حقظ امنیت شبکه

بررسی انواع روش های حفظ امنیت شبکه

بررسی انواع روش های حفظ امنیت شبکه

طیف گسترده‌ای از سخت افزارها، نرم افزارها و روش های امنیتی شبکه وجود دارد که می توان از آنها برای محافظت از داده های حساس در برابر حملات خارجی و تهدیدات داخلی استفاده کرد.

این مقاله اصول اصلی امنیت شبکه و محبوب ترین فناوری هایی را که متخصصان امنیت سایبری برای کاهش پذیری شبکه استفاده می کنند، بیان می کند.

امنیت شبکه چیست؟

امنیت شبکه هرگونه عمل یا ابزاری است که برای ایمن سازی شبکه و داده های آن طراحی و اجرا شده است که شامل، سخت افزار و راه حل های ابری می باشد. ابزارهای موثر امنیتی می توانند طیف گسترده‌ای از حملات سایبری را متوقف کنند و از گسترش حملات در سراسر شبکه در صورت نقض اطلاعات جلوگیری نمایند.

در محیط سایبری امروز، هر سازمانی باید فرایندها و راه حل های امنیت شبکه را برای حفظ زمان به روز بودن منابع آنلاین خود پیاده سازی کند. همه راه حل های امنیت شبکه مطابق با اصول امنیت شبکه اجرا می شوند.

آشنایی با اصول امنیت شبکه

سه گانه سیا(CIA)

سه گانه سیا شامل سه اصل اصلی است که برای تضمین امنیت شبکه با یکدیگر همکاری می کنند. هر راه حل امنیتی شبکه را می توان به عنوان یکی از اصول زیر پشتیبانی کرد:

محرمانه بودن: داده ها در برابر تهدیدها و دسترسی غیرمجاز محافظت می شود.
صداقت: داده جلوگیری از تغییرات یا حذف های تصادفی یا عمدی به صورت دقیق و قابل اعتماد هستند.
در دسترس بودن: داده ها در دسترس کسانی قرار می گیرد که دارای مجوز دسترسی هستند.

اجرای امنیت شبکه:

برای جلوگیری از حملات سایبری و هک، میتوان در مجموع از سه نوع مولفه امنیتی استفاده کرد. سخت افزار، نرم افزار و اجرای امنیتی ابر

اجزای سخت افزاری شامل سرورها و دستگاه هایی هستند که مجموعه‌ای از عملیات امنیتی را در یک شبکه انجام می دهند. اجزای سخت افزاری را می توان به دو صورت تنظیم کرد:

خارج از مسیر ترافیک شبکه(“out-of-line”): به عنوان یک نهاد جداگانه از ترافیک شبکه، تجهیزات امنیتی خارج از خط وظیفه نظارت بر ترافیک و افزایش هشدارها را در صورت تشخیص داده های مخرب دارند.

در مسیر ترافیک شبکه(“خطی”): یک گزینه محبوب تر از این دو، تجهیزات سخت افزاری خطی وظیفه دارند، تهدیدات امنیتی احتمالی را بلافاصله مسدود کنند. اجزای نرم افزاری امنیتی بر روی دستگاه های سراسر شبکه نصب شده‌اند و قابلیت تشخیص اضافی و رفع تهدید را ارائه می دهند. رایج ترین شکل اجزای امنیتی شبکه نرم افزاری، برنامه های آنتی ویروس هستند.

سرانجام، خدمات ابری مستلزم تخلیه زیرساخت های امنیتی بر روی ارائه دهنده ابر است. استراتژی حفاظت مشابه تجهیزات سخت افزاری خطی است. زیرا تمام ترافیک شبکه از طریق ارائه دهنده ابر عبور می کند. در آنجا، ترافیک قبل از مسدود شدن یا اجازه ورود به شبکه برای تهدیدات احتمالی اسکن می شود.

