روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ مدل سنتی امنیت شبکه با محیط امن و کانالهای رمزگذاریشده برای دسترسی خارجی به آن محیط دارد از هم میپاشد. سرویسهای کلود و کار ریموت ایدهی «محیط» را به چالش کشیدهاند و این درحالیست که متود اولیه دسترسی به محیط (یعنی همان ویپیان) در سالهای اخیر برای مهاجمین به بردار حمله اصلی تبدیل شده است. بسیاری از هکهای بزرگ و مهم با اکسپلویت آسیبپذیری در راهکارهای ویپیان کار خود را شروع کردند: CVE-2023-46805، CVE-2024-21887 و CVE-2024-21893 در Ivanti Connect Secure و CVE-2023-4966 در راهکارهای Citrix. با دستکاری سرور ویپیان که باید آنلاین مورد دسترسی باشد، مهاجمین به شبکه داخلی سازمان دسترسی همراه با مزیت پیدا کرده و دامنه زیادی برای پیشبرد حملات مخفیانه پیدا میکنند.
اپهای سروری و سازمانی اغلب بر پایه اعتماد پیکربندی میشوند و برای همه میزبانهای مبتنی بر اینترانت قابلدسترسیاند و این پیدا کردن و اکسپلویت آسیبپذیریها را و همچنین استخراج، رمزگذاری یا خراب کردن دادههای مهم را آسانتر میکند. اغلب، دسترسی ویپیان به کنتراکتورهای شرکت نیز داده میشود. اگر کنتراکتور الزامات امنیت اطلاعات را موقعی که با مزیتهای زیاد در شبکه سازمانی، دسترسی استاندارد ویپیان را دریافت میکند نقض کند، مهاجمین میتوانند با دستکاری کنتراکتور و دسترسی به اطلاعات با اکانتها و مزیتهای آنها به شبکه رخنه کنند. و فعالیتهای آنها میتواند تا مدتها مورد توجه قرار نگیرد.
راهکار مهم برای این مسائل امنیت شبکهای نیازمند رویکرد جدیدی از حیث سازمان شبکه است- آنی که به موجبش هر کانکشن شبکه با جزیات دقیق تحلیل شود و اطلاعات مه شرکتکنندهها و دسترسی به حقوق نیز چک شود. هر یک از اینها اگر مجوز صریح برای کار با منبع مشخص را نداشته باشد دسترسی، انکار میشود. این رویکرد هم برای سرویسهای داخلی شبکه و هم آنهایی که مبتنی بر کلود هستند به کار میرود. سال گذشته، آژانسهای امنیت سایبری در آمریکا، کانادا و نیوزلند راهنمای مشترکی را در باب چطور مهاجرت کردن به این مدل امنیتی ارائه دادند که شامل ابزارها و رویکردهای زیر میشود:
صفر اعتماد
مدل صفر اعتماد به دنبال جلوگیری از دسترسی غیرقانونی به دادهها و سرویسها از طریق کنترل پرجزئیات دسترسی است. هر درخواست دسترسی به منبع یا میکروسرویس جداگانه تحلیل میشود و تصمیم بر اساس مدل دسترسیِ نقشمحور و اصل اقل مزیت گرفته میشود. در طول عمل، هر کاربر، دستگاه و اپ باید تحت احراز و مجوز قرار گیرند- این پروسهها البته با ابزارهای فنی برای کاربر قابل رؤیت نیستند.
لبه سرویس ایمن
لبه سرویس امن (SSE) مجموعهای از ابزارها برای ایمنسازی برنامهها و دادهها بدون توجه به موقعیت مکانی کاربران و دستگاههایشان است. SSE به پیادهسازی اعتماد صفر، انطباق با واقعیتهای زیرساخت کلود ترکیبی، محافظت از برنامههای SaaS و سادهسازی تأیید کاربر کمک میکند. اجزای SSE شامل دسترسی به شبکه اعتماد صفر (ZTNA)، دروازه وب امن کلود (CSWG)، کارگزار امنیتی دسترسی کلود (CASB) و فایروال به عنوان سرویس (FWaaS) است.
دسترسی به شبکه صفر اعتماد
ZTNA دسترسی از راه دور ایمن به دادهها و خدمات یک شرکت را بر اساس سیاستهای دسترسی کاملاً تعریفشده در راستای اصول صفر اعتماد فراهم می کند. حتی اگر مزاحمین دستگاه کارمند را به خطر بیاندازند، توانایی آنها برای توسعه حمله محدود است. برای ZTNA، یک برنامه عامل مستقر شده است که هویت کاربر یا سرویس و حقوق دسترسی را بررسی میکند، سپس آنها را با خط مشیها و اقدامات درخواستی کاربر مطابقت میدهد. عوامل دیگری که میتوان آنها را پایش کرد، سطح امنیتی دستگاه کلاینت (نسخههای نرمافزار، بهروزرسانیهای پایگاه داده راهکارهای امنیتی)، مکان مشتری و موارد مشابه است. این عامل همچنین میتواند در احراز هویت چند عاملی استفاده شود. احراز هویت مجدد دوره ای در طول جلسات کاربر رخ میدهد. اگر کاربر نیاز به دسترسی به منابع و برنامههای جدید داشته باشد، فرآیند احراز هویت و مجوز به طور کامل تکرار میشود. با این حال، بسته به تنظیمات راهحل، این ممکن است برای کاربر شفاف باشد.
