اگرچه آن سایت متناظر با آدرس IP ای است که از آن ایمیل های مخرب مانند اسپم، حملات فیشینگ یا سایر ایمیل های مخرب ارسال شده است، اما در دامنه های دسته بندی شده قرار ندارد لذا برای مشخص کردن وضعیت آن باید به تاریخچه ایمیل و ارسال پیام های آن نیز توجه کرد. همچنین باید مکانیزمی برای سایت های تازه منتشر شده درنظر گرفت و براساس سیاست های امنیتی سازمان، یک دسته به نام سایت های مشکوک نیز ایجاد کرد تا در هنگام دسترسی کاربران به این سایت ها نیز محافظت صورت گیرد.

 

 

نیازمندی ۲ : رویکرد محلی

در این الزام بایستی محافظت در مقابل کدهای مخرب با استقرار ضدبدافزار با کاربری بلادرنگ و تحلیل کدهای مبتنی بر مفهوم انجام شود. شرکت ها بایستی از ضدبدافزارهای مفهومی در دروازه های وب (Web Gateway) استفاده کنند. بدین منظور راه حل بکارگیری موتور آنتی ویروس مبتنی بر امضا برای توقف تهدیدات شناخته شده و  پرداختن به تهدیدات پیشرفته برای مقابله بلادرنگ با بدافزارهای پویا از اهمیت ویژه ای برخوردار است.

راه حل موثر در مورد بدافزارها به صورت محلی استفاده از تحلیل مفهومی برای بررسی کدهایی است که در مرورگرها اجرا می شوند. با تحلیل کدها در دروازه اینترنت شرکت یا روی ابر به عنوان خدمات میزبان، بدافزارها راحتتر شناسایی شده و قبل از انتشار و دسترسی به رایانه یا دستگاه کاربر متوقف می شود.

ویژگی های یک سامانه ضدبدافزار مستقردر دروازه در شکل زیر نشان داده شده است.

 

 

ویژگی ضد بد افزار

 

 

یک مساله مهم در مقابله با بدافزارها این است که موتور ضدبدافزار دروازه نباید فقط شبکه شرکت یا سازمان را حفظ کند بلکه باید به یک سیستم هوش تهدید متصل باشد تا بتواند به سایر شبکه های دیگر که به آن متصل هستند، اطلاع رسانی نماید و دیگر شرکا و همکاران را از خطر این بدافزار و نحوه گسترش و حمله آن مطلع کند.

باید توجه داشت که برای بقا در محیط تهدید امروزی نیاز است که دو رویکرد جهانی و محلی مورد استفاده قرار گیرد و با تقویت هر یک از آنها در کنار یکدیگر امنیت مناسبتر و پایدارتری را فراهم نمود.

 

 

نیازمندی ۳: فیلترینگ دو جهته و چند پروتکلی

قرار دادن یک فیلترینگ دوجهته ورودی و خروجی در دروازه برای کنترل تمامی ترافیک مبادله شده و پشتیبانی از انواع پروتکل ها مانند FTP، HTTP، HTTPS، IM و فایل های رسانه ای و تصویری برای تامین این نیازمندی، الزامی است.

برنامه های کاربردی ارتباطی مبتنی بر پروتکل های رمز شده و رمز نشده باید در دو جهت کنترل شوند. این شامل دسترسی به وب سایت ها، بلاگ ها، ویکی ها، IM، فایل های صوتی و تصویری پخش شده آنلاین و سایر برنامه ها است و همچنین مانیتورینگ اتصالات برای کنترل و شناسایی بدافزارهایی که اطلاعات حساس را به داخل یا بیرون مبادله می کنند، ضروری است. برای مثال کنترل پیام های چت و نرم افزارهای آن با استفاده از پروکسی امکان پذیر است. پروکسی ها کنترلی با جزئیات بیشتر را فراهم می کند که چه کسی چه چیزی را ارسال یا دریافت کرده است همچنین می تواند محتوای خارج شده از شبکه را کنترل کند. این نوع از کنترل بسیار مهم تر از فیلتر کردن سایت های شبکه های اجتماعی یا وبلاگ ها و ویکی ها است. از آنجایی که اکثر ترافیک وب مربوط به شرکت ها و کسب و کارها به صورت رمز شده و تحت HTTPS در آمده است، مساله مهم رمزگشایی این محتوا در دروازه است که البته باید حریم خصوصی افراد و دسترسی به اطلاعات حساس مانند حساب های مالی شخصی یا سلامت حفظ شود.