شبکه های صوتی معمولاً متکی به ترکیبی از چندین مولفه امنیتی هستند که به طور همزمان کار می کنند. این نوع سیستم دفاعی چند لایه تضمین می کند  که حتی اگر تهدیدی بتواند از شکاف های یک جزء عبور کند، لایه محافظ دیگری مانع دسترسی از آن به شبکه می شود.

لایه امنیتی

این لایه، یک روش امنیتی شبکه است که ترکیبی از چنین کنترل امنیتی برای محافظت از شبکه ها در برابر تهدیدات است. با استفاده از یک رویکرد امنیتی لایه‌ای، یک شبکه دارای بیشترین میزان پوشش ممکن برای مقابله با طیف گسترده‌ای از تهدیدات امنیتی است که می تواند در شبکه نفوذ کند. یک رویکرد امنیتی لایه‌ای نیز در صورت دور زدن تهدید یکی از لایه های امنیتی، فرصت های بیشتری را برای تشخیص و واکنش فراهم می کند.

به عنوان مثال، در تلاش برای محافظت از خانه در برابر مزاحمان خارجی، صاحب خانه ممکن است از حصار، قفل، دوربین های امنیتی و سگ نگهبان استفاده کند. هر لایه امنیتی اضافه شده، اثر بخشی کلی استراتژی دفاعی را افزایش می دهد در حالی که به طور همزمان قابلیت های تشخیص و پیشگیری از تهدیدها را تکمیل و مکمل سایر اقدامات امنیتی می کند.

چارچوب Zero-Trust

Zero- Trust یک چارچوب امنیت سایبری است که تاکید می کند که سازمان ها نباید به طور خودکار اجازه تردد در سراسر شبکه را بدهند، حتی اگر از منبع داخلی ناشی شده باشد. این امر با چارچوب قلعه و خندق متفاوت است. زیرا امنیت شبکه با ایجاد یک محیط امنیتی سخت تر که بر روی مقابله با تهدیدات خارجی متمرکز است، به دست می آید.

مفهوم اصلی Trust-Zero این است که تا زمانی که  به درستی قانونی بودن آن تایید نشود، نمی توان به ترافیک اعتماد کرد. این امر از شبکه ها در برابر تهدیدهای داخلی و اعتبارات خطرناک در محیط داخلی محافظت می کند که به طور معمول با پخش شدن آنها در سراسر شبکه، حداقل مقاومت را برای مهاجمان فراهم می کند.

تایید از طریق انواع روش ها و فناوری ها از جمله احراز هویت چند عاملی(MFA)، هویت و مدیریت دسترسی(IAM) و تجزیه و تحلیل داده ها انجام می شود. در یک شبکه تقسیم بندی شده، سیستم های تایید صحت موجود همچنان به بررسی ترافیک در هر قسمت می پردازد تا اطمینان حاصل شود که فعالیت کاربر در طول جلسه مجاز است.

انواع امنیت شبکه، ابزارها و روشها

کنترل دسترسی و احراز هویت

اقدامات دسترسی و احراز هویت از شبکه ها و داده ها با تایید اعتبارنامه کاربران و اطمینان از این که کاربران تنها مجاز به دسترسی به داده هایی هستند که برای آنها نقش آنها ضروری است، محافظت می کند. ابزارهایی که به کنترل دسترسی و احراز هویت کمک می کنند شامل دسترسی ممتاز(PAM)، ارائه دهندگان هویت به عنوان خدمات (IaaS) و راه حل های کنترل دسترسی به شبکه (NAC) است.

راه حل های کنترل دسترسی و احراز هویت نیز برای تایید اینکه کاربران معتبر از نقاط پایانی امن به شبکه دسترسی دارند، استفاده می شود. برای تایید، health check را انجام می دهد که اطمینان حاصل می کند آخرین بروز رسانی های امنیتی و نرم افزارهای پیش نیاز بر روی دستگاه نقطه پایانی نصب شده‌اند.

