آیا میدانید میانگین جهانی هزینه نقض دادهها (Data breach) در سال 2022 معادل 4.35 میلیون دلار بوده است؟ این آمار اهمیت امنیت شبکههای کامپیوتری را نشان میدهد. شبکه مجموعهای از دو یا چند دستگاه محاسباتی متصل به هم است که به منظور اشتراکگذاری سختافزار، نرمافزار، دادهها و اطلاعات و همچنین تسهیل در ارتباطات استفاده میشود.
تقریبا همه مشاغل امروزی برای مولد بودن به نوعی از شبکه متکی هستند؛ خواه یک شبکه LAN باشد که به کارمندان اجازه دسترسی به اینترنت را میدهد، یک WAN که مکانهای مختلف اداری را به هم متصل میکند یا یک شبکه بهعنوان یک سرویس (Network as a Service – NaaS) که این عملکرد را در فضای ابری انجام میدهد. تامین امنیت شبکه برای جلوگیری از دسترسی غیرمجاز به بخشهای مختلف شبکه از مهمترین کارهایی است که باید توسط سازمانها انجام شود. حتما میپرسید امنیت شبکه چیست؟ در این مقاله درباره امنیت شبکه (Network security)، انواع و راههای تامین آن صحبت میکنیم.
امنیت شبکه (Network security) مجموعهای از شیوهها و فناوریها است که از زیرساخت شبکه در برابر حملات، دسترسی غیرمجاز و نقض دادهها محافظت میکند. امنیت شبکه را میتوانیم بهعنوان حوزهای از امنیت سایبری مطرح کنیم که بر حفاظت از شبکههای کامپیوتری در برابر تهدیدهای سایبری متمرکز است. سه هدف اصلی امنیت شبکههای کامپیوتری عبارتاند از:
معماری امنیت شبکه از ابزارهایی تشکیل شده است که از خود شبکه و اپلیکیشنهایی که روی آن اجرا میشوند، محافظت میکند. استراتژیهای موثر امنیت شبکه از چندین خط دفاعی استفاده میکنند که مقیاسپذیر و خودکار هستند. هر لایه دفاعی مجموعهای از سیاستهای امنیتی تعیینشده توسط مدیر (Administrator) را اعمال میکند. امنیت شبکه با محافظت از یکپارچگی زیرساخت شبکه، منابع و ترافیک حملات سایبری را خنثی میکند و تاثیر مالی و عملیاتی آنها را به حداقل میرساند.
با بزرگتر و پیچیدهتر شدن شبکهها خطر حملات سایبری نیز افزایش پیدا میکند. در دنیای امروز که اپلیکیشنهای کسبوکاری بیشتری به سمت ابرهای خصوصی و عمومی در حال حرکت هستند و خرید سرور ابری رواج بیشتری پیدا کرده، امنیت شبکههای کامپیوتری نیز با چالشهای بزرگتری همراه شده است. علاوهبر این، خود اپلیکیشنها نیز به سمت مجازیسازی و توزیع در مکانهای مختلف کشیده میشوند که برخی از آنها خارج از کنترل فیزیکی تیم امنیت IT هستند. با افزایش روز افزون حملات سایبری به کسبوکارها و زیرساختهای سازمانها، حفاظت از ترافیک شبکه و زیرساخت به یک امر ضروری و حیاتی تبدیل شده است.
امنیت شبکه کلید توانایی سازمان در ارائه محصولات و سرویسها به مشتریان و کارکنان است. از فروشگاههای آنلاین گرفته تا اپلیکیشنهای سازمانی و دسکتاپهای از راه دور (Remote desktops)، محافظت از اپلیکیشنها و دادههای روی شبکه برای پیشرفت و ترقی کسبوکار و همچنین اعتبار یک سازمان ضروری است. علاوهبر این، امنیت شبکه موثر از خارج شدن زیرساخت از دسترس جلوگیری کرده و در نتیجه عملکرد شبکه را بهبود میبخشد.
امنیت شبکه چندین لایه دفاعی را در لبه و شبکه ترکیب میکند، بهطوریکه هر لایه امنیتی شبکه سیاستها و کنترلها را پیادهسازی میکند. عناصر معماری امنیتی کامل و چند لایه که امنیت شبکه را در سراسر یک سازمان پیادهسازی میکند، به دو دسته کلی تقسیم میشوند؛ کنترل دسترسی و کنترل تهدید که در ادامه به بررسی آنها میپردازیم:
امنیت شبکه با کنترل دسترسی شروع میشود. در بخش کنترل دسترسی، دسترسی به دادهها و نرمافزارهای مورد استفاده برای جلوگیری از دستکاری آن دادهها محدود میشود. کنترل دسترسی برای جلوگیری از دسترسی غیرمجاز و کاهش خطر تهدیدهای داخلی بسیار مهم است. اگر عوامل مخرب به یک شبکه دسترسی پیدا کنند، میتوانند با نظارت بر ترافیک و نقشهبرداری از زیرساخت، اقدام به حمله DDoS کرده یا بدافزار وارد کنند.
