هنگامی که سازمان ها و ارگان ها شروع به رشد می کنند، شبکه های سازمانی نیز به نوبه خود گسترش یافته و بزرگ و بزرگ تر می شوند.که این رشد به طور طبیعی به صورت ساخت یافته نخواهد بود.
به عنوان مدیر عامل در شرکت تکتاکام دیدار من با بسیاری از شرکت های در حال رشد و توسعه نتایجی را به همراه داشت یکی از مهمترین این نتایج چالش های مشترک آنها در مواجهه با موانع موجود در رشد و گسترش سریع سازمانی بود . به طور معمول بسیاری از شرکت ها و سازمان ها دارای شبکه ای با ساختار بسیار صاف (Flat) و راه حل های امنیتی ساده و معمول هستند که همه توسط یک فرد و یا یک تیم بسیار کوچک مدیریت شده اند. این تیم کوچک می بایست تمام نیازمندی های مختلف جهت ارائه سرویس های زیر ساختی از جمله محیط های مجازی، منابع ذخیره سازی، مدیریت شبکه، فایروال و امنیت عمومی را پاسخ گو باشد. پس در این حال این تیم در حوزه فن آوری اطلاعات دیر یا زود، در شرایط بحرانی به جهت مواجه با تهدیدات پیشرفته فرا سازمانی قرار خواهد گرفت.
در این مرحله حیاتی و مهم در بسیاری از پروژه ها موانع و خطراتی وجود دارد و کارکنان گروه فن آوری نیز تحت فشار و استرس بیشتری خواهند بود. این یک نقطه بحرانی به خصوص برای امنیت در زیر ساخت های شبکه است. متاسفانه، این امنیت است که اغلب در انتظار برای کارهایی همانند طراحی مجدد شبکه و یا عدم همسان سازی با رشد سازمانی در هر بعدی قربانی می شود.
در این حال نیاز به یک راهکار امنیتی و متناسب در شرایطی که سازمان تحت فشار است احساس می شود که ما به دنبال شناخت و پرداختن به تهدیدات پیشرفته و راهکار های مقابله با آن خواهیم بود.
راه حل های تشخیص تهدیدات پیشرفته (The advanced threat detection Solution)
عموما استفاده از سرویس آنتی ویروسهای سنتی ، وب فیلترینگ و سیستم های تشخیص نفوذ IPS راهکاری مناسب به جهت مقابله با تهدیدات پیشرفته نخواهد بود و ما به دنبال راهکار های جدید ATD/Sandbo
xing ، هستیم و ما در اینجا به چرایی و چگونگی این راهکار در مقابله با تهدیدات جدید خواهیم پرداخت.
امروزه اکثر بدافزارها به طور گسترده توزیع شده و اغلب بخشی از ساختار یک باتنت (Botnet ) خواهند بود. پس یک کلاینت پس از دریافت یک فایل و اجرای آن، نقش میزبانی را برای نرم افزارهای مخرب، و یا همانند آن ایفا می کنند .
سناریوی عملیاتی در یک تهدید پیشرفته
اولین کاری که یک فایروال UTM انجام خواهد داد بررسی سیاست های تعریف شده و انطباق با درخواست ارائه شده در آن، به جهت دسترسی یک فایل به منابع درخواستی و یا سرور ها خواهد بود.
در این حالت اگر دسترسی درست تعریف شده باشد و وب فیلترینگ نیز دسترسی را مجاز نخواند بد افزاری (Malware)که به صورت یک برچسب به سایت فراخوانی شده متصل است شناسایی شده و بر این اساس وب سایت مذکور در لیست سیاه قرار گرفته و اطلاعات این مخرب ثبت شده و بر اساس طبقه بندی سرویس وب فیلترینگ امکان نفوذ را دیگر نخواهد داشت و امکان ارائه گزارش نیز به جهت بررسی های بعدی خواهد بود.
حال اگر آن سایت به عنوان یک سایت مخرب شناسایی نشده باشد .و یا قابل شناسایی توسط سرویس وب فیلترینگ نباشد. سپس فایل های محتوای وب سایت مذکور برای بررسی های مرحله بعدی در سیستم UTM دریافت می شود در این قسمت موتور سرویس IPS که یک موتور جلوگیری ازنفوذ بسیار موثر و کار آمد است انجام بازرسی های پیچیده را بر اساس الگوهای منطبق با بانک اطلاعاتی خود انجام می دهد و چون کد های مخرب در حالت اجرایی نبوده و یا تا به حال شناسای نشده اند از طرف سرویس IPS نیز مجوز ورود به شبکه را خواهند گرفت و در نهایت نیز سرویس آنتی ویروس نیز بر اساس الگو های موجود بر اساس بروز رسانی های صورت گرفته فایل را کنترل کرده و با توجه به اینکه کد های مخرب در محیط های عملیاتی و در میزبان قرار نگرفته اند نیز مجوز ورود خواهند داشت .
در این حالت است که فایل مخرب با قرار گرفتن در محیط سرور میزبان شروع به فعالیت کرده و تاثیرات مخرب را خواهد داشت.
سناریو استفاده از سندباکس ویا راه حل تشخیص تهدیدات پیشرفته
در حالت فوق در صورتیکه سرویس های UTM متوجه رفتار های نامتعارف در فایل و یاسایت درخواستی شوند این رفتار ها به همراه فایل های مشکوک به سندباکس ارسال می گردد.
در این حالت رفتارهای فایل مشکوک در یک محیط عملیاتی شبیه سازی شده و تمامی رفتارهای فایل های مخرب در حدود سه تا پنج دقیقه رفتار سنجی شده و رفتارهای آن ثبت می شود در این میان همانند سرویس های عملیاتی در محیط سیستم عامل رفتار فایل در مقابل خاموش و یا روشن کردن در مقابله با دسترسی آزاد به اینترنت و دسترسی یه برنامه های کاربردی بررسی شده و با توجه به شبیه سازی محیط های عملیاتی تاثیرات مخرب بیشتر در سیستم عامل های ویندوز سون 64 بیتی و ویندوز XP بررسی شده و در صورت محرض شدن تاثیرات مخرب ، به صورت تدافعی جلوی رفتارهای مخرب گرفته می شود.
با این حال استفاده از راه حل های تشخیص تهدیدات پیشرفته و سند باکس ATD/Sandboxing) ( یک راهکار مقابله با توسعه دهندگان نرم افزار ها و بد افزار های مخرب خواهد بود.
در پایان راه حل های مطرح شده به جهت مقابله با تهدیدات پیشرفته در کنار سازمان های در حال رشد این نوید را در بر خواهد داشت تا ریسک پذیری سازمان در جهت کاهش اثرات تهدیدات بالاتر رود و در مقابل
نقاط بحرانی کمتر به چالش کشیده شوند
در هر حال شرکت مهندسین مشاور تکین توسعه کیان با ارائه راهکار های مقابله با تهدیدات پیشرفته در جهت رشد و اعتلای دانش و امنیت شبکه در سازمان ها تلاش خواهد کرد