آنتی ویروس و ضد بدافزار

 آنتی ویروس و ضد بدافزار از شبکه ها در برابر نرم افزارهای مخرب که توسط عوامل تهدید کننده برای ایجاد یک back door استفاده می شود، محافظت می کند که می تواند از آن برای نفوذ بیشتر به شبکه استفاده کنند. توجه به این نکته ضروری است که گرچه شباهت هایی بین برنامه های ضد ویروس و ضد بدافزار وجود دارد، اما دقیقاً یکسان نیستند.

آنتی ویروس: مبتنی بر پیشگیری، با جلوگیری از آلودگی دستگاه های پایانی، از شبکه ها محافظت می کند.

ضد بدافزار: مبتنی بر درمان است که با شناسایی و از بین بردن برنامه های مخرب که در شبکه نفوذ کرده‌اند، از شبکه ها محافظت می کند.

از آنجا که ماهیت نرم افزارهای مخرب به طور مدام در حال پیشرفت است، پیاده سازی هر دو گزینه امنیتی شبکه به صورت مشترک بهترین روش برای اطمینان از امنیت شبکه است.

امنیت برنامه:

امنیت برنامه اطمینان می دهد که نرم افزار مورد استفاده در سراسر شبکه امن است. امنیت برنامه با محدود کردن میزان استفاده از نرم افزار، اطمینان از به روز بودن نرم افزار با آخرین پچ های امنیتی و برنامه های توسعه یافته برای استفاده در شبکه به طور مناسب در برابر سوء استفاده های احتمالی تضمین می شود.

تجزیه و تحلیل رفتاری

تجزیه و تحلیل رفتاری یک روش تشخیص تهدید پیشرفته است که داده های فعالیت شبکه های تاریخی را با رویدادهای جاری در تلاش برای تشخیص رفتارهای غیرعادی مقایسه می کند. 

یک مثال از این امر می تواند این باشد که کاربر معمولا از یک دستگاه نقطه پایانی معین برای دسترسی به پایگاه داده خاص در حدود 3-4 بار در روز به طور متوسط استفاده می کند. مثالی که در عوض آن کاربر از یک دستگاه نقطه پایانی جدید برای دسترسی چندین بار به دیتابیس متفاوت استفاده می کند برای بررسی بیشتر چندین بار علامت گذاری می شود.

پیشگیری از DDoS

حملات توزیع شده انکار خدمات(DDoS) سعی می کند شبکه را با بارگذاری حجم عظیمی از درخواست های اتصال، خراب کند. راه حل های پیشگیری DDoS، درخواست های ورودی را تجزیه و تحلیل می کند تا تافیم غیرمجاز را شناسایی و فیلتر کند تا به این صورت بتواند دسترسی کاربران مجاز به شبکه را حفظ و مدیریت کند.

حملات DDoS یا از طریق یک شبکه توزیع شده از مهاجمان که اسکریپت هایی را برای ارسال حجم زیادی از درخواستهای دریافتی به شبکه اجرا می کنند یا از طریق یک سری دستگاه های گسترده که به خطر افتاده‌ و به یک سیستم هماهنگ شده (بات نت) تبدیل شده است، انجام می شود.

پیشگیری از اتلاف داده (DLP)

ابزارهای پیشگیری از اتلاف داده(DLP) با جلوگیری از به اشتراک گذاشتن اطلاعات حساس یا ارزشمند کاربران در خارج از شبکه و با اطمینان از عدم سوء استفاده یا از دست رفتن داده ها، از اطلاعات داخل شبکه محافظت می کند. این را می توان با تجزیه و تحلیل پرونده هایی که از طریق ایمیل، انتقال فایل و پیام های فوری برای داده هایی که حساس هستند، مانند اطلاعات شناسایی شخصی(PII)، ارسال کرد.

