نیازمندیهای الزامی برای امنیت در وب

امروزه بسیاری از کسب و کارها در فضای اینترنت انجام می شود و برنامه های شرکت ها به سوی نرم افزارهای مبتنی بر ابر حرکت کرده است. برنامه های کاربردی مبتنی بر ابر با کاهش هزینه ها، افزایش بهره وری و مشارکت و تعادل در کار و زندگی کارکنان توانسته است فضای مناسبی را برای شرکت ها و سازمان ها فراهم آورد تا از مزایای آن استفاده نمایند. اما چالش هایی نیز گریبانگیر شرکت ها هست که مهمترین آنها امنیت، کنترل و کارایی زیرساخت های وب و حفاظت از اطلاعات و امنیت وب در هنگام استفاده کارکنان و اتصال شبکه های سازمانی به اینترنت و وب است.

اینکه سازمان ها و شرکت ها تا چه حد و با چه رویکرد و مکانیزمی توانسته اند با این چالش ها روبرو شوند، بسیار مهم است چراکه حیات و اعتبار کسب و کار آنها به آن وابسته است.

باید توجه داشت که راه حل های سنتی در مقابل تهدیدات پیچیده و سازمان یافته امروزی نمی تواند راه حل مناسبی باشد لذا بهره مندی از روش های بهینه و امنیت چندلایه مانند ضدبدافزار، فیلتر URL، کنترل ترافیک ورودی و خروجی و جلوگیری از نشت اطلاعات (DLP) می تواند موثر باشد. این مقاله به بررسی راه حل های امنیتی در هنگام استفاده کارکنان از وب و قرارگیری لایه های مختلف امنیتی در محل مناسب و همچنین سه اصل کلیدی برای افزایش امنیت در وب که شامل امنیت، کنترل و انعطاف پذیری است، می پردازد.

راه حل های امنیتی در اینترنت

به منظور ارائه یک رویکرد لایه ای و بهینه برای امنیت در اینترنت از سه اصل کلیدی استفاده می شود که هر یک از این اصول دارای الزاماتی است که به عنوان نمونه برای رسیدن به امنیت باید با یک نگاه جهانی و محلی به آن توجه کرد و تجهیزات و روش های امنیتی متناسب با آن را درنظر گرفت یا برای کنترل و نظارت بر امنیت در وب باید ویژگی های کنترلی با بیشترین جزئیات قابل فهم و مورد نیاز تعریف شود.

همچنین با تمهیدات لازم برای حفاظت از فعالیت کاربران در خارج از محیط کار، انعطاف پذیری بیشتری را بوجود آورد. در شکل زیر این اصول و نیازمندی های الزامی آن نشان داده شده است.

نیازمندی امنیت وب

نیازمندی 1: رویکرد جهانی

استقرار فیلترینگ URL به صورت فعال، بلادرنگ و مبتنی بر اعتبار که به منظور شناسایی  و مقابله با تهدیدات جهانی طراحی شده است، یکی از الزامات و راه حل ها محسوب می شود. باید توجه داشت که دقت این تکنیک به تعیین سایت های پرخطر است لذا باید لیست این سایت ها همواره به روز باشد.

آنچه که برای این منظور نیاز است وجود یک سامانه اعتبارسنجی است که از طریق اختصاص URL و آدرس IP به سایت های معتبر و مشهور انجام می شود و کار در کنار بانک های اطلاعاتی دسته بندی شده، یک لایه محافظتی قوی تر از URL فیلترینگ را بوجود می آورد.

یک سامانه اعتبارسنجی پیچیده می تواند ریسک متناظر با داده های دریافت شده از وب سایت های خاص را تعیین کند. این اعتبار می تواند با دسته بندی هایی که بر اساس سیاست سازمان صورت گرفته ترکیب شود و تصمیم مناسب مبتنی بر دسته و اطلاعات اعتبارسنجی امنیتی گرفته شود. نیاز است که یک مکانیزم فیلترینگ URL مبتنی بر اعتبار و شهرت، به خاطر سروکار داشتن با وب سایت های مختلف و در هر زبان به صورت جهانی و بین المللی تنظیم شود.

