- نوشته شده در : 1396/02/07
- تعداد بازدید : 4204
استراتژي دفاع در عمق شرکت فاواموج
جلوگیری از تهدیدات پیشرفته مستمر (Advanced Persistent Threat) با استفاده از استراتژی دفاع در عمق (Defense in Depth) شرکت فاواموج
منظور از تهدیدات پیشرفته مستمر روشهای پیشرفته و معمولا مخفی برای بدست آوردن اطلاعات مستمر در مورد فرد یا گروهی از افراد، بعنوان نمونه; کشورهای خارجی است. در حوزه امنیت اطلاعات، مجموعه ای از تهدیدات وجود دارد که در یک الگوی دراز مدت می تواند در جهت حملات نفوذی پیچیده علیه دولتها ، شرکتها و شخصیتهای سیاسی استفاده شود.
در دنیای کنونی، اطلاعات بسیار با ارزش توسط اشخاص، شرکتها و کشورها تولید و نگهداری میشوند و همواره این اطلاعات، هدف حمله افراد گوناگون و گروههای خاص بوده است. این حملات میتوانند به منظور جاسوسی سایبری (Espionage) و یا خرابکاری (Sabotage) باشند.
معمولا این حملات، از تکنولوژی هایی استفاده میکنند که حساسیتی برای شبکه و فایروالهای موجود ایجاد نکنند. جهت گیری APT ها به سمت صنایع بزرگ، مراکز مالی و یا اهداف دولتی است و هدف این حملات، عمدتا در جهت نابود سازی اطلاعات، تغییر مسیر اطلاعات و سرقت از اطلاعات با ارزش دولتها و شرکتها میباشد. برای مثال حمله به تاسیسات مهم نفتی و صنعتی کشورهای حوزه خلیج فارس با استفاده از ویروس stuxnet و یا سرقت و دزدی اطلاعات با استفاده از ویروسهای Night Dragon ،Duqu و shamoon میباشد.
ماهیت این نوع حملات به گونه ای است که میتواند برای ماهها و سالها به طول بیانجامد تا در زمان مناسب به نتیجه دلخواه خود برسد. APTدر اصل یک هک ساده نمیباشد (فقط به یک وب سایت و یا یک شبکه نفوذ میشود و حتی یک جرم تعریف شده به صورت قطعی نمیباشد که شخص برای سود خود این کار را انجام دهد) بلکه هدف بسیار بالاتر است و دستیابی و برتری جویی در صفحه بین الملل به عنوان هدف اصلی این حملات مطرح گردیده است.
در دهه دوم قرن 21، دوران جدیدی در صفحه امنیت سایبری رقم زده شد، به نحوی که از اواخر سال 2009 با حمله به شرکت گوگل و در سال 2011 در حمله به شرکت RSA و همچنین حملات گسترده بر روی تاسیسات نفتی و صنعتی کشورهای حوزه خلیج فارس، این دوران آغاز گردید. امروزه بیشتر اهداف این حملات از میان نهادهای دولتی، نهادهای نظامی، شرکتها و صنایع نظامی مانند هواپیماسازی، موشک سازی و شرکتهای پیشرو در زمینه IT انتخاب میشوند. همچنین سرقت اطلاعات مهم مانند بایگانی ایمیلها و مجموعه مستندات آرشیو شده، اسرار تجاری و پایگاههای داده، جزء اهداف مهم این گونه حملات بشمار میآیند.
اکثر این حملات با استفاده از روش Spear Phishing و حملات گسترده Zero-day رخ می دهد.
Spear Phishing با روش ارسال ایمیل به کارمندان انتخاب شده در درون سازمانها رخ میدهد. سعی هکرها بر این است که ایمیلها را از مبادی معتبر ارسال کنند تا حساسیتی برای دریافت کنندگان ایجاد نشود و در صورت کلیک کردن بر روی لینکهای موجود بر روی میل و با توجه به ظواهر قانونی، آن به برنامه مخرب اجازه ورود به کامپیوتر را پیدا میکند. همچنین در روش Zero-day، ویروسها و تروجانها که تاکنون توسط آنتی ویروسها و فایروالها شناخته نشده اند در کامپیوترها یک حفره امنیتی ایجاد میکنند و شبکه ای از Botnetها تشکیل میشود تا در زمان مناسب بتوان از آنها استفاده نمود.
با بررسی این دو نوع حمله به این نکته پی میبریم که از طریق اشتباه انسانی(برای مثال باز کردن میلهای مخرب توسط کاربران و Social engineering )، عدم وجود تکنولوژیهای مناسب و همچنین عدم وجود رویههای امنیتی مطلوب، این گونه اتفاقات رخ میدهد. پس در این گونه حملات 3 مؤلفه انسان، عملیات و تکنولوژی زیر سوال میرود.
در بسیاری از سازمانها این فرضیه غلط وجود دارد که صرفا با استفاده از یک فایروال در لبه، میتوان جلوی حملات را گرفت اما این نوع ایجاد امنیت از پایه، زیر سوال خواهد رفت زیرا به هر نسبت که این فایروال قوی باشد و از لحاظ طراحی در مکان مناسبی در قسمتی از شبکه قرارگرفته باشد، فقط میتواند یک لایه امنیت برای گستره خاصی از حملات باشد و در صورتی که حمله ای با روش جدید رخ دهد، به راحتی میتواند از این لایه عبور کند و به سایر لایهها دسترسی داشته باشد و اگر حمله از سمت لبه رخ ندهد میتواند با روش spear Phishing از داخل آن وارد عمل شود که در این صورت نیز فایروال در لبه بی تاثیر است.