امنیت ایمیل

اقدامات امنیتی ایمیل از شبکه ها در برابر حملات فیشینگ محافظت می کند که سعی دارند کاربران را فریب دهند تا روی لینک های وبسایت های مخرب کلیک کرده یا پیوست های ظاهراً بدون مشکل را دانلود کنند تا بدافزار مورد نظر وارد شبکه شود. ابزارهای امنیتی ایمیل با شناسایی  ایمیل های مشکوک و فیلتر کردن آنها قبل از رسیدن به صندوق ورودی کاربر، با فیشینگ مبارزه می کنند.

بر اساس گزارش تحقیقات Verizon در سال 2019 در مورد نقض داده ها(DBIR)، 94 درصد از بدافزارها از طریق ایمیل با کاهش حجم ایمیل های مخرب که از طریق شبکه و به صندوق ورودی کاربران منتقل می شوند، روش های ضد فیشینگ را یکپارچه سازی می کنند.

امنیت نقطه پایانی(Endpoint Security)

امنیت نقطه پایانی با اطمینان از امنیت دستگاه هایی که به شبکه متصل می شوند از شبکه ها محافظت می کند. امنیت نقطه پایانی در کنار امنیت شبکه با ترکیب چندین ابزار امنیتی دیگر شبکه مانند کنترل دسترسی به شبکه، امنیت برنامه ها و نظارت بر شبکه بدست می آید.

دستگاه نقطه پایانی، هر قطعه سخت افزاری است که به یک شبکه محلی(LAN) یا شبکه گسترده(WAN) متصل است. مانند ایستگاه های کاری(Work Stations)، لپ تاپ، تلفن های هوشمند و چاپگرها

فایروال

فایروال ها، تجهیزات سخت افزاری و برنامه های نرم افزاری هستند که به عنوان مانعی بین ترافیک ورودی و شبکه عمل می کنند. دیوار آتش بسته های داده ارسال شده از طریق شبکه را با سیاست ها و قوانین از پیش تعیین شده مقایسه می کند و تصمیم می گیرد که که به بسته مورد نظر مجور انتشار در شبکه را بدهد با خیر.

امنیت تلفن های همراه

مراکز امنیتی دستگاه های تلفن همراه، محدودیت دسترسی دستگاه به شبکه را تضمین می کنند و اطمینان می دهند که ضعف های امنیتی دستگاه های تلفن همراه مجاز در شبکه، نظارت و مدیریت می شود.

اقدامات امنیتی دستگاه های تلفن همراه شامل راه حل های مدیریت دستگاه های تلفن همراه(MDM) است که به مدیران اجازه می دهد داده های حساس را بر روی دستگاه های تلفن همراه تقسیم بندی، رمزگذاری داده ها را اعمال ، برنامه هایی را که مجاز به نصب هستند تعیین کرده و داده های حساس را از راه دور پاک کنند.

سیستم های نظارت و تشخیص شبکه

سیستم های نظارت و تشخیص شبکه شامل طیف گسترده‌ای از برنامه های کاربردی است که برای نظارت بر ترافیک ورودی و خروجی شبکه و پاسخ به فعالیت های غیرعادی یا مخرب شبکه طراحی شده‌اند.

نمونه هایی از سیستم های نظارت و تشخیص شبکه:

سیستم های پیشگیری از نفوذ(IPS): ترافیک شبکه را برای فعالیت های مشکوک مانند نقض قوانین در تلاش برای جلوگیری از نفوذ به صورت خودکار اسکن می کنند.

سیستم های تشخیص نفوذ، مشابه IPS عمل می کنند، با تاکید بر نظارت بر بسته های شبکه و پرچم گذاری فعالیت های مشکوک جهت بررسی بیشتر

اطلاعات امنیتی و مدیریت رویداد(SIEM) با استفاده از ترکیبی از روش های تشخیص نفوذ مبتنی بر میزبان و مبتنی بر شبکه، نمای کلی از رویدادهای شبکه را ارائه می دهد. سیستم های SIEM داده های ارزشمندی را برای بررسی امنیتی و پرچم گذاری رفتارهای مشکوک در اختیار مدیران قرار می دهند.