از آنجایی که حملات بدافزارها هدفمند و کوتاه مدت است، مکانیزم اعتبارسنجی باید به طور مستمر به روز رسانی شود. این راه حل امنیت وب باید توانایی انجام درخواست های بلادرنگ را در محیط اینترنت داشته باشد لذا برای داشتن سیستم کارا و هوشمند در مقابله با تهدیدات نمی توان به بانک های اطلاعاتی محلی و کوچک اکتفا کرد.

یک مساله بسیار مهم این است که در اعتبارسنجی باید اعتبار در سطح وب و ایمیل سنجیده شود. از آنجایی که اکثر حملات مخرب مبتنی بر چند پروتکل اتفاق می افتد، مکانیزم اعتبارسنجی باید ایمیل و وب را درنظر بگیرد. به عنوان مثال یک دامنه جدید که محتوایی ندارد را نمی توان در دسته بندی سایت ها قرار داد.

اگرچه آن سایت متناظر با آدرس IP ای است که از آن ایمیل های مخرب مانند اسپم، حملات فیشینگ یا سایر ایمیل های مخرب ارسال شده است، اما در دامنه های دسته بندی شده قرار ندارد لذا برای مشخص کردن وضعیت آن باید به تاریخچه ایمیل و ارسال پیام های آن نیز توجه کرد. همچنین باید مکانیزمی برای سایت های تازه منتشر شده درنظر گرفت و براساس سیاست های امنیتی سازمان، یک دسته به نام سایت های مشکوک نیز ایجاد کرد تا در هنگام دسترسی کاربران به این سایت ها نیز محافظت صورت گیرد.

نیازمندی 2 : رویکرد محلی

در این الزام بایستی محافظت در مقابل کدهای مخرب با استقرار ضدبدافزار با کاربری بلادرنگ و تحلیل کدهای مبتنی بر مفهوم انجام شود. شرکت ها بایستی از ضدبدافزارهای مفهومی در دروازه های وب (Web Gateway) استفاده کنند. بدین منظور راه حل بکارگیری موتور آنتی ویروس مبتنی بر امضا برای توقف تهدیدات شناخته شده و  پرداختن به تهدیدات پیشرفته برای مقابله بلادرنگ با بدافزارهای پویا از اهمیت ویژه ای برخوردار است.

راه حل موثر در مورد بدافزارها به صورت محلی استفاده از تحلیل مفهومی برای بررسی کدهایی است که در مرورگرها اجرا می شوند. با تحلیل کدها در دروازه اینترنت شرکت یا روی ابر به عنوان خدمات میزبان، بدافزارها راحتتر شناسایی شده و قبل از انتشار و دسترسی به رایانه یا دستگاه کاربر متوقف می شود.

ویژگی های یک سامانه ضدبدافزار مستقردر دروازه در شکل زیر نشان داده شده است.

ویژگی ضد بد افزار

یک مساله مهم در مقابله با بدافزارها این است که موتور ضدبدافزار دروازه نباید فقط شبکه شرکت یا سازمان را حفظ کند بلکه باید به یک سیستم هوش تهدید متصل باشد تا بتواند به سایر شبکه های دیگر که به آن متصل هستند، اطلاع رسانی نماید و دیگر شرکا و همکاران را از خطر این بدافزار و نحوه گسترش و حمله آن مطلع کند.

باید توجه داشت که برای بقا در محیط تهدید امروزی نیاز است که دو رویکرد جهانی و محلی مورد استفاده قرار گیرد و با تقویت هر یک از آنها در کنار یکدیگر امنیت مناسبتر و پایدارتری را فراهم نمود.

نیازمندی 3: فیلترینگ دو جهته و چند پروتکلی

قرار دادن یک فیلترینگ دوجهته ورودی و خروجی در دروازه برای کنترل تمامی ترافیک مبادله شده و پشتیبانی از انواع پروتکل ها مانند FTP، HTTP، HTTPS، IM و فایل های رسانه ای و تصویری برای تامین این نیازمندی، الزامی است.