دروازه وب امن کلود
CSWG از کاربران و دستگاه ها در برابر تهدیدات آنلاین محافظت و به اجرای سیاستهای شبکه کمک میکند. ویژگیها عبارتند از فیلتر کردن اتصالات وب بر اساس URL و محتوا، کنترل دسترسی به خدمات وب و تجزیه و تحلیل اتصالات TLS/SSL رمزگذاری شده. همچنین در احراز هویت کاربر نقش دارد و تجزیه و تحلیلی را در مورد استفاده از برنامه وب ارائه میدهد.
کارگزار امنیت دسترسی کلود
CASB به اجرای سیاستهای دسترسی برای برنامههای کلود SaaS کمک میکند - پل زدن آنها با کاربرانشان، و همچنین مدیریت دادههای منتقلشده بین سرویسهای کلود مختلف. این امر امکان شناسایی تهدیداتی را که سرویسهای کلود را هدف قرار می دهند و تلاشهای غیرمجاز برای دسترسی به دادههای کلود و همچنین کنترل برنامههای مختلف SaaS را تحت یک سیاست امنیتی واحد ممکن میسازد.
فایروال به عنوان یک سرویس
FWaaS مبتنی بر ابر عملکردهای یک فایروال سنتی را انجام میدهد - با این تفاوت که تجزیه و تحلیل و فیلتر ترافیک در فضای ابری به جای دستگاه جداگانه در دفتر شرکت انجام میشود. علاوه بر راحتی مقیاسپذیری، FWaaS حفاظت از زیرساختهای توزیعشده متشکل از مراکز داده، دفاتر و شعبهها را آسانتر میکند.
لبه سرویس دسترسی ایمن
SASE با ترکیب شبکه های نرم افزاری تعریف شده SD-WAN) ) با عملکرد کامل SSE، موثرترین یکپارچهسازی کنترل شبکه و مدیریت امنیت را ارائه میدهد. چندین مزیت برای شرکت ها نه تنها از نظر امنیت، بلکه از نظر کارایی هزینه نیز وجود دارد:
- کاهش هزینه راهاندازی شبکه توزیع شده و ترکیب کانال های ارتباطی مختلف برای افزایش سرعت و قابلیت اطمینان
- بهرهگیری از مدیریت متمرکز شبکه، دید بالا و قابلیتهای تجزیه و تحلیل گسترده
- هزینههای مدیریت کمتر به دلیل پیکربندی خودکار و پاسخ خرابی
همه توابع SSE (SWG، CASB، ZTNA، NGFW ) را میتوان در راه حل ادغام کرد و به مدافعان دید کاملی از همه سرورها، سرویس ها، کاربران، پورتها و پروتکلها داد - به علاوهی اعمال خودکار سیاستهای امنیتی هنگام استقرار سرویسهای جدید یا بخش های شبکه.
سادهسازی مدیریت و اجرای سیاست با یک رابط مدیریت متمرکز
معماری SASE اجازه میدهد تا تمام ترافیک به صورت پویا و خودکار با در نظر گرفتن سرعت، قابلیت اطمینان و الزامات امنیتی هدایت شوند. با الزامات امنیت اطلاعات که عمیقاً در معماری شبکه ادغام شده است، کنترل دقیقی بر تمام رویدادهای شبکه وجود دارد - ترافیک در سطوح مختلف از جمله سطح برنامه طبقهبندی و بررسی میشود. این کنترل دسترسی خودکار را همانطور که توسط اعتماد صفر تجویز میشود، با جزئیات گسترش به یک تابع برنامه واحد و حقوق کاربر در شرایط فعلی ارائه میکند. استفاده از یک پلتفرم واحد به طور چشمگیری عملکرد نظارت را افزایش میدهد و واکنش به رخداد را سرعت و بهبود میبخشد. SASE همچنین به روز رسانی و مدیریت کلی دستگاههای شبکه را ساده میکند که یکی دیگر از مزایای امنیتی است.
نکات فنی مهاجرت
استقرار راهکارها بالا به شرکت شما کمک میکند رویکرد سنتی «محیط پشت فایروال به اضافه VPN »را با مدلی امنتر، مقیاسپذیرتر و مقرونبهصرفهتر جایگزین کند، که در راهکارهای کود و تحرک کارکنان نقش دارد. در عین حال، آژانسهای امنیت سایبری که این مجموعه از راهکارها را توصیه میکنند، هشدار میدهند که هر مورد نیاز به تجزیه و تحلیل عمیق از الزامات و وضعیت فعلی یک شرکت، بهعلاوه تجزیه و تحلیل ریسک و طرح مهاجرت گام به گام دارد. هنگام تغییر از VPN به راهکارهای مبتنی بر SSE/SASE، میبایست:
- دسترسی به صفحه کنترل شبکه را به شدت محدود کنید
- رابط را برای مدیریت راهکار و شبکه جدا کنید
- راه حل VPN را به روز کنید و تله متری آن را با جزئیات تجزیه و تحلیل کنید تا احتمال دستکاری رد شود
- فرآیند احراز هویت کاربر را آزمایش و راه هایی را برای سادهسازی آن، مانند احراز هویت از قبل، بررسی کنید
- از احراز هویت چند عاملی استفاده کنید
- کنترل نسخه پیکربندی مدیریت را اجرا و تغییرات را پیگیری کنید
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.