راهحلهای مدیریت هویت و دسترسی (Identity and Access Management- IAM) میتواند در این زمینه به شما کمک کند. بسیاری از شرکتها از شبکههای خصوصی مجازی (VPN) برای کنترل دسترسی استفاده میکنند. بااینحال، امروزه جایگزینهایی برای VPNها وجود دارد. این محدودیتها میتوانند با توجه به IP و Mac Address انجام شوند. برای کنترل دسترسی بهتر است پورتها و سرویسهایی که استفاده نمیشوند را مسدود کنید.
حتی با وجود کنترل دسترسی نیز ممکن است مشکلاتی ایجاد شود. بهعنوان مثال، یک عامل بد ممکن است از اعتبار یک کارمند برای ورود به شبکه استفاده کند. بنابراین نیاز به کنترل تهدید (Threat Control) کاملا احساس میشود که در ترافیکی که قبلا مجاز اعلام شده است عمل کند. کنترل تهدید از اقدامات عوامل مخرب برای آسیب رساندن به شبکه جلوگیری میکند.
فناوریهای کنترل تهدید با فایروال و لود بالانسر (Load balancer) شروع میشود. این دستگاهها از شبکه در برابر حملات DoS و DDoS محافظت میکنند. در مرحله بعد، IDS/IPS با حملات شناختهشده که از طریق شبکه انجام میشود، مقابله میکند. در نهایت اشیای بدافزار ناشناختهای که در شبکه حرکت میکنند، با فناوریهای Sandbox گرفته میشوند؛ درحالیکه ناهنجاریها در ترافیک شبکه که ممکن است نشانههایی از یک تهدید باشند، با NTA/NDR شناسایی میشوند. در ادامه این مقاله، کلیه این فناوریهای امنیت شبکه توضیح داده شدهاند.
سیستمهای امنیتی شبکه در دو سطح کار میکنند؛ در محیط و در منابع داخلی شبکه. کنترلهای امنیتی در محیط تلاش میکنند تا از ورود تهدیدهای سایبری به شبکه جلوگیری کنند. اما گاهی اوقات مهاجمان شبکه موفق به نفوذ میشوند؛ بنابراین تیمهای امنیت IT باید کنترلهایی را در اطراف منابع داخل شبکه مانند لپتاپها یا دادهها نیز اعمال کنند. این استراتژی یعنی لایهبندی کنترلهای چندگانه بین هکرها و آسیبپذیریهای احتمالی را «Defense in depth» مینامند. برای ساخت سیستمهای امنیتی، تیمهای امنیتی ابزارهای زیر را ترکیب میکنند:
فایروال نرمافزار یا سختافزاری است که از ورود یا خروج ترافیک مشکوک یک شبکه جلوگیری میکند و درعینحال به ترافیک قانونی اجازه عبور میدهد. به عبارت دیگر، فایروالها تهدیدهای بالقوه ترافیک شبکه را فیلتر کرده و حملات بدافزار، سوءاستفاده از آسیبپذیری، حملات رباتها و سایر تهدیدها را مسدود میکنند.
فایروالهای سنتی با استفاده از یک دستگاه سختافزاری در محل فیزیکی یک کسبوکار اجرا میشوند. امروزه بسیاری از فایروالها میتوانند بهصورت نرمافزاری یا در فضای ابری اجرا شوند و نیاز به سختافزار فایروال را از بین میبرند. بهعلاوه، فایروالها را میتوان در لبههای یک شبکه مستقر کرد یا بهصورت داخلی برای تقسیم یک شبکه بزرگتر به زیرشبکههای کوچکتر مورد استفاده قرار داد. بهاینترتیب اگر بخشی از شبکه در معرض خطر باشد، هکرها از سایر بخشها جدا خواهند بود.
راهحلهای کنترل دسترسی به شبکه (NAC) مانند دروازهبان عملکنند و مشخص میکنند که چه کسانی اجازه ورود به شبکه دارند و چه کارهایی میتوانند انجام دهند. احراز هویت (Authentication) و مجوز (Authorization) دو نکته مهم در این کنترل دسترسی به شبکه است.
Authentication بهمعنای تایید این است که کاربر همان کسی است که ادعا میکند. Authorization نیز بهمعنای اعطای مجوز به کاربران تاییدشده برای دسترسی به منابع شبکه است. راهحلهای NAC اغلب برای اجرای سیاستهای کنترل دسترسی مبتنی بر نقش (RBAC) استفاده میشوند که در آن امتیازهای کاربران بر اساس عملکردهای شغلی آنها است.