برنامه های کاربردی ارتباطی مبتنی بر پروتکل های رمز شده و رمز نشده باید در دو جهت کنترل شوند. این شامل دسترسی به وب سایت ها، بلاگ ها، ویکی ها، IM، فایل های صوتی و تصویری پخش شده آنلاین و سایر برنامه ها است و همچنین مانیتورینگ اتصالات برای کنترل و شناسایی بدافزارهایی که اطلاعات حساس را به داخل یا بیرون مبادله می کنند، ضروری است.

برای مثال کنترل پیام های چت و نرم افزارهای آن با استفاده از پروکسی امکان پذیر است. پروکسی ها کنترلی با جزئیات بیشتر را فراهم می کند که چه کسی چه چیزی را ارسال یا دریافت کرده است همچنین می تواند محتوای خارج شده از شبکه را کنترل کند.

این نوع از کنترل بسیار مهم تر از فیلتر کردن سایت های شبکه های اجتماعی یا وبلاگ ها و ویکی ها است. از آنجایی که اکثر ترافیک وب مربوط به شرکت ها و کسب و کارها به صورت رمز شده و تحت HTTPS در آمده است، مساله مهم رمزگشایی این محتوا در دروازه است که البته باید حریم خصوصی افراد و دسترسی به اطلاعات حساس مانند حساب های مالی شخصی یا سلامت حفظ شود.

نیازمندی 4: امنیت وب در سراسر شرکت

به منظور امنیت شرکت در هنگام استفاده از اینترنت، حفاظت از شبکه های شرکت در تمامی بخش ها و شعبات آن و همچنین رایانه، تبلت، موبایل و سایر دستگاه های کاربران در مقابله با بدافزارها بسیار مهم است.

اتصال به اینترنت در داخل یا خارج از شرکت ریسک مشابهی را برای سازمان به همراه دارد. باید توجه داشت که در داخل شرکت می توان با ابزارهای امنیتی ریسک را تا حدودی کاهش داد اما از آنجایی که در اکثر شرکت ها این تمایل وجود دارد که کارکنان آنها از خارج شرکت و با اینترنت و دستگاه های شخصی و از راه دور به شبکه و برنامه های شرکت متصل شوند، لذا باید برای فیلتر کردن دسترسی ها و  مقابله با کدهای مخرب برنامه ریزی کرد و از سامانه های قوی در این خصوص استفاده نمود.

نیازمندی 5: ریزدانگی و جزئیات در کنترل برنامه ها

به منظور افزایش امنیت و کنترل باید از رویکرد سنتی دو وجهی اجازه یا مسدود کردن سایت ها، به سوی دسترسی مبتنی بر سیاست حرکت کرد به عنوان مثال بازی های خاص تحت شبکه اجتماعی مانند Mafia Wars مسدود شود در حالی که دسته عمومی به نام بازی ها قابل دسترسی باشند. راه حل های سنتی امنیت در وب فقط از رویکرد اجازه یا رد دسترسی در وب استفاده می کردند.

اگرچه کماکان شرکت ها نیاز دارند که این ترفند فیلترینگ قدیمی دو وجهی را برای کنترل کاربران و جلوگیری از نشت اطلاعات حفظ کنند. چرا که ساختار بسیاری از وب سایت ها به گونه ای طراحی شده است که فقط می توان از این روش برای کنترل دسترسی و قرار دادن محتوا در وب استفاده کرد. در بسیاری از مواقع قرار دادن محتوا در وب موجب انتقال کدمخرب به سایت و انتشار آن در وب می گردد. از طرف دیگر رسانه های ویدئویی و صوتی به خاطر حجم بالا در بسیاری از سایت ها موجب می شوند تا پهنای باند اینترنت را تلف نمایند.

دلایل اشاره شده باعث می شود تا از یک دروازه وب برای کنترل عملکرد کاربران و زمان دسترسی آنها به سایت های مختلف استفاده شود و در زمانی که کاربر اجازه دسترسی به وب را دارد، باید آنچه که کاربر انجام می دهد، کنترل شود.