 

 

نیازمندی ۴: امنیت وب در سراسر شرکت

به منظور امنیت شرکت در هنگام استفاده از اینترنت، حفاظت از شبکه های شرکت در تمامی بخش ها و شعبات آن و همچنین رایانه، تبلت، موبایل و سایر دستگاه های کاربران در مقابله با بدافزارها بسیار مهم است.

اتصال به اینترنت در داخل یا خارج از شرکت ریسک مشابهی را برای سازمان به همراه دارد. باید توجه داشت که در داخل شرکت می توان با ابزارهای امنیتی ریسک را تا حدودی کاهش داد اما از آنجایی که در اکثر شرکت ها این تمایل وجود دارد که کارکنان آنها از خارج شرکت و با اینترنت و دستگاه های شخصی و از راه دور به شبکه و برنامه های شرکت متصل شوند، لذا باید برای فیلتر کردن دسترسی ها و  مقابله با کدهای مخرب برنامه ریزی کرد و از سامانه های قوی در این خصوص استفاده نمود.

 

 

نیازمندی ۵: ریزدانگی و جزئیات در کنترل برنامه ها

به منظور افزایش امنیت و کنترل باید از رویکرد سنتی دو وجهی اجازه یا مسدود کردن سایت ها، به سوی دسترسی مبتنی بر سیاست حرکت کرد به عنوان مثال بازی های خاص تحت شبکه اجتماعی مانند Mafia Wars مسدود شود در حالی که دسته عمومی به نام بازی ها قابل دسترسی باشند. راه حل های سنتی امنیت در وب فقط از رویکرد اجازه یا رد دسترسی در وب استفاده می کردند. اگرچه کماکان شرکت ها نیاز دارند که این ترفند فیلترینگ قدیمی دو وجهی را برای کنترل کاربران و جلوگیری از نشت اطلاعات حفظ کنند. چرا که ساختار بسیاری از وب سایت ها به گونه ای طراحی شده است که فقط می توان از این روش برای کنترل دسترسی و قرار دادن محتوا در وب استفاده کرد. در بسیاری از مواقع قرار دادن محتوا در وب موجب انتقال کدمخرب به سایت و انتشار آن در وب می گردد. از طرف دیگر رسانه های ویدئویی و صوتی به خاطر حجم بالا در بسیاری از سایت ها موجب می شوند تا پهنای باند اینترنت را تلف نمایند.

دلایل اشاره شده باعث می شود تا از یک دروازه وب برای کنترل عملکرد کاربران و زمان دسترسی آنها به سایت های مختلف استفاده شود و در زمانی که کاربر اجازه دسترسی به وب را دارد، باید آنچه که کاربر انجام می دهد، کنترل شود.

آنچه از اهمیت بیشتری برخوردار است کاربران و نحوه استفاده از برنامه های کاربردی در وب است. دسترسی به سایت هایی شبکه های اجتماعی یا به اشتراک گذاری ویدئو را نمی شود به طور کامل مسدود یا اجازه داد بلکه باید سیاستی را اتخاذ کرد تا عملکرد و کاربری خاصی را محدود یا فعال نمود. به عنوان مثال ممکن است استفاده از برخی وب سایت های آموزشی که دارای ویدئو هستند، مجاز باشد اما برای جلوگیری از اتلاف وقت کارکنان و هدر رفتن پهنای باند می بایست جلوی دیدن ویدئوهای غیرکاری و غیرمجاز گرفته شود. استفاده از قابلیت کنترل برنامه کاربردی روی دروازه وب می تواند در این اقدام موثر باشد. کنترل برنامه ها باید از ریزدانگی کافی برای مسدود کردن دسته خاصی از برنامه ها و حتی برنامه های نامطلوب برخوردار باشد و بتواند جلوی نشت اطلاعات را بگیرد. منظور از ریزدانگی در کنترل، اعمال درجه ای از کنترل دسترسی است که بتوان برای یک سطح شرکت، گروه یا حتی کاربر، کنترل را اعمال نمود و مشخص کرد که در چه زمانی، کدام کاربر یا گروه حق استفاده از چه برنامه ای را در وب دارد.

 

به اشتراک بگذارید... Tweet about this on TwitterShare on FacebookShare on LinkedInEmail this to someonePrint this page

ما را از نظرات خود آگاه سازید

لطفا در صورت تمایل، نظر خود را در مورد مطلب بالا، بنویسید.