با توجه به معضلات ذکر شده ما نیازمند یک راه کار مناسب برای امنیت سازی در شبکه هستیم که می توان برای آن از راه کار استراتژی دفاع در عمق استفاده کرد. با استفاده از این روش در تمامی لایهها بر روی تمامی مولفهای دخیل در امنیت (انسان، عملیات، تکنولوژی) میتوانیم مکانیسمهای امنیتی گوناگون مستقر کنیم تا اگر هکری از لایه ای عبور کرد به لایههای دیگر نتواند نفوذ کند و سرعت حمله او نیز گرفته و حمله ش عملا فرسایشی شود. در زمان بدست آمده از کاهش سرعت حمله هکر ، تجهیزات امنیتی بروزرسانی میشوند و میتوانند این حمله را دفع کنند.
استراتژی دفاع در عمق استراتژی جدیدی نیست. این استراتژی از زمان رم باستان در جنگها مورد استفاده قرار میگرفت تا با استفاده از لایههای دفاع گوناگون، حملات دشمن را فرسایشی و در صورتی که حمله از یک خط دفاعی عبور میکرد در سایر خطوط دفاعی جلوی او گرفته میشد. امروزه راه کارهای مختلفی برای ایجاد استراتژی دفاع در عمق در شبکهها وجود دارد برای مثال به منظور کنترل انسانی، میتوان از راه حلهای پایش فعالیت ادمینها استفاده نمود بدین صورت که تمامی ارتباطات از راه دور آنها به سمت سرورها مورد پایش قرار میگیرند و در نتیجه ادمینها نیز متوجه وجود تجهیز و یا نرم افزار نخواهد شد زیرا بصورت Transparent در شبکه قرار گرفته است.
همچنین به منظور ایجاد کنترل انسانی و عملیاتی درسازمان، میتوان از راه حلهای "دسترسی پاک" استفاده نمود و در راستای ایجاد این گونه راه حلها که برای نقطه انتهایی شبکه (لایه 2 به بالا) در نظر گرفته میشود ، عملکرد بدین صورت است که ادمین از بدو ورود به شبکه میبایست خود را احراز هویت کند و سپس میتواند وارد شبکه شود. همچنین بر اساس سیاستهای از پیش تعیین شده، میتوان سیستم عامل او را مورد پایش قرار داد تا در صورتی عدم منافات با سیاستهای سازمان نتواند وارد شبکه شود( تا زمانی که مشکل را برطرف نکند). این سیاستهای از پیش تعیین شده میتواند بر اساس DLL ، رجیستری، سرویسها ، برنامهها و بروز بودن آنتی ویروس و یا ترکیبی از اینها باشد.
در ارائه راه کارهای دیگر، به فایروالهای نسل جدید که میتوانند بر روی دادههای لایه 7 تصمیم گیری کنند، میتوان اشاره نمود (تا قبل از این فایروالها صرفا بر روی لایه 3 و 4 میتوانستند سیاست گذاری کنند). این فایروالهابر روی برنامههای موجود در لایه را شناسایی و آشنائی دارند و بر روی آنها میتوانند سیاست گذاری انجام دهند و همچنین از توان بالایی برای جلوگیری از ورود Malwareها به شبکه برخوردارند.
از راه کارهای دیگر مورد استفاده میتوان به راه حلهای پایش بلادرنگ شبکه که با استفاده از پروفایلی در جهت شناسایی سابقه رفتار کاربر میسازند و آن میتواند در صورت مشاهده تخلف از این پروفایل و سابقه ،نسبت به دسترسی او به منابع شبکه واکنش نشان دهند،را میتوان اشاره کرد.
بعنوان مثال یک منشی که صرفا نیاز دسترسی به میل سازمانی خود دارد، نباید از پروتکل FTP استفاده کند و اگر از این پروتکل استفاده کند خطایی درحال رخ دادن است و میبایست فعالیت او متوقف شود.
همان طور که در این راه حلها توضیح داده شد، با ایجاد سیاستهای مناسب در لایههای گوناگون می توان از احتمال بروز خطا در شبکه کاست و حملات را در لایههای مختلف دفع کرد.
شرکت فاواموج برای جلوگیری از این معضل، « استراتژی دفاع در عمق » را جهت امن سازی شبکه ارائه میدهد. با استفاده از این روش در تمامی لایه ها، بر روی تمامی مؤلفههای دخیل در امنیت ( انسان، عملیات، تکنولوژی) میتوانیم مکانیزمهای امنیتی مختلفی ایجاد کنیم تا اگر هکری از لایه ای عبور کرد، در لایه ای دیگر گرفتار شده و سرعت حمله او نیز گرفته و حمله اش عملاً فرسایشی گردد و در زمان بدست آمده از کاهش سرعت حمله هکر ، تجهیزات امنیتی بروزرسانی شده تا بتوانند این حمله را دفع کنند.
برخی از راه کارهای امنیتی برای ایجاد استراتژی دفاع در عمق که شرکت فاواموج تمامی آنها را پیاده سازی و راه اندازی نموده است به شرح زیر میباشد:
• ایجاد دسترسی پاک Identity Service Engine
• فایروالهای نسل جدید Next Generation Firewall