آنچه از اهمیت بیشتری برخوردار است کاربران و نحوه استفاده از برنامه های کاربردی در وب است. دسترسی به سایت هایی شبکه های اجتماعی یا به اشتراک گذاری ویدئو را نمی شود به طور کامل مسدود یا اجازه داد بلکه باید سیاستی را اتخاذ کرد تا عملکرد و کاربری خاصی را محدود یا فعال نمود. به عنوان مثال ممکن است استفاده از برخی وب سایت های آموزشی که دارای ویدئو هستند، مجاز باشد اما برای جلوگیری از اتلاف وقت کارکنان و هدر رفتن پهنای باند می بایست جلوی دیدن ویدئوهای غیرکاری و غیرمجاز گرفته شود.

استفاده از قابلیت کنترل برنامه کاربردی روی دروازه وب می تواند در این اقدام موثر باشد. کنترل برنامه ها باید از ریزدانگی کافی برای مسدود کردن دسته خاصی از برنامه ها و حتی برنامه های نامطلوب برخوردار باشد و بتواند جلوی نشت اطلاعات را بگیرد. منظور از ریزدانگی در کنترل، اعمال درجه ای از کنترل دسترسی است که بتوان برای یک سطح شرکت، گروه یا حتی کاربر، کنترل را اعمال نمود و مشخص کرد که در چه زمانی، کدام کاربر یا گروه حق استفاده از چه برنامه ای را در وب دارد.

نیازمندی 6: جلوگیری از نشت اطلاعات روی چند پروتکل

باید بتوان از ابزارها و مکانیزم هایی استفاده نمود تا جلوی نشت و خروج اطلاعات از طریق تمامی پروتکل های وب گرفته شود. برای محافظت از خروج غیرمجاز اطلاعات از طریق محتوای وب یا ایمیل باید پنج گام اساسی را طی کرد. از تعریف سیاست ها  و تنظیم مقرارت کاری گرفته تا شناسایی و اجرای آنها و تهیه استانداردها برای ممیزی، با این اقدامات می توان اطمینان پیدا کرد که اطلاعاتی از دروازه وب شرکت عبور نمی کند. در شکل زیر 5 گام برای جلوگیری از خروج و نشت اطلاعات از طریق اینترنت در سازمان ارائه شده است.

نشت اطلاعات

برای کنترل و مدیریت فایل ها و جلوگیری از خروج غیرمجاز اطلاعات حساس از سازمان یا شرکت باید از سامانه های DLP، DRM و… استفاده نمود. از سامانه های مطرح در این حوزه می توان به نرم افزارهای EndPoint Security که دارای عملکرد چندگانه امنیتی در سطح رایانه کاربران است و یا نرم افزارهای خاص مدیریت و کنترل اطلاعات سازمانی از جمله Total File Guard – TFG اشاره نمود.

به منظور جلوگیری از نشت و خروج اطلاعات از سازمان برای داده های در حال انتقال باید از پروتکل های رمزنگاری برای هر دو ترافیک وب و ایمیل استفاده کرد. به منظور کنترل برنامه ها باید دسترسی به وب سایت ها، سایت های شبکه های اجتماعی، بلاگ ها، ویکی ها، IM، P2P و سایر برنامه ها و همچنین اتصالات مانیتور شود. همچنین کنترل ترافیک رمزشده نیز باید در دروازه وب صورت گیرد تا داده های حساس به طور غیرمجاز از شبکه سازمان خارج نشود.

نیازمندی 7: استراتژی استقرار انعطاف پذیر

ممکن است سازمان یا شرکت از استراتژی های متفاوتی برای فعالیت کارکنان و دسترسی به وب استفاده کند که این استراتژی ها شامل استراتژی کار در داخل شرکت یا درفضای اینترنت یا ترکیب هر دو باشد. براساس استراتژی سازمان یا شرکت و به منظور دسترسی کارکنان از طریق شبکه داخلی و اینترنت از هرجای دنیا، نباید دسترسی کارکنان محدود به شبکه باشد و باید از راه حل های انعطاف پذیر استفاده شود.