یک سیستم تشخیص و جلوگیری از نفوذ (IDPS) که گاهی اوقات IPS نامیده میشود، میتواند بهطور مستقیم پشت فایروال مستقر شود تا ترافیک ورودی برای تهدیدهای امنیتی را اسکن کند. ابزارهای امنیتی IDPS از سیستمهای تشخیص نفوذ (IDS) تکامل پیدا کردهاند که فقط فعالیتهای مشکوک را برای بررسی علامتگذاری میکنند. این قابلیت به IDPSها اضافه شده است که بهصورت خودکار به نقضهای احتمالی مانند مسدود کردن ترافیک یا تنظیم مجدد اتصال پاسخ دهند. IDPSها بهویژه در تشخیص و مسدود کردن حملات Brute force، DoS و DDoS موثر هستند.
یک شبکه خصوصی مجازی با رمزگذاری دادههای کاربران و پوشاندن آدرس IP و مکان آنها از هویتشان محافظت میکند. در صورت استفاده از VPN، کاربران بهطور مستقیم به اینترنت متصل نمیشوند، بلکه به یک سرور امن که به اینترنت متصل است، وصل میشوند. شبکه ها به کارکنان از راه دور کمک میکنند تا حتی از طریق اتصالات Wifi عمومی ناامن بهطور ایمن به شبکههای شرکت دسترسی پیدا کنند. شبکههای خصوصی مجازی ترافیک کاربر را رمزگذاری میکنند و آن را از هکرهایی که بهدنبال رهگیری ارتباطات آنها هستند، در امان نگه میدارند.
بعضی از سازمانها بهجای VPN از دسترسی شبکه Zero trust یا همان ZTNA استفاده میکنند. ZTNA بهجای استفاده از سرور پروکسی، از سیاستهای کنترل دسترسی zero-trust برای اتصال امن کاربران از راه دور استفاده میکند. هنگامی که کاربران از راه دور از طریق ZTNA به شبکه وارد میشوند، آنها به کل شبکه دسترسی ندارند. در عوض، آنها فقط به داراییهای خاصی که مجاز به استفاده از آنها هستند، دسترسی پیدا میکنند و هر بار برای دسترسی به یک منبع جدید باید دوباره تایید شوند. در ادامه بهطور دقیقتر به بررسی Zero-trust خواهیم پرداخت.
امنیت اپلیکیشن به مراحلی گفته میشود که تیمهای امنیتی برای محافظت از اپلیکیشنها و APIها در برابر مهاجمان شبکه انجام میدهند. ازآنجاییکه بسیاری از کمپانیهای امروزی از اپلیکیشنها برای انجام توابع (Functions) کلیدی کسبوکار یا پردازش دادههای حساس استفاده میکنند، اپلیکیشنها یک هدف رایج برای مجرمان سایبری هستند. بسیاری از اپلیکیشنهای کسبوکاری روی ابر عمومی میزبانی میشوند؛ ازهمینرو هکرها میتوانند از آسیبپذیریهای آنها برای نفوذ به شبکههای خصوصی شرکت سوءاستفاده کنند.
اقدامات امنیت اپلیکیشن از اپلیکیشنها در برابر عوامل مخرب محافظت میکند. ابزارهای رایج امنیت اپلیکیشن شامل فایروالهای وب اپلیکیشن (WAF)، خودمحافظتی اپلیکیشن در زمان اجرا (RASP)، تست امنیت اپلیکیشن استاتیک (SAST) و تست امنیت اپلیکیشن پویا (DAST) میشود.
درگاههای ایمیل اولین عامل تهدید برای نقض امنیت هستند. مهاجمان از اطلاعات شخصی و تاکتیکهای مهندسی اجتماعی برای ایجاد کمپینهای فیشینگ پیچیده برای فریب دادن گیرندهها و ارسال آنها به سایتهایی که بدافزار دارند، استفاده میکنند.
ابزارهای امنیتی ایمیل میتوانند به خنثی کردن حملات فیشینگ و سایر تلاشها برای به خطر انداختن حسابهای ایمیل کاربران کمک کنند. بیشتر سرویسهای ایمیل ابزارهای امنیتی داخلی مانند فیلترهای اسپم و رمزگذاری پیام دارند. یک اپلیکیشن امنیت ایمیل حملههای ورودی را مسدود کرده و پیامهای خروجی را کنترل میکند تا جلوی از دست رفتن دادههای حساس را بگیرد.
یک Sandbox به IDS/IPS شباهت دارد، با این تفاوت که Sandbox به امضاها وابسته نیست. یک Sandbox میتواند یک محیط سیستم نهایی (End-system) را شبیهسازی کرده و مشخص کند که آیا یک شی بدافزار در حال تلاش برای انجام کاری مانند اسکن پورت است یا خیر.
NTA/NDR بهطور مستقیم به ترافیک یا رکوردهای ترافیک مانند NetFlow نگاه میکند و از الگوریتمهای یادگیری ماشین و تکنیکهای آماری برای ارزیابی ناهنجاریها و تشخیص وجود یک تهدید بهره میبرد. NTA/NDR ابتدا تلاش میکند تا یک خط مبنا (Baseline) تعیین کند؛ سپس با وجود یک خط مبنا ناهنجاریهایی مانند ارتباطات متناوب را شناسایی میکند.