تقسیم بندی شبکه

تقسیم بندی شبکه یک روش رایج امنیت شبکه برای کاهش سهولت گسترش تهدیدات امنیتی شبکه است. تقسیم بندی شبکه شامل طبقه بندی یک شبکه بزرگتر به زیر شبکه های متعدد است که هر زیر شبکه با کنترل های دسترسی منحصر به فرد خود مدیریت می شود. هر زیر شبکه به عنوان شبکه منحصر به فرد خود برای بهبود قابلیت های نظارت، افزایش عملکرد شبکه و افزایش امنیت عمل می کند.

شبکه های مجازی خصوصی(VPN)

شبکه های خصوصی مجازی، دسترسی ایمن از راه دور را از نقطه پایانی داده شده به شبکه فراهم می کنند. یک VPN تمام ترافیک های شبکه‌ای که از آن عبور می کند را رمزگذاری میکند تا از تجزیه و تحلیل غیر مجاز داده های ارسال شده به / از شبکه جلوگیری شود. اغلب توسط کارگران خارج از سایت که نیاز به اتصال این به شبکه خود دارند استفاده می شود و به آنها اجازه می دهد به داده ها و برنامه های کاربردی مورد نیاز برای نقش خود دسترسی داشته باشند.

امنیت وب

امنیت وب با محافظت از دستگاه های نقطه پایانی در برابر تهدیدات امنیتی مبتنی بر وب، از شبکه ها محافظت می کند. فناوری های امنیتی وب مانند فیلتر وب از پایگاه داده‌ای از وب سایت های مخرب یا آسیب پذیر شناخته شده برای حفظ لیست سیاه، مسدود کردن پورت های شبکه‌ای که معمولا مورد سوءاستفاده قرار می گیرند و جلوگیری از فعالیت های پرخطر کاربران در اینترنت جلوگیری میکند.

راه حل های فیلترینگ وب را می توان طوری پیکربندی کرد که فقط دامنه های از پیش مجاز که در لیست سفید فیلتر وب قرار دارند را مجاز کند. هنگامی که از لیست سفید استفاده می شود، فیلتر وب دسترسی به همه وب سایت هایی که در لیست سفید نیستند را مسدود می کند.

همچنین، محصولات امنیتی وب ننکن است شامل قابلیت هایی برای تجزیه و تحلیل درخواست های اتصال به وب سایت و تعیین اینکه آیا وب سایت حداقل الزامات امنیتی شبکه را قبل از دسترسی کاربران به آن برآورده می کند یا خیر، باشد.

امنیت بی سیم(Wireless Security)

اقدامات امنیتی بی سیم از شبکه در برابر آسیب پذیری هایی که منحصر به اتصالات بی سیم است محافظت می کند. شبکه های وای فای به طور آشکار سیگنال را به دستگاه های مجاور پخش می کنند و فرصت های بیشتری را برای مهاجمان جهت تلاش برای دسترسی به شبکه ایجاد می کنند. امنیت بی سیم از طریق روش هایی مانند رمزگذاری داده های منتقل شده از طریق شبکه بی سیم، فیلتر کردن آدرس های MAC جهت محدود کردن دسترسی و خصوصی سازی SSID شبکه برای جلوگیری از پخش نام شبکه افزایش می یابد.

نتیجه

برای محافظت واقعی از یک شبکه، چندین لایه سخت افزاری و نرم افزاری تخصصی باید نصب و مدیریت شوند. با اجرای یک رویکرد چند لایه، امنیت شبکه با ابزارهایی که از اصول سه گانه CIA پیروی می کنند، می توان یک شبکه را در برابر طیف گسترده‌ای از آسیب پذیری ها ایمن کرد.

بستن