بدین منظور باید برای دسترسی به سرورها و برنامه های شرکت از طریق نقاط نامطمئن و غیر امن مانند هتل ها، کافی شاپ ها و ابزارهای موبایل، امنیت بالاتری را فراهم نمود. همچنین نیاز است از تجهیزاتی استفاده شود که به صورت شبانه روزی فعال و در دسترس کاربران قرار گیرد. در این راستا استفاده از تجهیزات مجازی سازی برای سرورها که منابع سخت افزاری را با قدرت بیشتری در اختیار می گیرد، موثر است. همچنین تکنولوژی نرم افزار به عنوان سرویس (SaaS) برای ارائه خدمات تحت ابر مناسب است. با استفاده از تجهیزات ترکیبی و یکپارچه برای ارائه خدمات شرکت مانند Appliance، نرم افزاری، Blade server و SaaS و ترکیب آنها به کارکنان داخل یا خارج شرکت، می توان رویکرد استقرار انعطاف پذیری را پیاده سازی نمود.

 برای رسیدن به هدف انطاف پذیری در امنیت وب، استفاده از سامانه های مانیتورینگ به منظور کنترل منابع، برنامه های کاربردی و سرورها و فعال و در دسترس بودن آنها بسیار ضروری است.

نیازمندی 8: چند منظوره

به منظور کاهش هزینه ها و سادگی در مدیریت می توان راه حل های مختلف قدیمی را یکپارچه سازی نمود. برای مدیریت ریسک با هزینه مناسب باید از راه حل های امنیتی یکپارچه در دروازه وب استفاده کرد. این راه حل ها باید به گونه ای باشند تا بتوانند از چند عملکرد مختلف امنیتی و کنترلی مانند فیلترینگ URL، مقابله با بدافزارها، فیلترینگ مبتنی بر اعتبار و… به طور همزمان پشتیبانی نمایند. راه حل هایی که بتوانند به طور موثری ریسک را مدیریت نمایند، امنیت را افزایش دهند و هزینه ها را کاهش دهد، می توانند فرصت اضافی را برای تحکیم امنیت و افزایش کارایی سازمان بوجود آورد و در هنگام تصمیم گیری برای انتخاب راه حل مناسب، جز انتخاب های برتر قرار گیرند.

نیازمندی 9: قابل مدیریت

داشتن دسترسی به اینترنت و وب پایدار برای کسب و کار ها به صورت یک امر حیاتی تبدیل شده است لذا سازمان ها و شرکت ها باید از راه حل هایی استفاده نمایند که بتواند وضعیت و سلامت دروازه های وب سازمان را رصد و در یک نگاه گزارش دهد. باید حتما از ابزارهایی استفاده شود که دسترسی، مدیریت و گزارش دهی جامعی داشته باشد. همچنین نیاز است که وضعیت سرورها و دروازه وب به صورت بلادرنگ مانیتور و گزارش داده شود تا در صورت خرابی به سرعت ایرادات برطرف و تحلیل مناسب برای جلوگیری از بروز خرابی در آینده صورت گیرد.

داشتن مانیتورینگ و گزارش گیری قوی و توسعه پذیر، یک اقدام بنیادی برای افزایش توانایی در فهم ریسک ها، تصحیح سیاست ها و سنجش معیارهای امنیتی است.

نتیجه

استفاده از تکنولوژی های جدید و پذیرش استفاده از برنامه های کاربردی در اینترنت به یک ارزش در کسب و کار تبدیل شده است و همین مساله باعث بروز ریسک ها و خطرهای جدید امنیتی در کسب و کار شده است. بدین منظور استفاده از تکنیک های قدیمی که مبتنی بر امضا و دسته بندی برنامه ها بود، دیگر جوابگوی نیازهای امروزی نیست. سازمان ها باید از نسل های جدید راه حل های امنیتی و کنترلی مبتنی بر دروازه برای مقابله با تهدیدات استفاده نمود. تجهیزات و راه حل های جدید باید از تکنیک های مبتنی بر مفهوم و اعتبارسنجی به همراه ریزدانگی در کنترل برنامه و کاربراندر بخش امنیت وب استفاده نمود. 9 نیازمندی الزامی که در بالا تشریح شد، می تواند به سازمان ها و شرکت ها کمک نماید تا انتخاب مناسبی را برای بهره مندی از تجهیزات و امکانات امنیتی و کنترلی یکپارچه داشته باشند.

مرجع

McAfee. (2014). Nine Essential Requirements for Web Security. Santa Clara, California: McAfee, Inc.